Upgrade to Pro — share decks privately, control downloads, hide ads and more …

NeuVector(Container Security) online meetup 06/30

cheng
July 01, 2022

NeuVector(Container Security) online meetup 06/30

NeuVector 2022/06, オンラインミートアップ
オープンソースになりましたコンテナセキュリティ ソリューションのNeuVectorの最新情報をご紹介します

NeuVectorの概要紹介
コンテナの本番環境での利用が年々増えています。マイクロサービスなどのシステムを構築する際には、従来の仮想サーバーに代わってより粒度の細かい「コンテナ」になりますので、これによって管理対象が一気に増えます。セキュリティの観点では、保護対象も多くなりますので、コンテナの独自のセキュリティーソリューションを考える必要があります。

また、コンテナアプリケーションの構築方法、コンテナ実行時の仕組みが従来とは異なりますので、従来のアプリケーションセキュリティの考え方は、コンテナ環境に適しないです。 例えば、従来の仮想マシンのイメージと違って、コンテナ・イメージは、複数のレイヤーを重ねて情報を保存していますので、それぞれのイメージレイヤーに含まれる脆弱性(CVE)やマルウエアなどを検知する必要があります。

最後、Kubernetesは複雑なコンテナネットワークを抽象化する為、既存のホストのネットワークネットワークの上に、さらにオーバーレイのネットワークを構築していますので、ネットワークの通信などの監視が非常に難しい事になっています。 これらの課題を解決するためには、コンテナ管理プラットフォーム全体のセキュリティーを確保できる独自のセキュリティーソリューションが必要です。

SUSEは上記の課題を解決するために、コンテナ管理プラットフォーム全体のセキュリティーを確保できるオープンソースのセキュリティーソリューションNeuVectorを提供しています。

cheng

July 01, 2022
Tweet

More Decks by cheng

Other Decks in Technology

Transcript

  1. © Copyright 2021 SUSE. All Rights Reserved. 1
    Global Online Meetup
    NeuVector 5.0
    June, 2022

    View Slide

  2. © Copyright 2021 SUSE. All Rights Reserved. 2
    内容
    6 Q&A
    3 NeuVector
    4 NeuVector 5.0
    5 デモ
    2 コンテナセキュリティ
    1 コンテナの普及とセキュリティ

    View Slide

  3. © Copyright 2021 SUSE. All Rights Reserved. 3
    コンテナの普及とセキュリティ

    View Slide

  4. Copyright © SUSE 2022
    コンテナ活用の拡大
    の傾向(グローバル)
    59
    453
    68
    811
    431
    1,722
    557
    2,985
    2020 2024
    On-Premise Private Cloud Public Cloud
    52%
    ’20-’24
    CAGR (1)
    コンテナの数 (百万)
    Source: BCG LinkedIn post “Open Source powers digital transformation”, IDC, Gartner.
    1. Compound Annual Growth Rate

    View Slide

  5. Copyright © SUSE 2022
    コンテナ活用の拡大
    の傾向(日本)
    コンテナを知らない
    今後どうしていくか分からない
    現時点で導入は考えていない
    情報収集や勉強をしている
    導入する計画/検討がある
    導入構築/テスト/検証段階
    本番環境で導入している
    https://xtech.nikkei.com/atcl/nxt/mag/nc/18/111600202/111600001/
    CAGR CY16-20 : 38.5%
    (年平均成長率)

    View Slide

  6. Copyright © SUSE 2022
    コンテナやサーバー
    のクラウドサービス
    のプライマリー
    ベンダー分布
    11%
    10%
    9%
    9%
    8%
    7%
    6%
    6%
    6%
    Microsoft Azure Containers
    Google Cloud Functions
    Amazon Web Services Elastic Container
    Service
    IBM Cloud Functions (OpenWhisk)
    Amazon Web Services Fargate
    Amazon Web Services Lambda
    Google App Engine
    Microsoft Azure Functions
    Alibaba Cloud
    Source: Business Technographics Software Survey 2, 2021
    Base: 2,143 Software decision-makers whose organizations have a planned or current primary
    provider for containers/"serverless" cloud platforms

    View Slide

  7. Copyright © SUSE 2022
    外部からのセキュ
    リティ攻撃の分布
    24%
    26%
    26%
    27%
    29%
    30%
    31%
    32%
    33%
    35%
    Exploitation of lost/stolen asset
    Abuse of administrator tools
    Malspam
    Strategic web compromise
    Use of weak or stolen credentials
    Social Engineering
    Phishing
    Web application exploit (SQLi, XSS, RFI)
    Supply chain/third party breach
    Software vulnerability exploit
    Source: Forrester Analytics Business Technographics Security Survey, 2021
    Base: 530 Security decision-makers with network, data center, app security, or security ops
    responsibilities who experienced an external attack when their company was breached

    View Slide

  8. © Copyright 2021 SUSE. All Rights Reserved. 8
    コンテナセキュリティ

    View Slide

  9. Copyright © SUSE 2022
    従来のセキュリティ対策とクラウドネイティブ向けの対策
    § 脆弱性管理(CVE)
    § IDP/IPS
    § WAF
    § 次世代のファイヤーウォール
    – IPアドレスの拒否リスト
    § マルウェアスキャン
    § DDoS防御
    脆弱性の内包 Zero-Day アタック
    マルウェア
    の内在
    内部者, Phishing攻撃
    Network
    Process
    File
    従来のセキュリティ対策: Exceptionベース クラウドネイティブ: 信頼に基づく対策

    View Slide

  10. © Copyright 2021 SUSE. All Rights Reserved. 10
    NeuVector

    View Slide

  11. Copyright © SUSE 2021
    稼働時のコンテナ間
    ネットワークの可視

    データ・ロス防御
    コンプライアンスへ
    の対応
    ゼロ・トラスト保護
    àネットワーク、
    プロセス、ファイル
    アクセス
    NeuVectorの特長
    11
    セキュリティポリ
    シー作成の自動化
    レイヤー7での可視化、DPIによるゼロトラスト、データロス防御、WAFが鍵

    View Slide

  12. Copyright © SUSE 2022
    コンテナセキュリティ 開発から運用にかけて
    ビルド テスト ステージング 運用

    View Slide

  13. Copyright © SUSE 2022
    脆弱性とコンプライアンスの管理
    コンテナセキュリティ 開発から運用にかけて
    ビルド テスト ステージング 運用
    ランライムセキュリティ保護

    View Slide

  14. Copyright © SUSE 2022
    脆弱性とコンプライアンスの管理
    ビルドスキャン リポジトリ ス
    キャン
    CIS ベンチマーク コンプライアンス
    PCI, GDPR, NIST
    実行時のスキャン
    Container, Host,
    Platform
    ランライムセキュリティ保護
    アドミッション
    コントロール
    コンテナファイャー
    ウォール
    DPI/DLPによるレイ
    ヤー7セキュリティ
    コンテナワーク
    ロードセキュリティ
    プロセス、ファイル
    システムブロック
    警報と
    フォレンジック
    運用
    コンテナセキュリティ 開発から運用にかけて
    ビルド テスト ステージング 運用
    (サプライチェーンキュリティ)

    View Slide

  15. Copyright © SUSE 2022
    脆弱性とコンプライアンスの管理
    ビルドスキャン リポジトリ ス
    キャン
    CIS ベンチマーク コンプライアンス
    PCI, GDPR, NIST
    実行時のスキャン
    Container, Host,
    Platform
    ランライムセキュリティ保護
    アドミッション
    コントロール
    コンテナファイャー
    ウォール
    DPI/DLPによるレイ
    ヤー7セキュリティ
    コンテナワーク
    ロードセキュリティ
    プロセス、ファイル
    システムブロック
    警報と
    フォレンジック
    運用
    コンテナセキュリティ 開発から運用にかけて
    ビルド テスト ステージング 運用
    (ランタイムセキュリティ)

    View Slide

  16. Copyright © SUSE 2022
    脆弱性とコンプライアンスの管理
    ビルドスキャン リポジトリ ス
    キャン
    CIS ベンチマーク コンプライアンス
    PCI, GDPR, NIST
    実行時のスキャン
    Container, Host,
    Platform
    ランライムセキュリティ保護
    アドミッション
    コントロール
    コンテナファイャー
    ウォール
    DPI/DLPによるレイ
    ヤー7セキュリティ
    コンテナワーク
    ロードセキュリティ
    プロセス、ファイル
    システムブロック
    警報と
    フォレンジック
    運用
    コンテナセキュリティ 開発から運用にかけて
    ビルド テスト ステージング 運用
    (ランタイムセキュリティ)

    View Slide

  17. Copyright © SUSE 2022
    脆弱性とコンプライアンスの管理
    ビルドスキャン リポジトリ ス
    キャン
    CIS ベンチマーク コンプライアンス
    PCI, GDPR, NIST
    実行時のスキャン
    Container, Host,
    Platform
    ランライムセキュリティ保護
    アドミッション
    コントロール
    コンテナファイャー
    ウォール
    DPI/DLPによるレイ
    ヤー7セキュリティ
    コンテナワークロー
    ドセキュリティ
    プロセス、ファイル
    システムブロック
    警報と
    フォレンジック
    Security Policy
    as Code
    セキュリティ設定
    の自動化
    動作に基づく学習
    運用
    コンテナセキュリティ 開発から運用にかけて
    ビルド テスト ステージング 運用
    (セキュリティポリシー設定/展開)

    View Slide

  18. Copyright © SUSE LLC
    脆弱性とコンプライアンスの管理
    ビルドスキャン リポジトリ
    スキャン
    CIS ベンチマーク コンプライアンス
    PCI, GDPR, NIST
    実行時のスキャン
    Container, Host,
    Platform
    ランライムセキュリティ保護
    アドミッション
    コントロール
    コンテナファイャー
    ウォール
    DPI/DLPによるレイ
    ヤー7セキュリティ
    コンテナワークロー
    ドセキュリティ
    プロセス、ファイル
    システムブロック
    警報と
    フォレンジック
    Security Policy
    as Code
    セキュリティ設定
    の自動化
    動作に基づく学習
    運用
    ケーススタディ Apache Log4j2脆弱性
    ビルド テスト ステージング 運用

    View Slide

  19. Copyright © SUSE 2022
    19
    NeuVector の機能と5.0版での拡張
    対応K8S プラットフォーム
    – すべてのK8sプラットフォーム(OpenShift, Tanzu,
    GKE/EKS/AKS/IKSなども含む)
    サイドカーエージェント不要
    End-to-End 脆弱性とコンプライアンス管理
    – ビルドスキャン
    – レジストリスキャン
    – ランタイスキャン
    – CISベンチマーク
    ランタイムセキュリティ
    – ネットワーク、プロセス、ファイルアクセスのゼロトラスト
    保護と設定の展開
    – Deep Packet Inspectionでの L7 脅威検出、データロス防御
    (DLP)
    – アドミッションコントロール
    NeuVector 5.0での拡張
    — オープンソース化
    — Rancher統合の深化(RBAC, SSO)
    — マイクロソフトMariner CVE 対応
    — Zero-Driftのプロセス、ファイルア
    クセス防御
    — WAF & API セキュリティ
    — アドミッションコントロール、DLP,
    WAF設定のCRD化
    — 保護モード遷移自動モード

    View Slide

  20. Copyright © SUSE LLC
    — ドキュメント
    – https://open-docs.neuvector.com/
    — オープンソースイメージ
    – https://hub.docker.com/orgs/neuvector/repositories
    — コミュニティ参加
    – https://github.com/neuvector/neuvector (source code repo)
    – https://rancher-users.slack.com/archives/C036F6JDZ8C (neuvector-security channel)
    — 商用サポート
    – https://www.suse.com/contact/
    — テクニカルアップデート電子メールの購読
    – https://lists.suse.com/mailman/listinfo/neuvector-updates
    NeuVector 5.0
    20
    各種 URL

    View Slide

  21. © Copyright 2021 SUSE. All Rights Reserved. 21
    NeuVector 5.0
    Live Demo

    View Slide

  22. NEUVECTOR
    異常なアプリケーション動作に警報
    異常なアプリケーション動作に警報と動作禁止
    コンテナ運用でのゼロトラスト
    アプリケーションの、レイヤー7ネットワーク、プロセス、ファイルアクセス
    の動きを学習
    動作に基づくポリシー設定の自動化
    ゼロトラスト セグメンテーション
    セキュリティポリシーas Code
    セキュリティポリシーとゼロトラストセグメンテーションを他のクラスターに自動展開

    View Slide

  23. Copyright © SUSE LLC
    NeuVector: 無償版 とサポートサブスクリプション版
    23
    コミュニティ版 サブスクリプション
    Pipeline, Registry, Run-Time Vulnerability Scanning with
    updated CVE database
    ◉ ◉
    コンプライアンスチェックとレポート ◉ ◉
    ゼロトラストランタイムセキュリティ ◉ ◉
    標準サポート、プレミアムサポート ◉
    脆弱性(CVE)調査、優先順位付け支援 ◉
    ベストプラクティス、堅牢化支援 (セグメンテーション、
    ネットワーク/プロセス プルファイリング、アドミッション制
    御)

    ランタイム脅威ルール設定/最適化、最新のWAF/DLPルールの
    入手

    View Slide

  24. Copyright © SUSE LLC
    VULNERABILITY & COMPLIANCE MANAGEMENT
    DEVELOPER
    CI/CD
    PIPELINE
    PRIV/PUB
    REGISTRY
    RUN-TIME
    Commits Code
    Pass Build
    Admission Control

    View Slide

  25. Copyright © SUSE LLC
    ü Automated Build Phase Scanning
    ü Scanning Public Cloud Registries, Private Registries, 3rd Party Registries
    ü Layered Image Vulnerability Analysis
    CI/CD Integration
    NEUVECTOR |

    View Slide

  26. © Copyright 2021 SUSE. All Rights Reserved. 26
    Questions?

    View Slide

  27. © Copyright 2021 SUSE. All Rights Reserved. 27
    Thanks for Attending!
    www.rancher.com
    ご質問、ご要望など、ご連絡はこちらへ。
    [email protected]

    View Slide