Save 37% off PRO during our Black Friday Sale! »

20171114inCyberAgent

Aab7c6d658aacb246ad1c26e3bf95d9b?s=47 okazaki hajime
November 14, 2017
Technology
4
1.5k

 20171114inCyberAgent

https://connpass.com/event/70903/

Aab7c6d658aacb246ad1c26e3bf95d9b?s=128

okazaki hajime

November 14, 2017
Tweet

More Decks by okazaki hajime

See All by okazaki hajime
Aab7c6d658aacb246ad1c26e3bf95d9b?s=48 okazakihajime
0
420
Aab7c6d658aacb246ad1c26e3bf95d9b?s=48 okazakihajime
0
99

Other Decks in Technology

See All in Technology
8fa31051503b09846584c49cd53d2f80?s=48 asei
0
280
D907136acebc72f1df878541b26f271a?s=48 pichuang
0
640
4852f047f15c6ef357eb08c62d1c31bf?s=48 shimasan
0
230
D8d463da5ab4a99265ffc1d12e76cbc9?s=48 sagara
0
110
87e6be3b5dcac822e5dfd974ba65045a?s=48 sammy7th
0
280
590fe37e032309f0f2657135085e395d?s=48 kmotohas
0
400
4ccf6c02807d06f043a71435c48ce86a?s=48 eller86
2
1.1k
745caa382e7298ca099e1e43e927e111?s=48 noko
0
140
D8d463da5ab4a99265ffc1d12e76cbc9?s=48 sagara
0
200
D65ac1a4aacb7a449bb61cef10fb7143?s=48 yamanoku
3
2.2k
847a328633b1df6b11cc2f72430025e6?s=48 ks91
PRO
0
180
50bc42471d197d0dbef7171f2ef85bb6?s=48 comucal
PRO
0
460

Featured

See All Featured
812e1705ff0f8bc1bcf18587bde687d5?s=48 62gerente
595
210k
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
118
27k
4262b9cfacfb6b2c77f23e1d0310cd3e?s=48 myddelton
110
11k
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
195
9.1k
E4f5d494ebdc9e7cce1aecf3ce3e8bc1?s=48 shpigford
373
43k
C157b16234f1e75e8eac3698c1d4414a?s=48 ddemaree
272
32k
Ded01cdab114abe4ec13511e4c25b9bb?s=48 andyhume
67
4.6k
245cee81a9c424266e5e401d844ea881?s=48 lara
175
11k
A16eb159db895e3b01d3dc95767ad595?s=48 jonyablonski
40
1.8k
1177e050db6bafe62885362edf6e3537?s=48 lauravandoore
18
2.5k
9952dfcd5d338f8a8e7175c8a8f65fb5?s=48 wjessup
342
16k
462dad0dd24c568a32dcdb0ae895ae1b?s=48 rasmusluckow
318
19k

Transcript

  1. Dockerを始めて1週間の セキュリティエンジニア 2017/11/14(Tue) CyberAgent - AdtechStudio Security okazaki hajime

  2. 自己紹介 • 氏名:岡崎 創(おかざき はじめ) • 出身:埼玉県春日部市 (クレヨンしんちゃんの街) • 職歴: ◦ 3年くらい LAMP環境のフロントエンジニア

    ◦ その後、3年くらい 上記のインフラエンジニア(サーバエンジニア) ◦ その後、1年くらい  Webアプリケーションの脆弱性診断 ◦ その後、サイバーエージェント アドテク本部に入社( 2015/6) • 現在:アドテク本部セキュリティグループに所属

  3. 今日はコンテナ縛り?!

  4. 本日は Docker Security Beginner

  5. Docker歴:1週間程度 • 利用したDocker version ◦ Docker version 17.09.0-ce • Dockerの登場人物

    ◦ クライアント、デーモン、コンテナ、イメージ、レジストリ   • とりあえず、docker run をしてみた • Docker イメージの作成の仕方は、2つある? ◦ dockerfileを「使う」か「使わないか」 • 現在この程度、、、

  6. docker architecture 参考: http://docs.docker.jp/engine/introduction/understanding-docker.html Dockerアーキテクチャ

  7. • クライアントとデーモン間 ◦ セキュアな通信 ◦ 接続制御 • レジストリ ◦ セキュアな通信

    ◦ 接続制御 • イメージ ◦ イメージの信頼性 • コンテナ ◦ コンテナの信頼性 ◦ システムコールの制御 Dockerアーキテクチャ - セキュリティポイント

  8. docker architecture - security point 参考: http://docs.docker.jp/engine/introduction/understanding-docker.html Dockerアーキテクチャ - セキュリティポイント

  9. • クライアントとデーモン間 ◦ セキュアな通信 ◦ 接続制御 • レジストリ ◦ セキュアな通信

    ◦ 接続制御 • イメージ ◦ イメージの信頼性 • コンテナ ◦ コンテナの信頼性 ◦ システムコールの制御 クライアントとデーモン間

  10. クライアントとデーモン間 参考: http://docs.docker.jp/engine/introduction/understanding-docker.html

  11. クライアントとデーモン間 • TLSを利用して安全に接続しましょう • また、上記の証明書はクライアント認証にも使えます #デーモン設定に追加 $ vim /usr/lib/systemd/system/docker.service [Service]

    # ExecStart=/usr/bin/dockerd ExecStart=/usr/bin/dockerd --tlsverify --tlscacert=ca.pem --tlscert=server.pem --tlskey=server-key.pem -H tcp://0.0.0.0:2376 $ systemctl daemon-reload $ systemctl restart docker

  12. レジストリ 参考: http://docs.docker.jp/engine/introduction/understanding-docker.html

  13. • クライアントとデーモン間 ◦ セキュアな通信 ◦ 接続制御 • レジストリ ◦ セキュアな通信

    ◦ 接続制御 • イメージ ◦ イメージの信頼性 • コンテナ ◦ コンテナの信頼性 ◦ システムコールの制御 レジストリ

  14. レジストリ • こちらでも証明書により、通信の暗号化とクライアント認証が可能 *クライアント側 /etc/docker/certs.d/ <-- Certificate directory └── localhost:5000

    <-- Hostname:port ├── client.cert <-- Client certificate ├── client.key <-- Client key └── ca.crt <-- Certificate authority that signed the registry certificate

  15. イメージ 参考: http://docs.docker.jp/engine/introduction/understanding-docker.html

  16. • クライアントとデーモン間 ◦ セキュアな通信 ◦ 接続制御 • レジストリ ◦ セキュアな通信

    ◦ 接続制御 • イメージ ◦ イメージの信頼性 • コンテナ ◦ コンテナの信頼性 ◦ システムコールの制御 イメージ

  17. イメージ • Enterprise edition advancedプランには「Docker Security Scanning」があります ◦ Image security

    scanning and continuous vulnerability scanning • Docker Hub内のOfficialイメージはDocker Security Scanningによってセキュリティス キャンが行われています

  18. Docker Security Scanning CVE(Common Vulnerabilities and Exposures):脆弱性情報データベースと連動 参考: https://success.docker.com/Architecture/Docker_Reference_Architecture%3A_Securing_Docker_EE_and_Security_Best_Practices

  19. Docker Security Scanning 参考: https://docs.docker.com/docker-cloud/builds/image-scan/

  20. ちなみに価格は? 参考: https://www.docker.com/pricing

  21. コンテナ 参考: http://docs.docker.jp/engine/introduction/understanding-docker.html

  22. • クライアントとデーモン間 ◦ セキュアな通信 ◦ 接続制御 • レジストリ ◦ セキュアな通信

    ◦ 接続制御 • イメージ ◦ イメージの信頼性 • コンテナ ◦ コンテナの信頼性 ◦ システムコールの制御 コンテナ

  23. コンテナ • Docker Bench for Security(無料) ◦ コンテナに対するセキュリティチェックが可能 #以下のコマンドで構築可能 $

    sudo docker run -it --net host --pid host --cap-add audit_control \ -v /var/lib:/var/lib \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /usr/lib/systemd:/usr/lib/systemd \ -v /etc:/etc --label docker-bench-security \ diogomonica/docker-bench-security 参考: https://github.com/docker/docker-bench-security

  24. 無料!?

  25. Docker Bench for Security *チェック項目 [INFO] 1 - Host Configuration

    [INFO] 2 - Docker Daemon Configuration [INFO] 3 - Docker Daemon Configuration Files [INFO] 4 - Container Images and Build Files [INFO] 5 - Container Runtime [INFO] 6 - Docker Security Operations *結果 [INFO] 4 - Container Images and Build Files [WARN] 4.1 - Create a user for the container [WARN] * Running as root: vibrant_bassi [WARN] * Running as root: mysql [WARN] * Running as root: php ー> コンテナがrootユーザで動作しているため、警告!

  26. コンテナ --security-opt • docker run時のオプション「--security-opt」で ◦ SELinuxやAppArmorなどのLinuxのアクセス制御を実現できる ◦ dockerのプロセスを指定した SELinuxのラベルやAppArmorのDomainを用いて動かせる

    ◦ AppArmorはMAC(Mandatory Access Control - 強制アクセス制御)を実現するためのミドルウェア ▪ AppArmorはプログラム単位でファイル・プロセスごとにセキュリティプロファイルを適用できる ◦ プロファイルでは: ▪ どのファイルにどのようにアクセス可・不可 ▪ ネットワークやSocketなどへのアクセス可・不可 • seccomp(secure computing mode) ◦ コンテナ上で利用可能なシステムコールを制御可能 参考:  https://docs.docker.com/engine/security/apparmor/  https://oss.sios.com/security/docker-security-20160223

  27. コンテナ $ grep SECCOMP /boot/config-$(uname -r) CONFIG_HAVE_ARCH_SECCOMP_FILTER=y CONFIG_SECCOMP_FILTER=y CONFIG_SECCOMP=y *通常

    $ docker container run --rm -it --security-opt seccomp=default.json alpine sh / # chmod 777 / -v mode of '/' changed to 0777 (rwxrwxrwx) *chmod禁止パターン $ docker container run --rm -it --security-opt seccomp=default-no-chmod.json alpine sh / # chmod 777 / -v chmod: /: Operation not permitted 参考: https://github.com/docker/labs/tree/master/security/seccomp

  28. このあたりは、よくわからない 今後の課題

  29. Understanding Docker Security and Best Practices 参考:  https://blog.docker.com/2015/05/understanding-docker-security-and- best-practices/ DOCKER

    SECURITY blog https://www.docker.com/docker-security

  30. ご清聴 ありがとうございました