Tweet
Tweet

Slide 1

Slide 1 text

ここからはじめる

Slide 2

Slide 2 text

(磯貝哲也)

Slide 3

Slide 3 text

対象とする人 いわゆるエンタープライズ に の導入頑張ってる方々 終えていよいよ商用リリースに向けて突き進むぞ的な方々 セッションの目的 を企業に導入する際、セキュリティどう考えていけば良い?という時のための 基礎知識を短時間でインプット 世に既に出ている情報をまとめてショートにわかりやすく 含まれないこと 初めて発表される何か 特定の技術に したもの このセッションについて 本資料中の凡例 大事な(お持ち帰り いただきたい)こと さらに深く知りたい 方向けの情報

Slide 4

Slide 4 text

今日話すこと (コンテナに限らず)セキュリティの原則をすごくざっくりと コンテナにおけるセキュリティの考え方 コンテナのセキュリティとして確保すべき要素 クラスターの保護とは すぐに使えるツール

Slide 5

Slide 5 text

セキュリティの原則

Slide 6

Slide 6 text

(多層防御) いずれの防御層も破られる可能性がある 互いに補完しあう複数の防御層を展開 (最小権限) 必要最小限の権限をアクセス元(ユーザ、 アカウント、プロセス等)に与える (攻撃対象領域の削 減) が攻撃をトライできるポイントを削 減する 防御の基礎 (機密性):漏洩 (完全性):改竄 (可用性):破壊 保証すべきものとそれに対する脅威 セキュリティの原則

Slide 7

Slide 7 text

侵入者が行う「危険」なこと (機密性):漏洩 (完全性):改竄 (可用性):破壊 特権 企業内のコンピュータ クラスタの一部にアクセス 悪意のあるコードを実行 より高い権限(最終的には特権)を得る

Slide 8

Slide 8 text

クラウドネイティブセキュリ ティにおける つの

Slide 9

Slide 9 text

のセキュリティ対策とリスク( ) どのように攻撃されるかを知 る(脅威を定義する)事が防 御の第一歩

Slide 10

Slide 10 text

コンテナのセキュリティ

Slide 11

Slide 11 text

参考 さんの

Slide 12

Slide 12 text

通常のアプリケーション/コンテナの違い ケーパビリティ

Slide 13

Slide 13 text

システム上のさまざまなリソースを区切る機能 コンテナの内側からコンテナホストに対するアクセスを制御 種類存在、コンテナランタイムによって利用できる は異なる では以下 コンテナに独自のファイルシステムツリーを提供 コンテナ外のプロセスを隠ぺい コンテナ外のイーサネットデバイスを隠ぺいする メッセージキューの隠ぺい システムコールで取得できる 構造体の内容をホストから隔離する(コンテナが ホストとは異なるホスト名を使用できるようにする) コンテナ内の見かけの を変更したり、見かけのケーパビリティを許可したりする

Slide 14

Slide 14 text

通常 で使われる一般 特権 ユーザによる権限付与のみ では限界があったために誕生した機能 例: サーバプロセスが 番未満のポートを使う 例: プロセスが ソケットイーサネットデバイスに対 してオープンする など 権限を細分化して取り扱うことができるようにしたもの ケーパビリティ プロセスに必要最小限の権限を与える コンテナランタイムはコンテナ内の ユーザに対してケーパ ビリティを選別(提供/はく奪)して提供 要件に応じて追加/制限が可能 デフォルトで提供されるケーパビリティの標準セット

Slide 15

Slide 15 text

におけるセキュリティ(概要)

Slide 16

Slide 16 text

アプリケーショントラフィックの盗聴 改竄 コンテナ 等に含まれる脆弱性 ホストへの侵入 への不正アクセス への不正アクセス への不正アクセス トラフィックの盗聴 改竄

Slide 17

Slide 17 text

No content

Slide 18

Slide 18 text

コンテナ実行ホスト のハードニング のアクセス制御 は が推奨 スケジューリング テナント毎に実行ホストを分ける要件 がある 手段 など

Slide 19

Slide 19 text

クラスタを適切に する へのアクセス制御 認証/認可/ (受付制御)※後述 どのモジュール(プラグイン)を有効化するか 監査 に対する操作履歴を取得 ではデフォルト無効 の暗号化 転送中の暗号化 デフォルト有効 ディスク保存時の暗号化 デフォルトでは暗号化されない

Slide 20

Slide 20 text

一般的に は、組織内の個々のユーザーの をベースに、コ ンピューターまたはネットワークリソースへのアクセスを制御する方法 の認可の機能としてクラスタ管理者が個々のユーザに対してリソースの操作に 対する許可/不許可を制御することができる 例: に 内の編集権限のみを与える クラスタを複数のチームで で分割する場合には必須

Slide 21

Slide 21 text

クラスタレベルで の有効/無効を決定 有効かどうかを確認するには 今自分が あるユーザが何の操作ができるか確かめる

Slide 22

Slide 22 text

へのリクエストをインターセプトし任意の処理を実行する リソースが永続化( へ保存)される前に実行 リソースの検証( )、変更( )、ポリシーの強制などで利用 組み込みで提供されているプラグインと拡張用 の 種類 おもな組み込みプラグイン イメージの署名が信頼できるものかをチェック/イメージのスキャンを組み込む あらかじめ定義したセキュリティポリシーに応じて リソースを検証・変更する 拡張用 (カスタムポリシー) 自分で のコードを書く 深く知りたい方:

Slide 23

Slide 23 text

を横断してポリシーを定義できる ツールセット 言語でルールを宣言的に記述 ( の場合は) に組み込む→ を使用 を使ってベスト・プラクティスをコード化しよう と で実現するマイクロサービスの安全な継続的デリバリー

Slide 24

Slide 24 text

におけるセキュリティ(ツール)

Slide 25

Slide 25 text

• クラスタ管理者 向け • クラスタ用ベン チマークツール • の チェック項目を可能な限 りマッピング • イメージの実行、 または を と してクラスタにデプロイ すると結果と必要な対処 がログに出力される

Slide 26

Slide 26 text

• クラスタ管理者 双方向け • コンテナイメージスキャ ンツール • 簡単な実行 • 単独利用に加え の一部 として使用しやすいよう に実装

Slide 27

Slide 27 text

• クラスタ管理者 向け • ランタイムセキュリティ の プロジェクト • の脅威検出(異 常な動作を検出するため のアクティビティ監視) ツール • 独自のフィルター構文を 使って脅威のチェックを おこなう に を展開してアプリケーションの挙動をモニタリングする

Slide 28

Slide 28 text

No content

Slide 29

Slide 29 text

試験の概要 にリリースされた 主催の資格 どちらかというと 向け 保持が受験の前提 他 試験と同じくシミュレーター上でのハンズオン試験 取るとこんないいことがある まだ合格人数が少ない についての知識と愛が深まる セキュリティについて語っていい気がする 私はこうでした 一回目: 二回目 で がチート ブログを書きました

Slide 30

Slide 30 text

開発・運用のためのセキュリティ実践ガイド すべての人におすすめしたい一冊 ここに情報登録すると無料で読める 攻撃しながら考える のセキュリティ に を求めるのは間違っているのだろうか その他参考書籍 ネットで拾える情報など

Slide 31

Slide 31 text

No content