Copyright Ⓒ 2019 GOODWITH LLC All Rights Reserved. Tomoya Amachi (@tomoyamachi) クラウド時代のセキュリティ を ふりかえる

Who am I? ● Tomoya AMACHI/天地 知也 ● @tomoyamachi ● CEO at GOODWITH LLC.,

前置き

情報セキュリティの3要素 : CIA ● 機密性 Confidentiality ○ 許可された者だけが利用できる ○ eg)認証認可 / 暗号化 / ファイルの削除 ● 完全性 Integrity ○ 情報の改ざんがない ○ eg) バックアップ / 保管ルールの徹底 ● 可用性 Availability ○ いつでも利用できる ○ eg) セカンダリサーバ/ VPN経由で外部から接続 http://www.privacymark.co.jp/isms/index_1.html

Pets vs Cattles 〜 クラウドによるインフラの家畜化 サーバはいくらでも 替えがきくものと捉える 指標 ● 毎日デプロイできる? ● 環境をすぐ作り直せる? https://developer.ibm.com/articles/mw-1708-bornert/

最近のアプローチ

機密性への新たなアプローチ ● データをディスクに保存しない ○ 重要データはメモリ上にのみ展開する ○ 暗号化されている場所から、必要時のみ取得する ○ 一時的なクレデンシャル情報を作成し、すぐ廃棄する ● アプローチ ○ Hashicorp Vault : Dynamic Secrets ○ AWS Secrets Manager etc

完全性への新たなアプローチ ● ディスクのデータを変更しない ○ Immutableに保つ。差分運用をしない ○ 直接シェルにログインしてコマンドを叩かない ○ System Callを監視し、書き込みがあればキャッチ ● アプローチ ○ パッチ運用をやめ、Docker Imageをビルドしなおす ○ Serverless

可用性への新たなアプローチ ● 高速なデプロイ ○ オートヒーリング(自動回復) ○ サーバが死んでも、すぐつくればいいじゃん ● アプローチ ○ 起動時のオーバヘッドの少ない技術を利用 ■ 軽量なVM ■ コンテナ技術

まとめ 同じことが詳しく書かれて いたので、こちらの資料も おすすめします… https://www.slideshare.net/sounilyu/distributed-immutabl e-ephemeral-new-paradigms-for-the-next-era-of-security

唐突な余談 ● Kubernetesに攻撃したい人へ ○ kubernetes-simulator/simulator で遊ぼう