2021/06/18 ACM 2.2 Update & ACS セミナー for OMPP OMPP (Red Hat OpenShift Managed Practice Program)

2 本日の OMPP Update アジェンダ 1. ACM for Kubernetes 製品概要 (おさらい) 2. Submariner のご紹介 3. Submariner デモ 4. ACS for Kubernetes 製品概要 5. ACS 概要 6. ACS デモ

Cloud Solution Architect Yuhki Hanada ACM for Kubernetes Update

4 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds

5 HUB Cluster API Server API Server API Server API Server API Server TLS Spoke Clusters Managed Clusters ACM for Kubernetes の概要 Hub Cluster のサポートは、OpenShift 4.4.3 以降 / 4.5.2以降 / 4.6.1以降 サポートのバージョンは資料作成時点の情報です。 詳細はこちらRed Hat Advanced Cluster Management for Kubernetes 2.2 Support Matrix - Red Hat Customer Portal GKE/EKS/IBM K8S/ AKS ACM 用の専用のクラスタが推奨 (Master + Worker) 管理される側のクラスターには「multicluster-endpoint」というネームスペースと管理のために必要な pod 等のリソースが作成されます。 ACM Hub ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod 専用namespace が作られ、そこに導入されます。

Submariner (ACM 2.2 Tech Preview)

Worker Node Passive Gateway Node Active Gatway Node IPSEC トンネリング Passive Gateway Node Worker Node Worker Node Worker Node Kubernetes Cluster A Kubernetes Cluster B Route Agent Gateway Engine Active Gatway Node fail over Lighthouse Agent Kubernetes Cluster (Broker) Broker Kubernetes API server Submariner Kubernetes 間をプライベートなネットワークで接続する Submariner - 赤帽エンジニアブログ (hatenablog.com)

Submariner デモ その他、参考になるブログ： Geographically Distributed Stateful Workloads Part One: Cluster Preparation (openshift.com) Geographically Distributed Stateful Workloads Part Two: CockroachDB (openshift.com) デモビデオ

ACS (Advanced Cluster Security) for Kubernetes 製品概要 Cloud Solution Architect Yuhki Hanada

StackRox の概要 • コンソール含め、Kubernetes クラスター上のアプリとして稼働 • Build / Deploy / Runtime(運用中) 時に、Policyに適合しているかチェック。 • Jenkins 側に脆弱性情報を提供し、Build時にひっかかった脆弱性情報を Jenkinsの中で 参照できる。 • Image Scanning ツールは、独自のもあるがQuay等も使用可能 • Policy は標準で、CIS benchmark、PCI、HIIPA、NIST 800-190/800-53等を持って いる。それ以外は自作する必要がある(Custom Policy)。 アーキテクチャー図 ダッシュボード Policyの設定 Build/Deploy/Runtimeのどの時点で、 このPolicyを有効にするか選択できる https://www.youtube.com/watch?v=1cHjGaCDtRQ

StackRox 導入企業様事例 Customers | StackRox より StackRoxの顧客は、SaaS、フィンテック、政府機 関を含め、様々な地域や業界にわたっています。 今日、クラウドネイティブ企業、フォーチュン500 企業、政府機関のDevOpsチームやセキュリティ・ チームは、StackRoxに基づいて、コンテナのライフ サイクル全体にわたってセキュリティやコンプライ アンス・ポリシーを実装しています。 StackRoxのソフトウェアは、Kubernetesネイティ ブなコンテナ・セキュリティ・プラットフォームと してIron Bankアーティファクト・リポジトリに含 まれ、米国国防総省（DoD:Departiment of Defence）のエンタープライズDevSecOpsコンテナ 強化ガイドへの準拠が認定されるとともに、自動テ ストおよびコンテナ・セキュリティを実現するため にDoDによる使用が認可されています

US Air Force、アメリカ国防総省 (Department of Defense) 事例 StackRox delivers container and Kubernetes security to US Air Force | HG Insights 「継続的に革新的なソフトウェアを 提供し、アプリケーションとデータ の安全性を確保することは、我々の 準備態勢にとって不可欠です。我々 は、コンテナとKubernetesをベー スにした迅速な革新のためのハード リングされた環境として、Platform Oneソフトウェア・ファクトリーを 構築しました。 StackRoxがKubernetesネイティブ なアーキテクチャを活用してその環 境を保護してくれることで、ビルド からデプロイ、ランタイムまで、ア プリケーションのライフサイクル全 体でセキュリティを提供することが できます」（米空軍のロブ・スロー ター少佐）

13 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds

Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML) RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。

Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML) RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。 ACSのカバー範囲 ※Registry, CI/CD ツー ル / Kuberentes そのも のは含まない ※この部分は Kuberentes に格納された後 に見られ ている

ACSアーキテクチャー 16 Architecture

DevSecOps とシフトレフト 17 Image scanning Registries CI/CD tools DevOps notification SIEM Build Secure supply chain Deploy Secure infrastructure Run Secure workloads Policy engine API AWS Security Hub Run anywhere OpenShift Amazon EKS Google GKE Azure AKS 3rd Party ツール群 ビルド時に、危険な構成や、 脆弱性を見つけて開発者に エラーを返す コンテナが Kuberentes に Deploy される前にイ メージに問題が無いか チェック コンテナ内から必要 の無いプログラムが 起動していないか等 セキュリティの対策は、できるだけ開発の初期から行う（シフト・レフト)

ACS ダッシュボード 一覧 詳細 コンプライアンス遵守状況 Policy 違反状況 • ACSが把握している状況を一 覧で把握するためのメインの ダッシュボード • デフォルトの Policy、ユー ザー定義の Policy の違反状 況 • コンプライアンスのベンチマ ークの遵守状況 (CIS / HIPAA / NIST SP 800-190 / NIST SP 800-53 / PCI DSS) 詳細 Dashboard 一覧

ACS デモ 19

リソース • マニュアル (StackRox) https://help.stackrox.com/ • デモビデオ (440) OCB: StackRox Overview and Demo - YouTube

Q&A

Red Hat is the world’s leading provider of enterprise open source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you 22