OpenClarityの裏側を知りたい

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Copyright © 3-shake, Inc. All Rights Reserved. ❏ 某 SIer で業務系アプリケーションの保守運用や Devops 推進、金融機関向けのクラウドアプリケーションの保守運用を経験したのちスリーシェイクにジョイン ❏ 趣味はサウナ、旅行、サッカー観戦（町田ゼルビア推し） ❏ 注文住宅で家を建てるため専ら各所の土地散策で土日が潰れる ❏ 最近Google Cloud資格全冠取得しました！自己紹介 kojake_300 株式会社スリーシェイク Sreake 事業部 2

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Copyright © 3-shake, Inc. All Rights Reserved. ソフトウェアサプライチェーンにおけるセキュリティ 5 コーディングビルドパッケージングデプロイ実行 * 静的解析 * 動的解析 * 脆弱性スキャン * クレデンシャル情報のスキャン * イメージ署名 * 脆弱性スキャン依存関係 * イメージ署名 * ランタイムセキュリティ * ランタイムスキャンソフトウェアを安全に届けるための最新動向 2022

Slide 6

Slide 6 text

Slide 7

Slide 7 text

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityとは 7 ● エージェントレスで様々なセキュリティ脅威を検知するオープンソースツール。 ● 元々は OpenClarity プロジェクトとして KubeClarity と VMClarity が開発・運用されていたが、二つの機能を統合しつつ新しい機能を組み込んだ OpenClarityが 2024/10/12にv1.0.0としてリリースされた。 ● セキュリティ脅威の検知はTrivyなどのOSSを使用しており、OpenClarityはUIでのスキャン結果のダッシュボードや検出された脆弱性の詳細検索など、セキュリティの統合プラットフォームのようなイメージ。 Project announcement: OpenClarity #882 https://openclarity.io/docs/features/#scanning

Slide 8

Slide 8 text

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのランタイムスキャン 8 # 機能ツール群 2 脆弱性スキャンエクスプロイト取得 3 クレデンシャルスキャン 4 マルウェアスキャン 5 ミスコンフィグレーションスキャン 6 ルートキットスキャン 7 - Grype - Trivy 1 SBOM生成*** - Syft - Windows Registry* - Trivy - Cyclonedx-gomod - Go exploit db - Secrets - ClamAV - YARA - Lynis** - KICS*** - CIS Docker benchmark - Chkrootkit** * : Windowsのみ ** : Linux and MacOSのみ *** : CLIのみスキャン時に1つ以上のOSSツールを使用します。出力する際は1つにマージするため、より漏れのないスキャン結果を取得することが可能です。

Slide 9

Slide 9 text

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

Copyright © 3-shake, Inc. All Rights Reserved. セットアップ 12 公式ドキュメントの通り k8s クラスタにインストールする。 https://openclarity.io/docs/getting-started/deploy-kubernetes/#deployment-steps providerはkubernetesを設定します。これによりクラスタ内で動作しているコンテナのディスカバリとスキャンが可能になります。

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityの特徴的な機能 25 https://openclarity.io/docs/usage/openclarity_stack/ ❏ OpenClarityは、実行中のコンテナを対象に脆弱性スキャンを実施する。 ❏ 似たようなツールにTrivy-Operatorがあるが、実行中のコンテナイメージをレジストリから Pullして脆弱性スキャンを実施するため、動作しているコンテナそのものをスキャンしているわけではない。どうやっているんだろう。。。公式ドキュメントも詳しくは書いてないし。。。

Slide 26

Slide 26 text

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityの特徴的な機能 26 https://openclarity.io/docs/usage/openclarity_stack/ ❏ OpenClarityは、実行中のコンテナを対象に脆弱性スキャンを実施する。 ❏ 似たようなツールにTrivy-Operatorがあるが、実行中のコンテナイメージをレジストリから Pullして脆弱性スキャンを実施するため、動作しているコンテナそのものをスキャンしているわけではない。どうやっているんだろう。。。ならいっそソースリーディングしてみるか！

Slide 27

Slide 27 text

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのスキャンコア機能 27 OpenClarityのスキャンコア機能コンテナディスカバリコンテナスキャン ● 特定のNode上にデプロイされているコンテナのメタデータを取得。 ● 取得したメタデータをアセットとして登録。 ● スキャンリクエストの受け付け。 ● Scanner Jobの起動。 ● 動作中のコンテナイメージからコピーを生成。 ● Scanner Jobへコンテナイメージのコピーをエクスポートして脆弱性スキャンの実行。

Slide 28

Slide 28 text

Copyright © 3-shake, Inc. All Rights Reserved. 28 OpenClarityのスキャンコアコンポーネント ● 一定間隔でDBからスキャン情報を取得し、一致するコンテナのメタデータを取得。 ● Scanner Jobの起動。 Orchestrator Scanner Job Container Runtime Discovery Watcher Discoverer ● 一定間隔で、クラスタにデプロイされているコンテナのメタデータを取得。 ● 取得したデータをアセットとしてDBに保存。 ● スキャン対象のコンテナのコピーを取得し、脆弱性スキャンを実行。 ● コンテナメタデータ取得、コンテナコピーなどクラスタ内のコンテナに関するコアロジックを担当。

Slide 29

Slide 29 text

Copyright © 3-shake, Inc. All Rights Reserved. 29 Node Container Runtime Discovery API Server POST /assets/{id} DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer Scanner Job Scanner Job0 Scanner Job download-a sset scanner emptyDir ① ③ ④ Pod GET /containers Watcher Poller Queue Reconciler image.tar ConfigMap (config.yaml) Pod・コンテナプロセスコンテナデータファイル OpenClarityのコンテナディスカバリフロー図 docker containerd crio ②

Slide 30

Slide 30 text

Slide 31

Slide 31 text

Copyright © 3-shake, Inc. All Rights Reserved. 31 OrchestratorのDiscovererの動作 https://github.com/openclarity/openclarity/blob/v1.1.2/orchestrator/discoverer/discoverer.go#L100-L113 コンテナディスカバリ ①② コンテナ情報をDBへ登録 ③④ ディスカバリをトリガーする周期は OPENCLARITY_ORCHESTRATOR_DISCOVERY_INTERVAL で変更可能です。デフォルトは2m(120秒)です。

Slide 32

Slide 32 text

Copyright © 3-shake, Inc. All Rights Reserved. 32 コンテナディスカバリ①（OrchestratorのDiscoverer） https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/discoverer/discoverer.go#L38-L68 https://openclarity.io/docs/configuration/#orchestrator ContainerRuntimeDiscoveryの一覧を取得

Slide 33

Slide 33 text

Copyright © 3-shake, Inc. All Rights Reserved. 33 コンテナディスカバリ①（OrchestratorのDiscoverer） https://github.com/openclarity/openclarity/blob/workflow/v1.1.2/provider/kubernetes/discoverer/container.go#L41-L50 https://github.com/openclarity/openclarity/blob/workflow/v1.1.2/provider/kubernetes/discoverer/container.go#L54 ContainerRuntimeDiscoveryに対してリクエストを送信

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Copyright © 3-shake, Inc. All Rights Reserved. 35 コンテナディスカバリ②（Container Runtime Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/server.go#L132-L144 https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/containerd/discoverer.go#L364-L380

Slide 36

Slide 36 text

Copyright © 3-shake, Inc. All Rights Reserved. 36 コンテナディスカバリ②（Container Runtime Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/containerd/discoverer.go#L491-L532 containerd moduleの関数 containerd moduleの関数 containerd moduleの関数 containerd moduleの関数

Slide 37

Slide 37 text

Copyright © 3-shake, Inc. All Rights Reserved. 37 Node Container Runtime Discovery API Server POST /assets/{id} DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer Scanner Job Scanner Job0 Scanner Job download-a sset scanner emptyDir ① ③ ④ Pod GET /containers Watcher Poller Queue Reconciler image.tar ConfigMap (config.yaml) Pod・コンテナプロセスコンテナデータファイル OpenClarityのコンテナディスカバリフロー図（再掲） docker containerd crio ②

Slide 38

Slide 38 text

Copyright © 3-shake, Inc. All Rights Reserved. 38 Node Container Runtime Discovery API Server DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer POST /assetScans GET /assetScans Scanner Job Scanner Job0 Scanner Job download-a sset scanner GET /exportcontainer/{id} emptyDir ① ② ③ ⑪ ⑫ Pod Watcher Poller Queue Reconciler ⑤ ⑥ ⑦ ⑨ GET /containers/{id} image.tar ConfigMap (config.yaml) ④ ⑧ Pod・コンテナプロセスコンテナデータファイルコンテナスキャンフロー図 docker containerd crio ⑩ ⑬

Slide 39

Slide 39 text

Copyright © 3-shake, Inc. All Rights Reserved. 39 OrchestratorのWatcherの動作 https://github.com/openclarity/openclarity/blob/v1.1.2/orchestrator/watcher/assetscan/watcher.go#L64-L81 Pollerの起動 ③④⑤ Reconcilerの起動 ⑥～ポーリング間隔は OPENCLARITY_ORCHESTRATOR_ASSETSCAN_WATCHE R_POLL_PERIOD で変更可能です。デフォルトは15sです

Slide 40

Slide 40 text

Slide 41

Slide 41 text

Slide 42

Slide 42 text

Slide 43

Slide 43 text

Copyright © 3-shake, Inc. All Rights Reserved. 43 コンテナスキャン⑨（OrchestratorのWatcherのReconciler） https://github.com/openclarity/openclarity/blob/v1.1.2/orchestrator/watcher/assetscan/watcher.go#L139-L153 コンテナ情報をDBから取得 ⑦⑧

Slide 44

Slide 44 text

Slide 45

Slide 45 text

Slide 46

Slide 46 text

Copyright © 3-shake, Inc. All Rights Reserved. 46 コンテナスキャン⑨（OrchestratorのWatcherのReconciler） https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L88-L105 Container Runtime Discoveryからコンテナメタデータを取得 ⑨⑩

Slide 47

Slide 47 text

Copyright © 3-shake, Inc. All Rights Reserved. 47 コンテナスキャン⑪（OrchestratorのWatcherのReconciler） https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L155-L175 スキャン用config.yamlの ConfigMapを作成

Slide 48

Slide 48 text

Copyright © 3-shake, Inc. All Rights Reserved. 48 コンテナスキャン⑪（OrchestratorのWatcherのReconciler） https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L252 Scanner Jobの起動

Slide 49

Slide 49 text

Copyright © 3-shake, Inc. All Rights Reserved. 49 コンテナスキャン⑫（Scanner Job） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/client/client.go#L167-L169 https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L133-L136 https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L186-L199

Slide 50

Slide 50 text

Slide 51

Slide 51 text

Slide 52

Slide 52 text

Copyright © 3-shake, Inc. All Rights Reserved. 52 コンテナスキャン⑬（Container Runtime Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/containerd/discoverer.go#L395 containerd moduleの関数 containerd moduleの関数

Slide 53

Slide 53 text

Copyright © 3-shake, Inc. All Rights Reserved. 53 コンテナスキャン⑬（Container Runtime Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/containerd/discoverer.go#L457-L488 containerd moduleの関数スナップショットをCommitし、動作中のコンテナからイメージを作成 dockerにもdocker commitというコマンドがあり、動作中のコンテナからイメージを作成します https://dev.classmethod.jp/articles/docker-commit/

Slide 54

Slide 54 text

Copyright © 3-shake, Inc. All Rights Reserved. 54 Node Container Runtime Discovery API Server DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer POST /assetScans GET /assetScans Scanner Job Scanner Job0 Scanner Job download-a sset scanner GET /exportcontainer/{id} emptyDir ① ② ③ ⑪ ⑫ Pod Watcher Poller Queue Reconciler ⑤ ⑥ ⑦ ⑨ GET /containers/{id} image.tar ConfigMap (config.yaml) ④ ⑧ Pod・コンテナプロセスコンテナデータファイルコンテナスキャンフロー図（再掲） docker containerd crio ⑩ ⑬

Slide 55

Slide 55 text

Copyright © 3-shake, Inc. All Rights Reserved. 55 Node Container Runtime Discovery API Server POST /assets/{id} DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer POST /assetScans GET /assetScans Scanner Job Scanner Job0 Scanner Job download-a sset scanner GET /exportcontainer/{id} emptyDir ① ③ ④ ① ② ③ ⑪ ⑫ Pod GET /containers Watcher Poller Queue Reconciler ⑤ ⑥ ⑦ ⑨ GET /containers/{id} image.tar ConfigMap (config.yaml) ④ ⑧ Pod・コンテナプロセスコンテナデータファイル OpenClarity スキャン全体図 docker containerd crio ② ⑩ ⑬