Upgrade to Pro — share decks privately, control downloads, hide ads and more …

NeuVector(Container Security) online meetup 06/30

cheng
July 01, 2022
Technology
0
390

NeuVector(Container Security) online meetup 06/30

NeuVector 2022/06, オンラインミートアップ
オープンソースになりましたコンテナセキュリティ ソリューションのNeuVectorの最新情報をご紹介します

NeuVectorの概要紹介
コンテナの本番環境での利用が年々増えています。マイクロサービスなどのシステムを構築する際には、従来の仮想サーバーに代わってより粒度の細かい「コンテナ」になりますので、これによって管理対象が一気に増えます。セキュリティの観点では、保護対象も多くなりますので、コンテナの独自のセキュリティーソリューションを考える必要があります。

また、コンテナアプリケーションの構築方法、コンテナ実行時の仕組みが従来とは異なりますので、従来のアプリケーションセキュリティの考え方は、コンテナ環境に適しないです。 例えば、従来の仮想マシンのイメージと違って、コンテナ・イメージは、複数のレイヤーを重ねて情報を保存していますので、それぞれのイメージレイヤーに含まれる脆弱性(CVE)やマルウエアなどを検知する必要があります。

最後、Kubernetesは複雑なコンテナネットワークを抽象化する為、既存のホストのネットワークネットワークの上に、さらにオーバーレイのネットワークを構築していますので、ネットワークの通信などの監視が非常に難しい事になっています。 これらの課題を解決するためには、コンテナ管理プラットフォーム全体のセキュリティーを確保できる独自のセキュリティーソリューションが必要です。

SUSEは上記の課題を解決するために、コンテナ管理プラットフォーム全体のセキュリティーを確保できるオープンソースのセキュリティーソリューションNeuVectorを提供しています。

cheng

July 01, 2022
Tweet

More Decks by cheng

See All by cheng
Rancher v2.8 & v2.9 Update情報
qiang1981cn
0
100
OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法
qiang1981cn
0
210
Rancher v2.6.5 Update情報
qiang1981cn
0
390
Harvester 2022/01, オンラインミートアップ
qiang1981cn
0
220
Japan International Kubernetes Day
qiang1981cn
0
74
2021/01/20(水) はじめてのRancherオンラインミートアップ
qiang1981cn
0
340
"Rancherハンズオン with v2.5" ワークショップ 2020/12
qiang1981cn
0
390
Rancher Day 2020 - Rancher Update(racher v2.5))
qiang1981cn
0
67
Rancher Update 2020/10,Rancher v2.5の最新情報
qiang1981cn
0
300

Other Decks in Technology

See All in Technology
YOLOv10~v12
tenten0727
4
970
アジャイル脅威モデリング#1(脅威モデリングナイト#8)
masakane55
3
230
生成AIのユースケースをとにかく集めてまるっと学ぶ!/ all about generative ai usecases
gakumura
2
160
watsonx.data上のベクトル・データベース Milvusを見てみよう/20250418-milvus-dojo
mayumihirano
0
120
ブラウザのレガシー・独自機能を愛でる-Firefoxの脆弱性4選- / Browser Crash Club #1
masatokinugawa
1
500
Рекомендации с нуля: как мы в Lamoda превратили главную страницу в ключевую точку входа для персонализированного шоппинга. Данил Комаров, Data Scientist, Lamoda Tech
lamodatech
0
770
SnowflakeとDatabricks両方でRAGを構築してみた
kameitomohiro
1
440
Стильный код: натуральный поиск редких атрибутов по картинке. Юлия Антохина, Data Scientist, Lamoda Tech
lamodatech
0
760
Would you THINK such a demonstration interesting ?
shumpei3
1
230
PicoRabbit: a Tiny Presentation Device Powered by Ruby
harukasan
PRO
2
240
白金鉱業Meetup_Vol.18_AIエージェント時代のUI/UX設計
brainpadpr
1
180
より良い開発者体験を実現するために~開発初心者が感じた生成AIの可能性~
masakiokuda
0
210

Featured

See All Featured
Raft: Consensus for Rubyists
vanstee
137
6.9k
How to Think Like a Performance Engineer
csswizardry
23
1.5k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.1k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Reflections from 52 weeks, 52 projects
jeffersonlam
349
20k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
5
560
Fashionably flexible responsive web design (full day workshop)
malarkey
407
66k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2k
Visualization
eitanlees
146
16k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
233
17k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
45
9.5k
Making Projects Easy
brettharned
116
6.1k

Transcript

  1. © Copyright 2021 SUSE. All Rights Reserved. 1 Global Online

    Meetup NeuVector 5.0 June, 2022

  2. © Copyright 2021 SUSE. All Rights Reserved. 2 内容 6

    Q&A 3 NeuVector 4 NeuVector 5.0 5 デモ 2 コンテナセキュリティ 1 コンテナの普及とセキュリティ

  3. © Copyright 2021 SUSE. All Rights Reserved. 3 コンテナの普及とセキュリティ

  4. Copyright © SUSE 2022 コンテナ活用の拡大 の傾向(グローバル) 59 453 68 811

    431 1,722 557 2,985 2020 2024 On-Premise Private Cloud Public Cloud 52% ’20-’24 CAGR (1) コンテナの数 (百万) Source: BCG LinkedIn post “Open Source powers digital transformation”, IDC, Gartner. 1. Compound Annual Growth Rate

  5. Copyright © SUSE 2022 コンテナ活用の拡大 の傾向(日本) コンテナを知らない 今後どうしていくか分からない 現時点で導入は考えていない 情報収集や勉強をしている

    導入する計画/検討がある 導入構築/テスト/検証段階 本番環境で導入している https://xtech.nikkei.com/atcl/nxt/mag/nc/18/111600202/111600001/ CAGR CY16-20 : 38.5% (年平均成長率)

  6. Copyright © SUSE 2022 コンテナやサーバー のクラウドサービス のプライマリー ベンダー分布 11% 10%

    9% 9% 8% 7% 6% 6% 6% Microsoft Azure Containers Google Cloud Functions Amazon Web Services Elastic Container Service IBM Cloud Functions (OpenWhisk) Amazon Web Services Fargate Amazon Web Services Lambda Google App Engine Microsoft Azure Functions Alibaba Cloud Source: Business Technographics Software Survey 2, 2021 Base: 2,143 Software decision-makers whose organizations have a planned or current primary provider for containers/"serverless" cloud platforms

  7. Copyright © SUSE 2022 外部からのセキュ リティ攻撃の分布 24% 26% 26% 27%

    29% 30% 31% 32% 33% 35% Exploitation of lost/stolen asset Abuse of administrator tools Malspam Strategic web compromise Use of weak or stolen credentials Social Engineering Phishing Web application exploit (SQLi, XSS, RFI) Supply chain/third party breach Software vulnerability exploit Source: Forrester Analytics Business Technographics Security Survey, 2021 Base: 530 Security decision-makers with network, data center, app security, or security ops responsibilities who experienced an external attack when their company was breached

  8. © Copyright 2021 SUSE. All Rights Reserved. 8 コンテナセキュリティ

  9. Copyright © SUSE 2022 従来のセキュリティ対策とクラウドネイティブ向けの対策 § 脆弱性管理(CVE) § IDP/IPS §

    WAF § 次世代のファイヤーウォール – IPアドレスの拒否リスト § マルウェアスキャン § DDoS防御 脆弱性の内包 Zero-Day アタック マルウェア の内在 内部者, Phishing攻撃 Network Process File 従来のセキュリティ対策: Exceptionベース クラウドネイティブ: 信頼に基づく対策

  10. © Copyright 2021 SUSE. All Rights Reserved. 10 NeuVector

  11. Copyright © SUSE 2021 稼働時のコンテナ間 ネットワークの可視 化 データ・ロス防御 コンプライアンスへ の対応

    ゼロ・トラスト保護 àネットワーク、 プロセス、ファイル アクセス NeuVectorの特長 11 セキュリティポリ シー作成の自動化 レイヤー7での可視化、DPIによるゼロトラスト、データロス防御、WAFが鍵

  12. Copyright © SUSE 2022 コンテナセキュリティ 開発から運用にかけて ビルド テスト ステージング 運用

  13. Copyright © SUSE 2022 脆弱性とコンプライアンスの管理 コンテナセキュリティ 開発から運用にかけて ビルド テスト ステージング

    運用 ランライムセキュリティ保護

  14. Copyright © SUSE 2022 脆弱性とコンプライアンスの管理 ビルドスキャン リポジトリ ス キャン CIS

    ベンチマーク コンプライアンス PCI, GDPR, NIST 実行時のスキャン Container, Host, Platform ランライムセキュリティ保護 アドミッション コントロール コンテナファイャー ウォール DPI/DLPによるレイ ヤー7セキュリティ コンテナワーク ロードセキュリティ プロセス、ファイル システムブロック 警報と フォレンジック 運用 コンテナセキュリティ 開発から運用にかけて ビルド テスト ステージング 運用 (サプライチェーンキュリティ)

  15. Copyright © SUSE 2022 脆弱性とコンプライアンスの管理 ビルドスキャン リポジトリ ス キャン CIS

    ベンチマーク コンプライアンス PCI, GDPR, NIST 実行時のスキャン Container, Host, Platform ランライムセキュリティ保護 アドミッション コントロール コンテナファイャー ウォール DPI/DLPによるレイ ヤー7セキュリティ コンテナワーク ロードセキュリティ プロセス、ファイル システムブロック 警報と フォレンジック 運用 コンテナセキュリティ 開発から運用にかけて ビルド テスト ステージング 運用 (ランタイムセキュリティ)

  16. Copyright © SUSE 2022 脆弱性とコンプライアンスの管理 ビルドスキャン リポジトリ ス キャン CIS

    ベンチマーク コンプライアンス PCI, GDPR, NIST 実行時のスキャン Container, Host, Platform ランライムセキュリティ保護 アドミッション コントロール コンテナファイャー ウォール DPI/DLPによるレイ ヤー7セキュリティ コンテナワーク ロードセキュリティ プロセス、ファイル システムブロック 警報と フォレンジック 運用 コンテナセキュリティ 開発から運用にかけて ビルド テスト ステージング 運用 (ランタイムセキュリティ)

  17. Copyright © SUSE 2022 脆弱性とコンプライアンスの管理 ビルドスキャン リポジトリ ス キャン CIS

    ベンチマーク コンプライアンス PCI, GDPR, NIST 実行時のスキャン Container, Host, Platform ランライムセキュリティ保護 アドミッション コントロール コンテナファイャー ウォール DPI/DLPによるレイ ヤー7セキュリティ コンテナワークロー ドセキュリティ プロセス、ファイル システムブロック 警報と フォレンジック Security Policy as Code セキュリティ設定 の自動化 動作に基づく学習 運用 コンテナセキュリティ 開発から運用にかけて ビルド テスト ステージング 運用 (セキュリティポリシー設定/展開)

  18. Copyright © SUSE LLC 脆弱性とコンプライアンスの管理 ビルドスキャン リポジトリ スキャン CIS ベンチマーク

    コンプライアンス PCI, GDPR, NIST 実行時のスキャン Container, Host, Platform ランライムセキュリティ保護 アドミッション コントロール コンテナファイャー ウォール DPI/DLPによるレイ ヤー7セキュリティ コンテナワークロー ドセキュリティ プロセス、ファイル システムブロック 警報と フォレンジック Security Policy as Code セキュリティ設定 の自動化 動作に基づく学習 運用 ケーススタディ Apache Log4j2脆弱性 ビルド テスト ステージング 運用

  19. Copyright © SUSE 2022 19 NeuVector の機能と5.0版での拡張 対応K8S プラットフォーム –

    すべてのK8sプラットフォーム(OpenShift, Tanzu, GKE/EKS/AKS/IKSなども含む) サイドカーエージェント不要 End-to-End 脆弱性とコンプライアンス管理 – ビルドスキャン – レジストリスキャン – ランタイスキャン – CISベンチマーク ランタイムセキュリティ – ネットワーク、プロセス、ファイルアクセスのゼロトラスト 保護と設定の展開 – Deep Packet Inspectionでの L7 脅威検出、データロス防御 (DLP) – アドミッションコントロール NeuVector 5.0での拡張 — オープンソース化 — Rancher統合の深化(RBAC, SSO) — マイクロソフトMariner CVE 対応 — Zero-Driftのプロセス、ファイルア クセス防御 — WAF & API セキュリティ — アドミッションコントロール、DLP, WAF設定のCRD化 — 保護モード遷移自動モード

  20. Copyright © SUSE LLC — ドキュメント – https://open-docs.neuvector.com/ — オープンソースイメージ

    – https://hub.docker.com/orgs/neuvector/repositories — コミュニティ参加 – https://github.com/neuvector/neuvector (source code repo) – https://rancher-users.slack.com/archives/C036F6JDZ8C (neuvector-security channel) — 商用サポート – https://www.suse.com/contact/ — テクニカルアップデート電子メールの購読 – https://lists.suse.com/mailman/listinfo/neuvector-updates NeuVector 5.0 20 各種 URL

  21. © Copyright 2021 SUSE. All Rights Reserved. 21 NeuVector 5.0

    Live Demo

  22. NEUVECTOR 異常なアプリケーション動作に警報 異常なアプリケーション動作に警報と動作禁止 コンテナ運用でのゼロトラスト アプリケーションの、レイヤー7ネットワーク、プロセス、ファイルアクセス の動きを学習 動作に基づくポリシー設定の自動化 ゼロトラスト セグメンテーション セキュリティポリシーas

    Code セキュリティポリシーとゼロトラストセグメンテーションを他のクラスターに自動展開

  23. Copyright © SUSE LLC NeuVector: 無償版 とサポートサブスクリプション版 23 コミュニティ版 サブスクリプション

    Pipeline, Registry, Run-Time Vulnerability Scanning with updated CVE database ◉ ◉ コンプライアンスチェックとレポート ◉ ◉ ゼロトラストランタイムセキュリティ ◉ ◉ 標準サポート、プレミアムサポート ◉ 脆弱性(CVE)調査、優先順位付け支援 ◉ ベストプラクティス、堅牢化支援 (セグメンテーション、 ネットワーク/プロセス プルファイリング、アドミッション制 御) ◉ ランタイム脅威ルール設定/最適化、最新のWAF/DLPルールの 入手 ◉

  24. Copyright © SUSE LLC VULNERABILITY & COMPLIANCE MANAGEMENT DEVELOPER CI/CD

    PIPELINE PRIV/PUB REGISTRY RUN-TIME Commits Code Pass Build Admission Control

  25. Copyright © SUSE LLC ü Automated Build Phase Scanning ü

    Scanning Public Cloud Registries, Private Registries, 3rd Party Registries ü Layered Image Vulnerability Analysis CI/CD Integration NEUVECTOR |

  26. © Copyright 2021 SUSE. All Rights Reserved. 26 Questions?

  27. © Copyright 2021 SUSE. All Rights Reserved. 27 Thanks for

    Attending! www.rancher.com ご質問、ご要望など、ご連絡はこちらへ。 [email protected]