$30 off During Our Annual Pro Sale. View Details »

OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法

cheng
March 29, 2023
Technology
0
100

 OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法

CI/CDパイプラインを使うことで、アプリケーションのリリーススピードの高速化を実現できるようになりましたが、対策方法によってセキュリティが足かせとなり、リリース作業を遅らせたり、ときには停止させたりすることがあります。
そこで「高速」で「高品質」なデリバリーを実現するためには、下記のようなセキュリティ対策をCICDパイプラインに透過的に取込む必要があります。
・脆弱性とコンプライアンスのスキャン
・不正なデプロイの自動阻止
・Security policy as Codeでポリシー設定の自動化
本セッションでは、100%OSSのNeuVectorで、どのように「高速」で「高品質」なデリバリーを実現するか、デモを交えながら解説します。

cheng

March 29, 2023
Tweet

More Decks by cheng

See All by cheng
Rancher v2.6.5 Update情報
qiang1981cn
0
250
NeuVector(Container Security) online meetup 06/30
qiang1981cn
0
180
Harvester 2022/01, オンラインミートアップ
qiang1981cn
0
130
Japan International Kubernetes Day
qiang1981cn
0
44
2021/01/20(水) はじめてのRancherオンラインミートアップ
qiang1981cn
0
220
"Rancherハンズオン with v2.5" ワークショップ 2020/12
qiang1981cn
0
290
Rancher Day 2020 - Rancher Update(racher v2.5))
qiang1981cn
0
37
Rancher Update 2020/10,Rancher v2.5の最新情報
qiang1981cn
0
240
軽量Kubernetesディストリビューションである"K3s"を支える拡張機能
qiang1981cn
0
620

Other Decks in Technology

See All in Technology
2023-12-01 吉祥寺.pm ベストプラクティスと組織とIaC
masasuzu
1
390
TextField 表示スタイル変更の 有効活用例 5 選
akkie76
0
150
AWS re:Invent 2023の期間中に出たコンテナアップデート集
yoshiitaka
3
330
GoのProtocプラグインを活用した効率的な負荷試験戦略 / Efficient Load Testing Strategies Utilizing the Go Protoc Plugin
biwashi
0
120
ココナラでエンジニアマネージャーをやってみた!
coconala_engineer
1
140
Bedrock & Amazon Q のアプデ、結局これって○○でいう××のこと?? 生成AIトレンドを俯瞰しながら解説!
minorun365
PRO
0
290
kintone テクニカルライター採用ピッチ資料
cybozuinsideout
PRO
0
890
更新”しない”ドキュメント管理 「イミュータブルドキュメントモデル」の実運用
kosui
11
1.6k
GPT APIを使ったテキスト生成コンペ@YANS2023に参加した話
naohachi89
2
900
reInvent2023のセキュリティまとめしてGuardDutyQとコストの話します
cmusudakeisuke
0
210
CSSパフォーマンスに関する計測結果
poteboy
3
1.4k
隙間家具OSS開発で『自分の庭』をつくる / kayac-andpad-event
fujiwara3
0
410

Featured

See All Featured
Making the Leap to Tech Lead
cromwellryan
120
8.2k
Teambox: Starting and Learning
jrom
125
8.2k
Bash Introduction
62gerente
603
210k
How To Stay Up To Date on Web Technology
chriscoyier
780
250k
Done Done
chrislema
178
15k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
17
1.4k
Building a Scalable Design System with Sketch
lauravandoore
453
32k
Documentation Writing (for coders)
carmenintech
55
3.5k
Docker and Python
trallard
32
2.4k
RailsConf 2023
tenderlove
0
360
Debugging Ruby Performance
tmm1
68
11k
The Art of Programming - Codeland 2020
erikaheidi
39
12k

Transcript

  1. Copyright © SUSE 2023
    OSSͰηΩϡϦςΟΛCI/CDύΠϓϥΠϯ
    ʹಁաతʹऔࠐΉํ๏
    2 0 M ARCH 2 0 2 3
    Jianqiang Cheng - SUSE

    View Slide

  2. Copyright © SUSE 2023 2
    Who am I?
    Jianqiang Cheng
    Sales Engineer
    SUSE Japan

    View Slide

  3. Copyright © SUSE 2023 3
    CI/CD͸ॏཁͰʮ౰ͨΓલʯ

    View Slide

  4. Copyright © SUSE 2023 4
    ੬ऑੑʹૂ͏߈ܸ΍ඃ֐ࣄྫ͕ଟ͍
    ੜ࢈ੑ޲্ͷಉ࣌ʹηΩϡϦςΟΛ͓๨Εͳ͘

    View Slide

  5. Copyright © SUSE 2023 5
    OSSͰίετ࡟ݮɺࣗಈԽͰ࣌ؒ୹ॖ
    ηΩϡϦςΟνΣοΫ΋ࣗಈԽ

    View Slide

  6. Copyright © SUSE 2023 6
    CI/CDύΠϓϥΠϯʹऔΓࠐΉ߲໨
    CI/CD のʮηΩϡϦςΟରࡦʯ
    カテゴリ テクノロジー概要
    ιʔείʔυ੩తղੳ
    ιʔείʔυΛ੩తʹղੳ͠ɺίʔυͷόάɺ$PEF4NFMM ਂ͍໰୊Λൃੜ
    ͢ΔՄೳੑ͕͋Δίʔυ
    ɺηΩϡϦςΟ੬ऑੑΛݕग़
    Πϝʔδͷ੬ऑੑ
    εΩϟϯ
    ίϯςφΠϝʔδʹજΉط஌ͷ੬ऑੑΛࣝผ
    ΠϝʔδͷίϯϓϥΠΞ
    ϯεεΩϟϯ
    ίϯςφΠϝʔδʹCIS Benchmarksʹ४ڌ͠ͳ͍ઃఆ͕͋Δ͔ΛνΣοΫ
    Ξυϛογϣϯ੍ޚ
    ର৅ͷΞϓϦͷσϓϩΠઃఆɺεΩϟϯͷ݁ՌͳͲΛݩʹɺݕূʗຊ൪؀ڥʹ
    ΞϓϦέʔγϣϯͷσϓϩΠՄ൱ͷࣗಈ੍ޚ
    Security Policy as Code
    ωοτϫʔΫϧʔϧɺϑΝΠϧΞΫηεϧʔϧͳͲͷηΩϡϦςΟ
    ϙϦγʔΛίʔυԽ

    View Slide

  7. Copyright © SUSE 2023
    Copyright © SUSE 2023
    Roll Up Your Sleeves and Get
    Started!
    Demo؀ڥͷπʔϧ঺հ
    7

    View Slide

  8. Copyright © SUSE 2023 8
    Demo؀ڥͷπʔϧҰཡ
    πʔϧ ໾ׂ
    AWS VM؀ڥ(AWS Lightsail)
    Github ιʔείʔυ(Java)ɺHelm Chart
    RKE2 K8sσΟετϦϏϡʔγϣϯ
    Harbor ίϯςφϦϙδτϦ
    Jenkins CI/CDύΠϓϥΠϯ
    Rancher Gitops(fleet)、k8sΫϥελʔ؅ཧ
    NeuVector
    Πϝʔδͷ੬ऑੑεΩϟϯɺίϯϓϥΠΞϯεεΩϟϯɺ
    Ξυϛογϣϯ੍ޚͳͲ
    SonarQube ιʔείʔυ੩తղੳ
    Longhorn ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ

    View Slide

  9. Copyright © SUSE 2023
    Demo؀ڥ πʔϧؒͷ࿈ܞਤ
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage

    View Slide

  10. Copyright © SUSE 2023 10
    πʔϧͷ؆୯঺հ
    πʔϧ ໾ׂ
    AWS VM؀ڥ(AWS Lightsail)
    Github ιʔείʔυ(Java)ɺHelm Chart
    RKE2 K8sσΟετϦϏϡʔγϣϯ
    Harbor ίϯςφϦϙδτϦ
    Jenkins CI/CDύΠϓϥΠϯ
    Rancher Gitops(fleet)、k8sΫϥελʔ؅ཧ
    NeuVector
    Πϝʔδͷ੬ऑੑεΩϟϯɺίϯϓϥΠΞϯεεΩϟϯɺ
    Ξυϛογϣϯ੍ޚͳͲ
    SonarQube ιʔείʔυ੩తղੳ
    Longhorn ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ

    View Slide

  11. Copyright © SUSE 2023
    RKE2 - K8sσΟετϦϏϡʔγϣϯ
    — ηΩϡϦςΟཁ݅
    – FIPS-enabled
    – SELinux Support
    — CIS Benchmark Certification
    — Containerd ͕σϑΥϧτͷϥϯλΠϜ
    — γϯάϧόΠφϦͰΠϯετʔϧ΍ӡ༻΋؆୯

    View Slide

  12. Copyright © SUSE 2023
    ෳ਺ͷKubernetesΫϥελ͸ɺଟ༷ͳσΟετϦϏϡʔγϣϯͰ͋ΓɺҟͳΔϓϥοτϑΥʔϜͰ࣮ߦ
    ͞Ε͍ͯ·͕͢ɺRancherʹΑΓҰݩ؅ཧΛ࣮ݱͰ͖·͢ɻ
    Rancher - ෳ਺KubernetesΫϥελͷҰݩ؅ཧ
    12

    View Slide

  13. Copyright © SUSE 2023 13
    Rancher - ௚ײతͳ6*ͱ౷Ұ͞Εͨૢ࡞
    Container
    Container
    Container
    Grafana
    [Add Cluster]
    [Cluster Usage]
    [Graphical Monitoring with Prometheus and Grafana]
    [Service Catalog]
    [Import YAML file]
    [Network traffic statistics wit Istio]
    Prometheus

    View Slide

  14. Copyright © SUSE 2023 14
    Longhorn
    — ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ
    — ܰྔɺߴཔੑɺߴՄ༻ੑͷӬଓϒϩοΫετϨʔδ
    — Rancherʹ؆୯ʹ౷߹
    – Rancher UI͔Βone clickͰσϓϩΠ
    — Backend ετϨʔδʹґଘ͠ͳ͍
    x86 ARM

    View Slide

  15. Copyright © SUSE 2023
    脆弱性とコンプライアンスの管理
    ビルドスキャン リポジトリ
    スキャン
    CIS ベンチマーク コンプライアンス
    PCI, GDPR, NIST
    実⾏時のスキャン
    Container, Host,
    Platform
    ランライムセキュリティ保護
    アドミッション
    コントロール
    コンテナフファイアー
    ウォール
    DPI/DLPによるレイヤー
    7セキュリティ
    コンテナワークロード
    セキュリティ
    プロセス、ファイルシステム
    ブロック
    警報と
    フォレンジック
    Security Policy
    as Code
    セキュリティ設定の
    ⾃動化
    動作に基づく学習
    運⽤
    NeuVector - ίϯςφηΩϡϦςΟ ։ൃ͔Βӡ༻ʹ͔͚ͯ
    ビルド テスト ステージング 運⽤

    View Slide

  16. Copyright © SUSE 2023
    Automated Build Phase
    Scanning
    Scanning Public Cloud Registries, Private
    Registries, 3rd Party Registries
    Layered Image Vulnerability
    Analysis
    CI/CD INTEGRATION

    View Slide

  17. Copyright © SUSE 2023
    circleci.com/orbs
    CI/CD INTEGRATION

    View Slide

  18. Copyright © SUSE 2023
    CVE Database Sources
    NeuVector CVE Database is Updated via 17 Security Sources Nightly
    Updated nightly

    View Slide

  19. Copyright © SUSE 2023
    ΠϝʔδͷίϯϓϥΠΞϯε Checklist

    View Slide

  20. Copyright © SUSE 2023
    SECURITY AS CODE

    View Slide

  21. Copyright © SUSE 2023
    ü KubernetesͷCRD yamlͰΞϓϦέʔγϣϯͷಈ࡞Λ੍ݶ
    üNetwork Connections and Protocols
    üIngress/egress controls
    üProcesses & File System Protection
    ü Security Policiesͷόʔδϣϯ؅ཧ
    ü ଞͷ؀ڥʹಉ͡ͷSecurity PolicyΛ؆୯ʹڞ༗
    ü NeuVector͔Βࣗಈੜ੒Մೳ
    SECURITY AS CODE

    View Slide

  22. Copyright © SUSE 2023
    Copyright © SUSE 2023
    Roll Up Your Sleeves and Get
    Started!
    Demo
    22

    View Slide

  23. Copyright © SUSE 2023
    Demo؀ڥ πʔϧͷ࿈ܞ
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage
    εΫϦϓτͰࣗಈߏங
    εΫϦϓτͰࣗಈ
    ߏங

    View Slide

  24. Copyright © SUSE 2023
    Demo環境の⾃動構築スクリプトGithub
    https://github.com/qiang1981cn/devsecops-neuvector.git

    View Slide

  25. Copyright © SUSE 2023
    Demo環境 - ツールの連携
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage

    View Slide

  26. Copyright © SUSE 2023
    ·ͱΊ
    — OSSͰ΋ηΩϡΞͳCI/CDύΠϓϥΠϯΛߏஙͰ͖Δ
    — NeuVector͸ԼهͷػೳΛఏڙ
    – ੬ऑੑͱίϯϓϥΠΞϯεͷεΩϟϯ
    – Security policy as CodeͰϙϦγʔઃఆͷࣗಈԽ
    – ෆਖ਼ͳσϓϩΠͷࣗಈ્ࢭʢΞυϛογϣϯ੍ޚʣ

    View Slide

  27. Copyright © SUSE 2023
    NeuVector - ίϯςφηΩϡϦςΟ ։ൃ͔Βӡ༻ʹ͔͚ͯ
    αϓϥΠνΣʔϯ
    ηΩϡϦςΟ
    ϥϯλΠϜ
    ηΩϡϦςΟ
    ੬ऑੑεΩϟϯ
    ίϯϓϥΠΞϯεεΩϟϯ
    Ξυϛογϣϯ ੍ޚ
    ϥϯλΠϜεΩϟϯ
    ڴҖϕʔεͷݕग़
    θϩτϥετ੍ޚ

    View Slide

  28. Copyright © SUSE 2023 28
    さらに学びたい⽅に・・・
    4⽉13⽇開催
    NeuVectorオンラインセミナー
    4⽉20⽇開催
    Rancherオンラインセミナー
    お⼿元のアンケートのご回答へのご協⼒もお願いします☺

    View Slide

  29. Copyright © SUSE 2023
    For more information, contact SUSE at:
    03-6625-5578(Japan)
    https://www.suse.com/ja-jp/contact/
    Thank you

    View Slide