Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法

cheng
March 29, 2023
Technology
0
27

 OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法

CI/CDパイプラインを使うことで、アプリケーションのリリーススピードの高速化を実現できるようになりましたが、対策方法によってセキュリティが足かせとなり、リリース作業を遅らせたり、ときには停止させたりすることがあります。
そこで「高速」で「高品質」なデリバリーを実現するためには、下記のようなセキュリティ対策をCICDパイプラインに透過的に取込む必要があります。
・脆弱性とコンプライアンスのスキャン
・不正なデプロイの自動阻止
・Security policy as Codeでポリシー設定の自動化
本セッションでは、100%OSSのNeuVectorで、どのように「高速」で「高品質」なデリバリーを実現するか、デモを交えながら解説します。

cheng

March 29, 2023
Tweet

More Decks by cheng

See All by cheng
Rancher v2.6.5 Update情報
qiang1981cn
0
190
NeuVector(Container Security) online meetup 06/30
qiang1981cn
0
110
Harvester 2022/01, オンラインミートアップ
qiang1981cn
0
85
Japan International Kubernetes Day
qiang1981cn
0
40
2021/01/20(水) はじめてのRancherオンラインミートアップ
qiang1981cn
0
200
"Rancherハンズオン with v2.5" ワークショップ 2020/12
qiang1981cn
0
270
Rancher Day 2020 - Rancher Update(racher v2.5))
qiang1981cn
0
32
Rancher Update 2020/10,Rancher v2.5の最新情報
qiang1981cn
0
220
軽量Kubernetesディストリビューションである"K3s"を支える拡張機能
qiang1981cn
0
560

Other Decks in Technology

See All in Technology
周りが強すぎて現実逃避でOSS活動始めた結果
bun913
0
460
ChatGPTがもたらす新しいチーム開発の現場
satoshirobatofujimoto
0
140
トラブルシューティングから Linux カーネルに潜り込む
hiboma
7
1.2k
Vue.jsとReactに対応した 社内UI Componentsライブラリを構築した話/Vue.js v-tokyo Meetup #17-link-and-motivation
lmi
1
390
社内でChatGPTを利用するためのガイドラインを整備した話
yoshikieguchi
0
680
「時系列データ」を ChatGPT で活かすには?!
soracom
PRO
0
130
CyberAgent AI事業本部MLOps研修基礎編
hosimesi11
2
290
Snowflake リーダーアカウントを利用したデータ共有について
bergkamp
0
120
データマイニングと機械学習-K近傍法 & 機械学習のお作法
trycycle
0
170
守りから「攻め」の開発へ!New Relicを活用してサービスと共に成長するチームになる
yoshikikomoriya
0
320
AWS WAFおよびWafCharmを複数サービスに導入した結果と課題
iwamot
0
160
【JAWS-UG朝会】ガバメントクラウド・デジタル庁の基本方針から考えるクラウドサービスの適切な利用
kumamatsu
PRO
3
460

Featured

See All Featured
Git: the NoSQL Database
bkeepers
PRO
419
60k
The Language of Interfaces
destraynor
149
21k
Statistics for Hackers
jakevdp
787
210k
Adopting Sorbet at Scale
ufuk
66
8k
Six Lessons from altMBA
skipperchong
16
2.5k
A Tale of Four Properties
chriscoyier
149
21k
Stop Working from a Prison Cell
hatefulcrawdad
264
18k
Writing Fast Ruby
sferik
613
58k
Robots, Beer and Maslow
schacon
154
7.5k
How to name files
jennybc
51
79k
We Have a Design System, Now What?
morganepeng
38
6.1k
Three Pipe Problems
jasonvnalue
89
9.1k

Transcript

  1. Copyright © SUSE 2023
    OSSͰηΩϡϦςΟΛCI/CDύΠϓϥΠϯ
    ʹಁաతʹऔࠐΉํ๏
    2 0 M ARCH 2 0 2 3
    Jianqiang Cheng - SUSE

    View Slide

  2. Copyright © SUSE 2023 2
    Who am I?
    Jianqiang Cheng
    Sales Engineer
    SUSE Japan

    View Slide

  3. Copyright © SUSE 2023 3
    CI/CD͸ॏཁͰʮ౰ͨΓલʯ

    View Slide

  4. Copyright © SUSE 2023 4
    ੬ऑੑʹૂ͏߈ܸ΍ඃ֐ࣄྫ͕ଟ͍
    ੜ࢈ੑ޲্ͷಉ࣌ʹηΩϡϦςΟΛ͓๨Εͳ͘

    View Slide

  5. Copyright © SUSE 2023 5
    OSSͰίετ࡟ݮɺࣗಈԽͰ࣌ؒ୹ॖ
    ηΩϡϦςΟνΣοΫ΋ࣗಈԽ

    View Slide

  6. Copyright © SUSE 2023 6
    CI/CDύΠϓϥΠϯʹऔΓࠐΉ߲໨
    CI/CD のʮηΩϡϦςΟରࡦʯ
    カテゴリ テクノロジー概要
    ιʔείʔυ੩తղੳ
    ιʔείʔυΛ੩తʹղੳ͠ɺίʔυͷόάɺ$PEF4NFMM ਂ͍໰୊Λൃੜ
    ͢ΔՄೳੑ͕͋Δίʔυ
    ɺηΩϡϦςΟ੬ऑੑΛݕग़
    Πϝʔδͷ੬ऑੑ
    εΩϟϯ
    ίϯςφΠϝʔδʹજΉط஌ͷ੬ऑੑΛࣝผ
    ΠϝʔδͷίϯϓϥΠΞ
    ϯεεΩϟϯ
    ίϯςφΠϝʔδʹCIS Benchmarksʹ४ڌ͠ͳ͍ઃఆ͕͋Δ͔ΛνΣοΫ
    Ξυϛογϣϯ੍ޚ
    ର৅ͷΞϓϦͷσϓϩΠઃఆɺεΩϟϯͷ݁ՌͳͲΛݩʹɺݕূʗຊ൪؀ڥʹ
    ΞϓϦέʔγϣϯͷσϓϩΠՄ൱ͷࣗಈ੍ޚ
    Security Policy as Code
    ωοτϫʔΫϧʔϧɺϑΝΠϧΞΫηεϧʔϧͳͲͷηΩϡϦςΟ
    ϙϦγʔΛίʔυԽ

    View Slide

  7. Copyright © SUSE 2023
    Copyright © SUSE 2023
    Roll Up Your Sleeves and Get
    Started!
    Demo؀ڥͷπʔϧ঺հ
    7

    View Slide

  8. Copyright © SUSE 2023 8
    Demo؀ڥͷπʔϧҰཡ
    πʔϧ ໾ׂ
    AWS VM؀ڥ(AWS Lightsail)
    Github ιʔείʔυ(Java)ɺHelm Chart
    RKE2 K8sσΟετϦϏϡʔγϣϯ
    Harbor ίϯςφϦϙδτϦ
    Jenkins CI/CDύΠϓϥΠϯ
    Rancher Gitops(fleet)、k8sΫϥελʔ؅ཧ
    NeuVector
    Πϝʔδͷ੬ऑੑεΩϟϯɺίϯϓϥΠΞϯεεΩϟϯɺ
    Ξυϛογϣϯ੍ޚͳͲ
    SonarQube ιʔείʔυ੩తղੳ
    Longhorn ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ

    View Slide

  9. Copyright © SUSE 2023
    Demo؀ڥ πʔϧؒͷ࿈ܞਤ
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage

    View Slide

  10. Copyright © SUSE 2023 10
    πʔϧͷ؆୯঺հ
    πʔϧ ໾ׂ
    AWS VM؀ڥ(AWS Lightsail)
    Github ιʔείʔυ(Java)ɺHelm Chart
    RKE2 K8sσΟετϦϏϡʔγϣϯ
    Harbor ίϯςφϦϙδτϦ
    Jenkins CI/CDύΠϓϥΠϯ
    Rancher Gitops(fleet)、k8sΫϥελʔ؅ཧ
    NeuVector
    Πϝʔδͷ੬ऑੑεΩϟϯɺίϯϓϥΠΞϯεεΩϟϯɺ
    Ξυϛογϣϯ੍ޚͳͲ
    SonarQube ιʔείʔυ੩తղੳ
    Longhorn ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ

    View Slide

  11. Copyright © SUSE 2023
    RKE2 - K8sσΟετϦϏϡʔγϣϯ
    — ηΩϡϦςΟཁ݅
    – FIPS-enabled
    – SELinux Support
    — CIS Benchmark Certification
    — Containerd ͕σϑΥϧτͷϥϯλΠϜ
    — γϯάϧόΠφϦͰΠϯετʔϧ΍ӡ༻΋؆୯

    View Slide

  12. Copyright © SUSE 2023
    ෳ਺ͷKubernetesΫϥελ͸ɺଟ༷ͳσΟετϦϏϡʔγϣϯͰ͋ΓɺҟͳΔϓϥοτϑΥʔϜͰ࣮ߦ
    ͞Ε͍ͯ·͕͢ɺRancherʹΑΓҰݩ؅ཧΛ࣮ݱͰ͖·͢ɻ
    Rancher - ෳ਺KubernetesΫϥελͷҰݩ؅ཧ
    12

    View Slide

  13. Copyright © SUSE 2023 13
    Rancher - ௚ײతͳ6*ͱ౷Ұ͞Εͨૢ࡞
    Container
    Container
    Container
    Grafana
    [Add Cluster]
    [Cluster Usage]
    [Graphical Monitoring with Prometheus and Grafana]
    [Service Catalog]
    [Import YAML file]
    [Network traffic statistics wit Istio]
    Prometheus

    View Slide

  14. Copyright © SUSE 2023 14
    Longhorn
    — ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ
    — ܰྔɺߴཔੑɺߴՄ༻ੑͷӬଓϒϩοΫετϨʔδ
    — Rancherʹ؆୯ʹ౷߹
    – Rancher UI͔Βone clickͰσϓϩΠ
    — Backend ετϨʔδʹґଘ͠ͳ͍
    x86 ARM

    View Slide

  15. Copyright © SUSE 2023
    脆弱性とコンプライアンスの管理
    ビルドスキャン リポジトリ
    スキャン
    CIS ベンチマーク コンプライアンス
    PCI, GDPR, NIST
    実⾏時のスキャン
    Container, Host,
    Platform
    ランライムセキュリティ保護
    アドミッション
    コントロール
    コンテナフファイアー
    ウォール
    DPI/DLPによるレイヤー
    7セキュリティ
    コンテナワークロード
    セキュリティ
    プロセス、ファイルシステム
    ブロック
    警報と
    フォレンジック
    Security Policy
    as Code
    セキュリティ設定の
    ⾃動化
    動作に基づく学習
    運⽤
    NeuVector - ίϯςφηΩϡϦςΟ ։ൃ͔Βӡ༻ʹ͔͚ͯ
    ビルド テスト ステージング 運⽤

    View Slide

  16. Copyright © SUSE 2023
    Automated Build Phase
    Scanning
    Scanning Public Cloud Registries, Private
    Registries, 3rd Party Registries
    Layered Image Vulnerability
    Analysis
    CI/CD INTEGRATION

    View Slide

  17. Copyright © SUSE 2023
    circleci.com/orbs
    CI/CD INTEGRATION

    View Slide

  18. Copyright © SUSE 2023
    CVE Database Sources
    NeuVector CVE Database is Updated via 17 Security Sources Nightly
    Updated nightly

    View Slide

  19. Copyright © SUSE 2023
    ΠϝʔδͷίϯϓϥΠΞϯε Checklist

    View Slide

  20. Copyright © SUSE 2023
    SECURITY AS CODE

    View Slide

  21. Copyright © SUSE 2023
    ü KubernetesͷCRD yamlͰΞϓϦέʔγϣϯͷಈ࡞Λ੍ݶ
    üNetwork Connections and Protocols
    üIngress/egress controls
    üProcesses & File System Protection
    ü Security Policiesͷόʔδϣϯ؅ཧ
    ü ଞͷ؀ڥʹಉ͡ͷSecurity PolicyΛ؆୯ʹڞ༗
    ü NeuVector͔Βࣗಈੜ੒Մೳ
    SECURITY AS CODE

    View Slide

  22. Copyright © SUSE 2023
    Copyright © SUSE 2023
    Roll Up Your Sleeves and Get
    Started!
    Demo
    22

    View Slide

  23. Copyright © SUSE 2023
    Demo؀ڥ πʔϧͷ࿈ܞ
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage
    εΫϦϓτͰࣗಈߏங
    εΫϦϓτͰࣗಈ
    ߏங

    View Slide

  24. Copyright © SUSE 2023
    Demo環境の⾃動構築スクリプトGithub
    https://github.com/qiang1981cn/devsecops-neuvector.git

    View Slide

  25. Copyright © SUSE 2023
    Demo環境 - ツールの連携
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage

    View Slide

  26. Copyright © SUSE 2023
    ·ͱΊ
    — OSSͰ΋ηΩϡΞͳCI/CDύΠϓϥΠϯΛߏஙͰ͖Δ
    — NeuVector͸ԼهͷػೳΛఏڙ
    – ੬ऑੑͱίϯϓϥΠΞϯεͷεΩϟϯ
    – Security policy as CodeͰϙϦγʔઃఆͷࣗಈԽ
    – ෆਖ਼ͳσϓϩΠͷࣗಈ્ࢭʢΞυϛογϣϯ੍ޚʣ

    View Slide

  27. Copyright © SUSE 2023
    NeuVector - ίϯςφηΩϡϦςΟ ։ൃ͔Βӡ༻ʹ͔͚ͯ
    αϓϥΠνΣʔϯ
    ηΩϡϦςΟ
    ϥϯλΠϜ
    ηΩϡϦςΟ
    ੬ऑੑεΩϟϯ
    ίϯϓϥΠΞϯεεΩϟϯ
    Ξυϛογϣϯ ੍ޚ
    ϥϯλΠϜεΩϟϯ
    ڴҖϕʔεͷݕग़
    θϩτϥετ੍ޚ

    View Slide

  28. Copyright © SUSE 2023 28
    さらに学びたい⽅に・・・
    4⽉13⽇開催
    NeuVectorオンラインセミナー
    4⽉20⽇開催
    Rancherオンラインセミナー
    お⼿元のアンケートのご回答へのご協⼒もお願いします☺

    View Slide

  29. Copyright © SUSE 2023
    For more information, contact SUSE at:
    03-6625-5578(Japan)
    https://www.suse.com/ja-jp/contact/
    Thank you

    View Slide