リスクから学ぶKubernetesコンテナセキュリティ/k8s-risk-and-security

!NPDIJ[VLJ ϦεΫ͔ΒֶͿ,VCFSOFUFTίϯςφηΩϡϦςΟ ίϯςφ։ൃऀ͕͓͓͑ͯ͘͞΂͖جૅ஌ࣝ ,VCFSOFUFT/PWJDF5PLZP

XIPBNJ !NPDIJ[VLJ 🌕,FJUB.PDIJ[VLJ ❤,VCFSOFUFT 🚨"GPY OPUBSBDDPPOEPH 📖/FYU1VCMJTIJOH ʮ,VCFSOFUFT4FDSFU؅ཧೖ໳ʯڞஶ

஫ҙࣄ߲ ࣗஶͷ13ΛؚΈ·͢ ຊൃද͸αΠόʔ߈ܸΛߠఆ͢Δ΋ͷͰ͸͋Γ·ͤΜ ܝࡌ಺༰͸ݸਓͷݟղͰ͋Γɺॴଐ͢Δاۀ΍૊৫ͷཱ৔ɺઓུɺҙݟΛ୅ද͢Δ΋ͷͰ͸͋Γ·ͤΜ هࡌ͞Ε͍ͯΔձ໊ࣾɺ঎඼໊ɺ·ͨ͸αʔϏε໊͸ɺ֤ࣾͷ঎ඪొ࿥·ͨ͸঎ඪͰ͢

ηΩϡϦςΟʁ コンテナセキュリティやって。

ηΩϡϦςΟʁ ͿͬͪΌ͚΍Γͨ͘ͳ͍ 何やれば良いの？ 🧐 むずそう 😫 非機能要件 ⚙ ダルい 🥱
なにそれ食えんの？ 🍽

ηΩϡϦςΟʁ Ͱ΋΍Βͳ͖Ό͍͚ͳ͍ ಛʹ࢖͍࢝ΊΔͱඞཁʹͳΔ 🤮

ηΩϡϦςΟʁ $/$'"//6"-4637&: IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ

͡Ό͋Ͳ͏޲͖߹͏͔ʁ ಛఆͷϓϥΫςΟεʹ४ڌ͢Δ FH ɹ✔/*4541"QQMJDBUJPO$POUBJOFS4FDVSJUZ(VJEF ɹ ✔08"41,VCFSOFUFT4FDVSJUZ$IFBU4IFFU ɹɹɹ✔08"41,VCFSOFUFT5PQ5FO ɹ
✔$*4,VCFSOFUFT#FODINBSLT ɹ ✔,VCFSOFUFT)BSEFOJOH(VJEF ɹ✅Ұఆਫ४ͷηΩϡϦςΟϨϕϧΛ֬อͰ͖Δ ɹ✅٬؍తͳධՁΛಘ΍͍͢

͡Ό͋Ͳ͏޲͖߹͏͔ʁ XIZΛ஌Δ͜ͱ͸ॏཁ ɹ✅໨తͷຊ࣭తͳཧղʹΑΔඞཁे෼ͳରࡦ ɹɹɹରࡦʹ͸ඞͣʮԿ͔ΒकΔ͔ʯͱ͍͏໨త͕͋Δ ɹɹɹɹ❌कΔ΂͖΋ͷΛͪΌΜͱकΕ͍ͯΔ͔෼͔Βͳ͍ ɹɹɹ༷ʑͳରࡦ͕ଘࡏ͢Δ ɹɹɹɹ❌ա৒ͳରࡦʹΑΔίετͷ૿Ճ ɹ✅ͲͷΑ͏ʹϦεΫʹ޲͖߹͏΂͖͔ମܥతͳཧղ ɹɹɹϦεΫ͸ࠜຊతͳ࢓૊Έ͕มΘΒͳ͍ݶΓมԽ͠ͳ͍ ɹɹɹɹ❌৽͍͠ରࡦʹग़ձͬͨ࣌ʹରԠͰ͖ͳ͍

ࣗ਎ͷܦݧ 👣ίϯςφηΩϡϦςΟΛֶΜͰΈΑ͏ͱࢥͬͨ ɹɹ✔Կ͔Β΍Ε͹ྑ͍ͷ͔യવͱ෼͔Βͳ͔ͬͨ 👣୅දతͳϓϥΫςΟεΛಡΜͰΈͨ ɹɹ✔งғؾ͸Կͱͳ͘෼͔Δ͚Ͳ۩ମతʹϐϯͱ͜ͳ͔ͬͨ 👣ϦεΫΛֶΜͰΈΑ͏ͱࢥͬͨ ɹɹ✔ରࡦͷҙٛ΍ίϯςφ,VCFSOFUFTͦͷ΋ͷʹؔ͢ΔཧղΛਂΊΔ͜ͱ͕Ͱ͖ͯ ɹɹɹղ૾౓্͕͕࣮ͬͨ͘͢͝ײ͕͋ͬͨ 💡ಉ͡Α͏ͳମݧΛఏڙͰ͖Δॻ੶Λ࡞Γ͍ͨ💡

ॻ੶঺հ ϦεΫ͔ΒֶͿ,VCFSOFUFTίϯςφηΩϡϦςΟ ίϯςφ։ൃऀ͕͓͓͑ͯ͘͞΂͖جૅ஌ࣝ αΠζɿ#มܗ൛ ϖʔδ਺ɿϖʔδ ܗࣜɿࢴ൛ిࢠ൛ ఆՁɿ ԁʢຊମ ԁʴ੫ʣ ग़൛ࣾɿᠳӭࣾ
LTηΩϡϦςΟ 絶賛発売中！！ "NB[PO

ॻ੶঺հ ίϯςφηΩϡϦςΟΛֶͿͨΊͷೖΓޱΛఏڙ ✅୅දతͳϦεΫΛ࣮ײ͠ରࡦͷߟ͑ํʢجૅʣΛཧղͰ͖Δ ɹɹ✔ϦεΫΛϕʔεͱͨ͠ষߏ੒ʢશέʔεʴЋʣ ɹɹ✔ϦεΫΛ౿·͑ͯରࡦͷجຊݪଇ΍۩ମతख๏ରࡦΛཧղͰ͖Δ ɹɹ✔ຊ֨తͳରࡦΛߟ͑ͯߦ͘ૅΛங͘͜ͱ͕Ͱ͖Δೖ໳ॻ ✅ϋϯζΦϯΛ௨ͯ͡۩ମతʹཧղͰ͖Δ ɹɹ✔खΛಈ͔͠ͳ͕Βֶ΂ΔʢϋϯζΦϯ཰͘Β͍ʣ ɹɹ✔,VCFSOFUFT޷͖Ͱ͋Ε͹ݱ࣌఺Ͱͦ͜·ͰηΩϡϦςΟʹڵຯ͕ͳ͍ਓͰ΋ָ͠ΊΔ ɹɹ✔۩ମతͳཧղΛಘΔʹ͸खΛಈ͔͢ͷ͕Ұ൪खͬऔΓૣ͍ʢͱ๻͸ࢥ͏ʣ
✅қ͘͠ཧղͰ͖Δ ɹɹ✔ίϯςφ΍,VCFSOFUFTͷجຊػೳʹ͍ͭͯ๯಄Ͱղઆ ɹɹ✔,VCFSOFUFTΛܰ͘৮ͬͨ͜ͱͷ͋ΔਓͰ͋Ε͹ཧղͰ͖ΔϨϕϧײͷ༻ޠΛ࢖༻ ɹɹ✔ΠϝʔδΛ࣋ͪ΍͘͢͢ΔͨΊͷਤΛଟ༻

ॻ੶঺հ 再現可能な形でハンズオン手順を詳細に記載コピペできるようにリポジトリも公開

ॻ੶঺հ コマンドや文字だけではイメージし辛いリスクや対策について図を用いて丁寧に解説

ॻ੶঺հ ҼΈʹ๻͸ීஈిࢠ൛೿Ͱ͕͢ɺͿͬͪΌ͚ࢴ൛͘͢͝ΦεεϝͰ͢ʂ 書籍自体がめっちゃしなやかで使いやすい！！ (技術書って結構こういう使い方しません？？) 表紙の質感がマジで最&高！！（ヴァンヌーボという高級紙らしい）

ର৅ಡऀ ✅ίϯςφηΩϡϦςΟʹೖ໳͍ͨ͠ਓ ɹɹ✔,VCFSOFUFTΛ৮ͬͨ͜ͱ͕͋Γ͜Ε͔ΒηΩϡϦςΟΛߟ͍͑ͨਓ ɹɹ✔ίϯςφ,VCFSOFUFTʹؔ͢ΔཧղΛ͞ΒʹਂΊ͍ͨਓ ✅ίϯςφ։ൃऀ ɹɹ✔ίϯςφΠϝʔδΛϏϧυͯ͠1PEΛσϓϩΠ͢Δਓ ɹ ✅ج൫؅ཧऀ ͷ໨ઢͰ΋஌͓ͬͯ͘΂͖಺༰ɹɹ ج൫؅ཧऀ,VCFSOFUFTΫϥελΛఏڙ͢Δཱ৔
ɹɹ✔ج൫ͷ্ͰͲͷΑ͏ͳϦεΫ͕ى͜ΓಘΔ͔ͱ͍͏؍఺ ɹɹɹج൫ͱͯ͠ͲͷΑ͏ͳରࡦΛߦ͏΂͖͔ʁ ɹɹ✔։ൃऀࢧԉͷ؍఺ ɹɹɹج൫ར༻ऀͰ͋Δίϯςφ։ൃऀʹϨΫνϟʔ

ྨॻ৘ใ ʢ஫ҙʣهࡌ͍ͯ͠Δ಺༰͸શͯݸਓͷײ૝Ͱ͢ɻ ✅ҰൠతͳίϯςφηΩϡϦςΟͷߟ͑ํ΍ ɹ ཁૉٕज़ʹ͍ͭͯ෯޿֓͘೦Λத৺ʹղઆ ✅ίϯςφηΩϡϦςΟͷڭՊॻతͳҹ৅ ✅ίϯςφͷ࢓૊ΈΛղઆ্ͨ͠Ͱ ɹ %PDLFSΛϕʔεʹ༷ʑͳϦεΫ΍ରࡦΛղઆ ✅ϋϯζΦϯ΋ॆ࣮͓ͯ͠Γίϯηϓτతʹ͸
ɹ ຊॻ੶ʹҰ൪͍ۙҹ৅ ✅%PDLFS,VCFSOFUFTʹؔ͢Δ༷ʑͳରࡦख๏Λ ɹ ৄࡉʹղઆ ✅,VCFSOFUFT׬શΨΠυͷηΩϡϦςΟ൛తͳҹ৅

ʢࢀߟʣϩʔυϚοϓҊ ຊॻΛೖΓޱͱͯ͠ྨॻΛ͓ಡΈ௖͘͜ͱͰɺΑΓ޿͘ਂ͍,VCFSOFUFTʹ͓͚Δ ίϯςφηΩϡϦςΟͷ஌ݟΛಘΔ͜ͱ͕Ͱ͖·͢ɻ ˞ਤதͷ ͸೉қ౓Λ͍ࣔͯ͠·͢ɻ ͨͩ͠೉͠͞ͷײ͡ํ΍ֶͼํ͸ਓͦΕͧΕͰ͢ɻ ͋͘·Ͱ๻ݸਓͷҰҙݟͱͯ͠ଊ͍͑ͯͩ͘͞ɻ Kubernetesの入り口 ʢ-PXʣ より詳細な知識
ʢ-PXʙ.JEʣ 大局的・俯瞰的な知識 ʢ.JEʣ 様々な対策の理解 ʢ.JEʙ)JHIʣ コンテナセキュリティの入り口 ʢ-PXʣ

͝ڠྗ௖͍ͨօ༷ ຊॻͷϨϏϡʔΛ͸͡Ίɺຊ౰ͷͨ͘͞Μͷํʑʹ͝ڠྗ௖͖·ͨ͠ɻ

໨࣍ ݕূ؀ڥͷ४උ ୈ෦ίϯςφηΩϡϦςΟ΁ͷಋೖ ɹ$"4&ᶃίϯςφηΩϡϦςΟΛֶͿલʹ ɹ$"4&ᶄίϯςφηΩϡϦςΟͷ֓ཁ ୈ෦ίϯςφΠϝʔδ͕ཁҼͷηΩϡϦςΟϦεΫ ɹ$"4&ίϯςφͷ੬ऑੑΛѱ༻͞Εͯ͠·ͬͨ ɹ$"4&ίϯςφΠϝʔδ͕ྲྀग़ͯ͠͠·ͬͨ ɹ$"4&վ᜵͞ΕͨίϯςφΠϝʔδΛ࢖༻ͯ͠͠·ͬͨ ɹ$"4&ίϯςφΠϝʔδ͔Βൿີ৘ใΛୣऔ͞Εͯ͠·ͬͨ
ୈ෦ίϯςφ͕ཁҼͷηΩϡϦςΟϦεΫ ɹ$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ɹ$"4&ίϯςφΛվ᜵͞Εͯ͠·ͬͨ ɹ$"4&ίϯςφϗετͷϦιʔεΛա৒ʹ࢖༻͞Εͯ͠·ͬͨ ɹ$"4&1PE͔Β,VCFSOFUFTΫϥελΛෆਖ਼ʹૢ࡞͞Εͯ͠·ͬͨ ɹ$"4&ίϯςφͷൿີ৘ใ͕ྲྀग़ͯ͠͠·ͬͨ ɹ$"4&1PEʹରͯ͠ෆਖ਼ͳ௨৴͕ߦΘΕͯ͠·ͬͨ ୈ෦ൃలతͳηΩϡϦςΟରࡦ ɹ"11&/%*9ᶃ,VCFSOFUFTΫϥελʹର͢ΔϙϦγʔ੍ޚ ɹ"11&/%*9ᶄηΩϡϦςΟ͕ڧԽ͞ΕͨίϯςφϥϯλΠϜͷ࢖༻ ɹ"11&/%*9ᶅίϯςφͷৼΔ෣͍؂ࢹ

ݕূ؀ڥͷ४උ ݕূ؀ڥͱͯ͠6CVOUVαʔόʔ্ʹNJOJLVCFΛ༻͍ͯ,VCFSOFUFTΫϥελΛ༻ҙɻ શͯͷϋϯζΦϯ͸͜ͷ؀ڥΛ༻͍࣮ͯࢪɻ 6CVOUV ,7. ,VCFSOFUFTW ʢCZNJOJLVCFʣ

ୈ෦ίϯςφηΩϡϦςΟ΁ͷಋೖ ίϯςφ΍,VCFSOFUFTͷجૅ͓Αͼ࢓૊ΈΛ౿·͑ɺ ίϯςφηΩϡϦςΟͷ֓ཁ΍είʔϓΛղઆɻ

ୈ෦ίϯςφΠϝʔδ͕ཁҼͷηΩϡϦςΟϦεΫ ίϯςφΠϝʔδͷϏϧυ΍ѻ͍ํʹىҼ͢ΔϦεΫ΍ରࡦΛղઆɻ ✅$"4&ίϯςφͷ੬ऑੑΛѱ༻͞Εͯ͠·ͬͨ ✅$"4&ίϯςφΠϝʔδ͕ྲྀग़ͯ͠͠·ͬͨ ✅$"4&վ᜵͞ΕͨίϯςφΠϝʔδΛ࢖༻ͯ͠͠·ͬͨ ✅$"4&ίϯςφΠϝʔδ͔Βൿີ৘ใΛୣऔ͞Εͯ͠·ͬͨ $"4& $"4&

ୈ෦ίϯςφ͕ཁҼͷηΩϡϦςΟϦεΫ ίϯςφͷѻ͍ʹىҼ͢ΔϦεΫ΍ରࡦΛղઆɻ ✅$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ✅$"4&ίϯςφΛվ᜵͞Εͯ͠·ͬͨ ✅$"4&ίϯςφϗετͷϦιʔεΛա৒ʹ࢖༻͞Εͯ͠·ͬͨ ✅$"4&1PE͔Β,VCFSOFUFTΫϥελΛෆਖ਼ʹૢ࡞͞Εͯ͠·ͬͨ ✅$"4&ίϯςφͷൿີ৘ใ͕ྲྀग़ͯ͠͠·ͬͨ ✅$"4&1PEʹରͯ͠ෆਖ਼ͳ௨৴͕ߦΘΕͯ͠·ͬͨ $"4& $"4&

ୈ෦ൃలతͳηΩϡϦςΟରࡦ ηΩϡϦςΟΛΑΓڧԽ͢ΔͨΊͷ,VCFSOFUFTΫϥελدΓ ͷରࡦɻ ৔߹ʹΑͬͯ͸ίϯςφ։ൃऀͷ੹೚ൣғ͚ͩͰ׬݁͠ͳ͍ ✅"11&/%*9ᶃ,VCFSOFUFTΫϥελʹର͢ΔϙϦγʔ੍ޚ ✅"11&/%*9ᶄηΩϡϦςΟ͕ڧԽ͞ΕͨίϯςφϥϯλΠϜͷ࢖༻ ✅"11&/%*9ᶅίϯςφͷৼΔ෣͍؂ࢹ "11&/%*9ᶃ "11&/%*9ᶅ

チョイ見せ

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ $"4&Ͱ͸ɺίϯςφ͔Βίϯςφϗετʹ৵ೖͨ͠Γׯব͢Δɺ ίϯςφϒϨΠΫΞ΢τͱݺ͹ΕΔϦεΫ΍ͦΕʹର͢ΔରࡦͷղઆΛߦ͍ͬͯ·͢ɻ ͜ͷϦεΫͷཁҼʹ͸ίϯςφͷઃఆෆඋ΍੬ऑੑͳͲ͕͋Γ·͢ɻ ಛʹίϯςφΛѻ͏ίϯςφ։ൃऀͷ؍఺Ͱ͸ɺίϯςφͷઃఆ͕ॏཁʹͳΓ·͢ɻ

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ 08"41,VCFSOFUFT5PQ5FO 5PQ,VCFSOFUFT3JTLTΑΓ IUUQTPXBTQPSHXXXQSPKFDULVCFSOFUFTUPQUFOFOTSD,JOTFDVSFXPSLMPBEDPO fi HVSBUJPOT

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ᶃ߈ܸऀ͕1PEʹؚ·ΕΔίϯςφʹ৵ೖ ʢࠓճ͸LVCFDUMFYFDίϚϯυΛ࢖༻ʣ ᶄ৵ೖͨ͠ίϯςφ಺ͰಛఆͷίϚϯυΛ࣮ߦ͠ɺ ɹ/PEFʹ৵ೖ ᶅ/PEFͰ೚ҙͷίϚϯυΛ࣮ߦ コンテナへの侵入は CASE1で解説！

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ LVCFDUMFYFDJUTBNQMFXFCCJOCBTI SPPU!TBNQMFXFCOTFOUFSUBCJOCBTI CBTI CBTIIPTUOBNF NJOJLVCF CBTIUPVDIDSFBUFGSPNDPOUBJOFSUYU CBTIMT $)"/(&-0( CJO
CPPU DSFBUFGSPNDPOUBJOFSUYUWFSTJPOKTPO NJOJLVCFTTIONJOJLVCF IPTUOBNF NJOJLVCF MT $)"/(&-0( CJO CPPU DSFBUFGSPNDPOUBJOFSUYUWFSTJPOKTPO ίϯςφ 8FC ίϯςφϗετ NJOJLVCF コンテナホスト(Node)に侵入適当なファイルを作成侵入できた✌ コンテナホスト(Node)に接続して確認ファイルが作成されている

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ৵ೖ͞Εͨίϯςφ͔Βίϯςφϗετ /PEF Λૢ࡞Ͱ͖ͯ͠·ͬͨཁҼ͸ɺ ओʹίϯςφʹಛݖ͕෇༩͞Ε͍ͯͨ͜ͱʹ͋Γ·͢ɻ BQJ7FSTJPOW LJOE1PE NFUBEBUB OBNFTBNQMFXFC MBCFMT
BQQTBNQMFXFC TQFD IPTU1*%USVF DPOUBJOFST OBNFXFC JNBHFVCVOUV DPNNBOE<CJOCBTI D TMFFQJO fi OJUZ> TFDVSJUZ$POUFYU QSJWJMFHFEUSVF TBNQMFXFCZBNM

One more things... （書籍未掲載）

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ઌ΄Ͳͷྫͱ͸ҟͳΓඇಛݖίϯςφͰίϯςφϒϨΠΫΞ΢τ͕੒ཱ͢ΔྫΛ঺հ͠·͢ɻ ᶃ߈ܸऀ͕1PEʹؚ·ΕΔίϯςφʹ৵ೖ ʢࠓճ͸LVCFDUMFYFDίϚϯυΛ࢖༻ʣ ᶄ৵ೖͨ͠ίϯςφ͔ΒQSPDGTʹΞΫηε ᶅQSPDGTܦ༝Ͱผίϯςφͷϓϩηε৘ใʹΞΫηε 非特権コンテナ

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ࣄલʹQTίϚϯυͰର৅ίϯςφͷ1*%Λ֬ೝ SPPU!QJEFYQMPJUDBUQSPD1*%FOWJSPO 1"5)VTSMPDBMTCJOVTSMPDBMCJOVTSTCJOVTSCJOTCJOCJO)045/".&IFMMPBQQ4&$3&5@7"-6&"$$&44@50,&/ʜ SPPU!QJEFYQMPJUMTQSPD1*%SPPU CJO EFW FUD IPNF
QSPD SPPU TZT UNQ VTS WBS SPPU!QJEFYQMPJUFDIP *NTQFBLJOHEJSFDUMZUPZPVSDPOUBJOFS QSPD1*%GE LVCFDUMMPHTIFMMPBQQG .PO4FQ65$IFMMP .PO4FQ65$IFMMP *NTQFBLJOHEJSFDUMZUPZPVSDPOUBJOFS .PO4FQ65$IFMMP ίϯςφ QJEFYQMPJU ίϯςφ IFMMPBQQ 環境変数の参照 stdoutへの書き込み rootfsへのアクセス pid-exploitから書き込まれた文字列

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ࠓճ৵ೖ͞Εͨίϯςφʹ͸ɺಛݖͦ͜෇༩͞Ε͍ͯͳ͍΋ͷͷϗετͷϓϩηε৘ใΛࢀরͰ͖Δ ঢ়ଶʹͳ͍ͬͯ·ͨ͠ɻ ίϯςφϒϨΠΫΞ΢τͷྫͰ͸Α͘ಛݖίϯςφʹϑΥʔΧε͕౰ͯΒΕ·͕͢ɺ ಛݖ͕෇༩͞Ε͍ͯͳ͘ͱ΋ϦεΫ͸ൃੜ͠ಘ·͢ɻ BQJ7FSTJPOW LJOE1PE NFUBEBUB OBNFIFMMPBQQ MBCFMT
BQQIFMMPBQQ TQFD DPOUBJOFST OBNFIFMMPBQQ JNBHFCVTZCPY DPNNBOE<CJOTI D XIJMFEPFDIP EBUF IFMMP EFWTUEPVUTMFFQEPOF> FOW OBNF4&$3&5@7"-6& WBMVF"$$&44@50,&/ IFMMPBQQZBNM BQJ7FSTJPOW LJOE1PE NFUBEBUB MBCFMT BQQMPHFYQMPJU OBNFMPHFYQMPJU TQFD IPTU1*%USVF DPOUBJOFST JNBHFVCVOUV OBNFMPHFYQMPJU DPNNBOE<CJOCBTI D TMFFQJO fi OJUZ> MPHFYQMPJUZBNM

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ঺հͨ͠ϦεΫͷཁҼ͸ɺ͍ͣΕ΋ίϯςφͷִ཭ੑ͕௿Լ͍ͯͨ͜͠ͱʹ͋Γ·͢ɻ ࠓճͷྫͰ͸ઃఆෆඋ͕ཁҼͰ͕ͨ͠ɺίϯςφϥϯλΠϜ΍ϗετͷ੬ऑੑʹΑִͬͯ཭ੑͷ ௿Լ͕Ҿ͖ى͜͞ΕΔέʔε΋͋Γ·͢ɻ

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ίϯςφ։ൃऀ͸͜ͷ͜ͱΛҙࣝ͠ɺʮίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ʯͤ͞ΔΑ͏ͳରࡦΛߦ͏ ඞཁ͕͋Γ·͢ɻ

つづきは書籍で！！ "NB[PO 買ってね！！

·ͱΊʢॻ੶ࣥචΛ௨ͯ͠ͷײ૝ʣ ✅ຊΛಡΉ͜ͱ͸ίεύ͕ྑ͍ ɹ✔ຊॻͷࣥච࣌ؒͷ͏ͪ൒෼ۙ͘͸఻͑Δ͜ͱʹ͔͚ͨ࣌ؒ ɹ✔ੈͷதͷॻ੶΋ಉ͡Α͏ͳഎܠΛ͍࣋ͬͯΔ͸ͣ ɹ✔ಡΉ࣌ؒॻ࣌ؒ͘ ✅ࣗ෼ͷॻ͍ͨຊΛಡΜͰ΋Β͑Δͬͯ͘͢͝خ͍͠ʂ ɹ✔ಡΜͰ͘ΕΔ͚ͩͰຊ౰ʹخ͍͠ʢങͬͯ͘ΕͨΒ΋ͬͱخ͍͠ʣ ɹ✔ͥͻ9౳Ͱײ૝ڭ͍͑ͯͩ͘͞🙏 ✅օ༷ʹײँ ɹ✔ϨϏϡϫʔɺग़൛ࣾͷํʹͱͯ΋ॿ͚ΒΕͨ
ɹ✔ࣥචதʹपғͷํʑ͕͔͚ͯ͘Εͨݴ༿͸ຊ౰ʹࢧ͑ʹͳͬͨ ෼͔Γқ͘ ਖ਼֬ʹ఻͑Δ ίϯςϯπΛ࡞Δ 5PUBM)

ࣄ຿࿈བྷ🙏 ੜ࢈ܭըΛ׬શʹޡΓ·ͨ͠ɻ Ͳ͏͔օ༷ͷຊʹ΋ه೦ʹషΒ͍ͤͯͩ͘͞ɻ

5IBOL:PV Novice I ❤ You だze！！

リスクから学ぶKubernetesコンテナセキュリティ/k8s-risk-and-security

リスクから学ぶKubernetesコンテナセキュリティ/k8s-risk-and-security

mochizuki875

More Decks by mochizuki875

Other Decks in Technology

Featured

Transcript

!NPDIJ[VLJ ϦεΫ͔ΒֶͿ,VCFSOFUFTίϯςφηΩϡϦςΟ ίϯςφ։ൃऀ͕͓͓͑ͯ͘͞΂͖جૅ஌ࣝ ,VCFSOFUFT/PWJDF5PLZP

XIPBNJ !NPDIJ[VLJ 🌕,FJUB.PDIJ[VLJ ❤,VCFSOFUFT 🚨"GPY OPUBSBDDPPOEPH 📖/FYU1VCMJTIJOH ʮ,VCFSOFUFT4FDSFU؅ཧೖ໳ʯڞஶ

஫ҙࣄ߲ ࣗஶͷ13ΛؚΈ·͢ ຊൃද͸αΠόʔ߈ܸΛߠఆ͢Δ΋ͷͰ͸͋Γ·ͤΜ ܝࡌ಺༰͸ݸਓͷݟղͰ͋Γɺॴଐ͢Δاۀ΍૊৫ͷཱ৔ɺઓུɺҙݟΛ୅ද͢Δ΋ͷͰ͸͋Γ·ͤΜ هࡌ͞Ε͍ͯΔձ໊ࣾɺ঎඼໊ɺ·ͨ͸αʔϏε໊͸ɺ֤ࣾͷ঎ඪొ࿥·ͨ͸঎ඪͰ͢

ηΩϡϦςΟʁ コンテナセキュリティやって。

ηΩϡϦςΟʁ ͿͬͪΌ͚΍Γͨ͘ͳ͍ 何やれば良いの？ 🧐 むずそう 😫 非機能要件 ⚙ ダルい 🥱

ηΩϡϦςΟʁ Ͱ΋΍Βͳ͖Ό͍͚ͳ͍ ಛʹ࢖͍࢝ΊΔͱඞཁʹͳΔ 🤮

ηΩϡϦςΟʁ $/$'"//6"-4637&: IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ

ηΩϡϦςΟʁ $/$'"//6"-4637&: IUUQTXXXDODGJPSFQPSUTDODGBOOVBMTVSWFZ

͡Ό͋Ͳ͏޲͖߹͏͔ʁ ಛఆͷϓϥΫςΟεʹ४ڌ͢Δ FH ɹ✔/*4541"QQMJDBUJPO$POUBJOFS4FDVSJUZ(VJEF ɹ ✔08"41,VCFSOFUFT4FDVSJUZ$IFBU4IFFU ɹɹɹ✔08"41,VCFSOFUFT5PQ5FO ɹ

ॻ੶঺հ ϦεΫ͔ΒֶͿ,VCFSOFUFTίϯςφηΩϡϦςΟ ίϯςφ։ൃऀ͕͓͓͑ͯ͘͞΂͖جૅ஌ࣝ αΠζɿ#มܗ൛ ϖʔδ਺ɿϖʔδ ܗࣜɿࢴ൛ిࢠ൛ ఆՁɿ ԁʢຊମ ԁʴ੫ʣ ग़൛ࣾɿᠳӭࣾ

ॻ੶঺հ 再現可能な形でハンズオン手順を詳細に記載コピペできるようにリポジトリも公開

ॻ੶঺հ コマンドや文字だけではイメージし辛いリスクや対策について図を用いて丁寧に解説

͝ڠྗ௖͍ͨօ༷ ຊॻͷϨϏϡʔΛ͸͡Ίɺຊ౰ͷͨ͘͞Μͷํʑʹ͝ڠྗ௖͖·ͨ͠ɻ

ݕূ؀ڥͷ४උ ݕূ؀ڥͱͯ͠6CVOUVαʔόʔ্ʹNJOJLVCFΛ༻͍ͯ,VCFSOFUFTΫϥελΛ༻ҙɻ શͯͷϋϯζΦϯ͸͜ͷ؀ڥΛ༻͍࣮ͯࢪɻ 6CVOUV ,7. ,VCFSOFUFTW ʢCZNJOJLVCFʣ

ୈ෦ίϯςφηΩϡϦςΟ΁ͷಋೖ ίϯςφ΍,VCFSOFUFTͷجૅ͓Αͼ࢓૊ΈΛ౿·͑ɺ ίϯςφηΩϡϦςΟͷ֓ཁ΍είʔϓΛղઆɻ

チョイ見せ

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ 08"41,VCFSOFUFT5PQ5FO 5PQ,VCFSOFUFT3JTLTΑΓ IUUQTPXBTQPSHXXXQSPKFDULVCFSOFUFTUPQUFOFOTSD,JOTFDVSFXPSLMPBEDPO fi HVSBUJPOT

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ᶃ߈ܸऀ͕1PEʹؚ·ΕΔίϯςφʹ৵ೖ ʢࠓճ͸LVCFDUMFYFDίϚϯυΛ࢖༻ʣ ᶄ৵ೖͨ͠ίϯςφ಺ͰಛఆͷίϚϯυΛ࣮ߦ͠ɺ ɹ/PEFʹ৵ೖ ᶅ/PEFͰ೚ҙͷίϚϯυΛ࣮ߦ コンテナへの侵入は CASE1で解説！

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ LVCFDUMFYFDJUTBNQMFXFCCJOCBTI SPPU!TBNQMFXFCOTFOUFSUBCJOCBTI CBTI CBTIIPTUOBNF NJOJLVCF CBTIUPVDIDSFBUFGSPNDPOUBJOFSUYU CBTIMT $)"/(&-0( CJO

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ৵ೖ͞Εͨίϯςφ͔Βίϯςφϗετ /PEF Λૢ࡞Ͱ͖ͯ͠·ͬͨཁҼ͸ɺ ओʹίϯςφʹಛݖ͕෇༩͞Ε͍ͯͨ͜ͱʹ͋Γ·͢ɻ BQJ7FSTJPOW LJOE1PE NFUBEBUB OBNFTBNQMFXFC MBCFMT

One more things... （書籍未掲載）

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ࣄલʹQTίϚϯυͰର৅ίϯςφͷ1%Λ֬ೝ SPPU!QJEFYQMPJUDBUQSPD1%FOWJSPO 1"5)VTSMPDBMTCJOVTSMPDBMCJOVTSTCJOVTSCJOTCJOCJO)045/".&IFMMPBQQ4&$3&5@7"-6&"$$&44@50,&/ʜ SPPU!QJEFYQMPJUMTQSPD1*%SPPU CJO EFW FUD IPNF

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ঺հͨ͠ϦεΫͷཁҼ͸ɺ͍ͣΕ΋ίϯςφͷִ཭ੑ͕௿Լ͍ͯͨ͜͠ͱʹ͋Γ·͢ɻ ࠓճͷྫͰ͸ઃఆෆඋ͕ཁҼͰ͕ͨ͠ɺίϯςφϥϯλΠϜ΍ϗετͷ੬ऑੑʹΑִͬͯ཭ੑͷ ௿Լ͕Ҿ͖ى͜͞ΕΔέʔε΋͋Γ·͢ɻ

$"4&ίϯςφ͔ΒίϯςφϗετΛૢ࡞͞Εͯ͠·ͬͨ ίϯςφ։ൃऀ͸͜ͷ͜ͱΛҙࣝ͠ɺʮίϯςφͷִ཭ੑΛҡ࣋ɾ޲্ʯͤ͞ΔΑ͏ͳରࡦΛߦ͏ ඞཁ͕͋Γ·͢ɻ

つづきは書籍で！！ "NB[PO 買ってね！！

ࣄ຿࿈བྷ🙏 ੜ࢈ܭըΛ׬શʹޡΓ·ͨ͠ɻ Ͳ͏͔օ༷ͷຊʹ΋ه೦ʹషΒ͍ͤͯͩ͘͞ɻ

5IBOL:PV Novice I ❤ You だze！！