KubeClarityで始めるSBOM管理 @3-shake SRE Tech Talk / 3-shake-sre-teck-talk-202212

by Masaya Aoyama (@amsy810)

Slide 1

Slide 1 text

Masaya Aoyama CyberAgent KubeClarityͰ࢝ΊΔSBOM؅ཧ 3-shake SRE Tech Talk 2022 ΫϦεϚε௚લձ amsy810 @amsy810

Slide 2

Slide 2 text

- Co-chair ⻘⼭真也 + CREATIONLINE - 技術アドバイザ + SAKURA Internet Research Center – 客員研究員 + 3-shake 技術顧問 + PLAID - Organizer - KaaS Product Owner - Publications Twitter: @amsy810

Slide 3

Slide 3 text

ebpfとWASMに思いを馳せる2022 @TechFeed Conference 2022 https://speakerdeck.com/masayaaoyama/techfeed-conference-2022-ebpf-wasm-amsy810

Slide 4

Slide 4 text

APIClarity とは Shadow/Zonbie API の検知・OpenAPI specの再構成

Slide 5

Slide 5 text

APIClarity - architecture HTTP Traffic を外部のバックエンドに転送する WASM Filter を利⽤ *2

Slide 6

Slide 6 text

OpenClarity プロジェクトセキュリティや Observability のための OSS ツール群を開発するプロジェクト Cisco がリード（KubeCon + CNCon NA 2022 の Keynote でも紹介）

Slide 7

Slide 7 text

KubeClarity

Slide 8

Slide 8 text

KubeClarity とは︖ SBOM（Software Bill Of Materials）の⽣成 • Content Analyzer: Syft 脆弱性スキャン • Vulnerability Scanner: Grype CSI Docker Benchmark のテスト • Banchmarker: Dockle

Slide 9

Slide 9 text

KubeClarity のアーキテクチャイメージ単位で Job を起動し、 SBOMの⽣成と脆弱性スキャンを実施

Slide 10

Slide 10 text

Syft と Grype による⾼速なスキャン Syft: SBOM を⽣成 Grype: SBOM を利⽤した脆弱性スキャン Syft Grype SBOM 脆弱性情報 KubeClarity では PostgreSQL に蓄積脆弱性スキャンの⾼速化 https://github.com/openclarity/kubeclarity/blob/7f3d166ad4feb0bda931 38e6c4e4fe12b6c360a5/runtime_k8s_scanner/pkg/scanner/scanner.go#L77

Slide 11

Slide 11 text

KubeClarity におけるデータ • Application: 実⾏されているPod（実際にはDeploymentなどの粒度） • Application Resource: コンテナイメージ • Package: 利⽤しているパッケージ（rpm や deb などの OS 系 / npm や gomod などの⾔語系） • Vulnerability: 脆弱性情報 Application (Pod) Application Resource (Container Image) Package (rpm, npm, gomod, etc) Vulnerability (CVE) SBOM

Slide 12

Slide 12 text

OpenClarity の Web UI

Slide 13

Slide 13 text

OpenClarity の Web UI

Slide 14

Slide 14 text

OpenClarity の Web UI

Slide 15

Slide 15 text

OpenClarity の Web UI

Slide 16

Slide 16 text

OpenClarity の Web UI

Slide 17

Slide 17 text

OpenClarity の Web UI

Slide 18

Slide 18 text

OpenClarity の Web UI

Slide 19

Slide 19 text

OpenClarity の Web UI

Slide 20

Slide 20 text

Demo • デプロイした microservice-demo に対する SBOM/脆弱性スキャン下記にて Web UI を公開しているので、興味のある⽅は触ってみてください https://bit.ly/amsy-kc （セッション終了後 30 分程度で削除予定） kubectl apply -f https://raw.githubusercontent.com/GoogleCloudPlatform/microservices-demo/v0.5.0/release/kubernetes-manifests.yaml helm repo add kubeclarity https://openclarity.github.io/kubeclarity helm install --create-namespace kubeclarity kubeclarity/kubeclarity -n kubeclarity --set kubeclarity.service.type=LoadBalancer --version v2.9.0

Slide 21

Slide 21 text

Thank you for your attention Twitter: @amsy810