Slide 1

Slide 1 text

クラウドネイティブ 時代に必要な コンテナセキュリティの 考え⽅と対応策

Slide 2

Slide 2 text

スライドは後で⼊⼿することが出来ますので 発表中の内容をメモする必要はありません。 写真撮影をする場合は フラッシュ・シャッター⾳が出ないようにご配慮ください Attention

Slide 3

Slide 3 text

3 #cmdevio2019sec

Slide 4

Slide 4 text

4 ⾃⼰紹介 濱⽥孝治(ハマコー) •2017年9⽉⼊社 •AWS事業本部コンサルティング部 •ECS、Fargate、EKS •hamako9999

Slide 5

Slide 5 text

5 ここ半年ほどの業務 • ECS(⾃社メディアサイトのマイクロサービス化) • ECS(⾃動⾞向けコネクテッドサービスのECS構 築) • ECS(Docker運⽤店舗向けサービスのマルチテ ナント→ECS化) • EKS(位置情報分析サービスのEKS化) • ECS(⾃社運⽤k8sからECSへの移⾏)

Slide 6

Slide 6 text

6 要は コンテナまみれ

Slide 7

Slide 7 text

7 みなさんコンテナワークロードを 本番運⽤されていますか︖

Slide 8

Slide 8 text

8 コンテナを導⼊されようとしている⽅は︖

Slide 9

Slide 9 text

9 今⽇持ち帰っていただきたい事 コンテナ運⽤における セキュリティの考え⽅ と Aqua Container Security

Slide 10

Slide 10 text

10 AGENDA • コンテナとは • コンテナ利⽤時のセキュリティ考慮点 • Aqua Container Security Platformとは︖ • Aqua Container Security デモ

Slide 11

Slide 11 text

Photo by Fancycrave on Unsplash コンテナとは 11

Slide 12

Slide 12 text

12 コンテナ型仮想化技術とは Server Server Host OS 仮想化ソフトウェア Guest OS Guest OS App A App B App A App B ホストOS型仮想化 Host OS kernel Container A Container B コンテナ型仮想化 ハードウェアを演算により再現しGuest OSを作るためオーバーヘッドが⼤きい 仮想化ソフトウェアなしにOSのリソース を隔離し、仮想OSとする。これを、コン テナと呼ぶ。

Slide 13

Slide 13 text

13 コンテナ(Docker)の作り⽅ • Dockerfileを利⽤して、コンテナーの構成内容をまと めて記述する • シンプルなテキスト形式 • コマンドと引数を順番に並べて、docker image build により、Dockerイメージが⽣成される docker image build Dockerfile Docker image

Slide 14

Slide 14 text

14 コンテナ(Docker)のすごいところ インフラの構築からプロビジョニングから アプリケーションのインストールまで ⼀つのテキストファイルで記述できる

Slide 15

Slide 15 text

15 Dockerfileのすごいところ EC2 コンテナ インフラの構築 • CloudFormation • Terraform Dockerfile プロビジョニング • EC2のUser Data • Ansible アプリケーション デプロイ • CodeDeploy

Slide 16

Slide 16 text

16 コンテナを使うメリット アプリケーション開発において 必ずおさえておくべきは 3つ

Slide 17

Slide 17 text

17 コンテナを使うメリット 複数の環境でつかいやすい 頻繁に変更しやすい 増えたり減ったりさせやすい

Slide 18

Slide 18 text

18 コンテナを使うメリット 複数の環境でつかいやすい 頻繁に変更しやすい 増えたり減ったりさせやすい DBは別にして、開発〜検証〜本番で同じイメージを使う どんどん機能追加をしていきたい 負荷に応じて弾⼒的に数を変えたい

Slide 19

Slide 19 text

Photo by Fancycrave on Unsplash コンテナ利⽤時の セキュリティ考慮点 19

Slide 20

Slide 20 text

20 ここで改めて考える コンテナの場合 セキュリティの考慮点が 従来のままでよいのか︖

Slide 21

Slide 21 text

21 セキュリティ上の考慮点 ①コンテナがカバーする対象範囲の⼤きさ ②ホストインスタンスが無い コンテナ実⾏環境の普及

Slide 22

Slide 22 text

22 セキュリティ上の考慮点 ①コンテナがカバーする対象範囲の⼤きさ

Slide 23

Slide 23 text

EC2 コンテナ インフラの構築 • CloudFormation • Terraform Dockerfile プロビジョニング • EC2のUser Data • Ansible アプリケーション デプロイ • CodeDeploy 23 Dockerfileのすごいところ(再掲)

Slide 24

Slide 24 text

24 ⼀体どのタイミングで何を保護するのか︖ docker image build Dockerfile Docker image docker container run Docker Container End User 変更のたびに全てを⾼速に繰り返す

Slide 25

Slide 25 text

25 セキュリティ上の考慮点 ②ホストインスタンスが無い コンテナ実⾏環境の普及

Slide 26

Slide 26 text

26 AWSにおける代表的なコンテナ実⾏環境

Slide 27

Slide 27 text

27 AWS Fargateとは • サーバーを管理することなくコンテナを実⾏可能 • 仮想マシンのクラスターのプロビジョニングが不要 →コンソールからEC2が全く⾒えない

Slide 28

Slide 28 text

28 セキュリティ上の考慮点 コンテナの特性を活かすと 今までとは違うセキュリティの考え⽅が 必要になってくる

Slide 29

Slide 29 text

具体策として⼀つ ご提案 29