Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法

cheng
March 29, 2023
Technology
0
160

 OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法

CI/CDパイプラインを使うことで、アプリケーションのリリーススピードの高速化を実現できるようになりましたが、対策方法によってセキュリティが足かせとなり、リリース作業を遅らせたり、ときには停止させたりすることがあります。
そこで「高速」で「高品質」なデリバリーを実現するためには、下記のようなセキュリティ対策をCICDパイプラインに透過的に取込む必要があります。
・脆弱性とコンプライアンスのスキャン
・不正なデプロイの自動阻止
・Security policy as Codeでポリシー設定の自動化
本セッションでは、100%OSSのNeuVectorで、どのように「高速」で「高品質」なデリバリーを実現するか、デモを交えながら解説します。

cheng

March 29, 2023
Tweet

More Decks by cheng

See All by cheng
Rancher v2.8 & v2.9 Update情報
qiang1981cn
0
84
Rancher v2.6.5 Update情報
qiang1981cn
0
360
NeuVector(Container Security) online meetup 06/30
qiang1981cn
0
330
Harvester 2022/01, オンラインミートアップ
qiang1981cn
0
200
Japan International Kubernetes Day
qiang1981cn
0
57
2021/01/20(水) はじめてのRancherオンラインミートアップ
qiang1981cn
0
310
"Rancherハンズオン with v2.5" ワークショップ 2020/12
qiang1981cn
0
350
Rancher Day 2020 - Rancher Update(racher v2.5))
qiang1981cn
0
63
Rancher Update 2020/10,Rancher v2.5の最新情報
qiang1981cn
0
270

Other Decks in Technology

See All in Technology
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
870
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
480
Taming you application's environments
salaboy
0
190
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
650
Application Development WG Intro at AppDeveloperCon
salaboy
0
190
SSMRunbook作成の勘所_20241120
koichiotomo
3
160
いざ、BSC討伐の旅
nikinusu
2
780
AI前提のサービス運用ってなんだろう?
ryuichi1208
8
1.4k
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
450
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
Lexical Analysis
shigashiyama
1
150
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
680

Featured

See All Featured
Being A Developer After 40
akosma
87
590k
StorybookのUI Testing Handbookを読んだ
zakiyama
27
5.3k
Bash Introduction
62gerente
608
210k
The Cost Of JavaScript in 2023
addyosmani
45
6.8k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Unsuck your backbone
ammeep
668
57k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Faster Mobile Websites
deanohume
305
30k
Designing the Hi-DPI Web
ddemaree
280
34k
Designing Experiences People Love
moore
138
23k
Side Projects
sachag
452
42k

Transcript

  1. Copyright © SUSE 2023 OSSͰηΩϡϦςΟΛCI/CDύΠϓϥΠϯ ʹಁաతʹऔࠐΉํ๏ 2 0 M ARCH

    2 0 2 3 Jianqiang Cheng - SUSE

  2. Copyright © SUSE 2023 2 Who am I? Jianqiang Cheng

    Sales Engineer SUSE Japan

  3. Copyright © SUSE 2023 3 CI/CD͸ॏཁͰʮ౰ͨΓલʯ

  4. Copyright © SUSE 2023 4 ੬ऑੑʹૂ͏߈ܸ΍ඃ֐ࣄྫ͕ଟ͍ ੜ࢈ੑ޲্ͷಉ࣌ʹηΩϡϦςΟΛ͓๨Εͳ͘

  5. Copyright © SUSE 2023 5 OSSͰίετ࡟ݮɺࣗಈԽͰ࣌ؒ୹ॖ ηΩϡϦςΟνΣοΫ΋ࣗಈԽ

  6. Copyright © SUSE 2023 6 CI/CDύΠϓϥΠϯʹऔΓࠐΉ߲໨ CI/CD のʮηΩϡϦςΟରࡦʯ カテゴリ テクノロジー概要

    ιʔείʔυ੩తղੳ ιʔείʔυΛ੩తʹղੳ͠ɺίʔυͷόάɺ$PEF4NFMM ਂ͍໰୊Λൃੜ ͢ΔՄೳੑ͕͋Δίʔυ ɺηΩϡϦςΟ੬ऑੑΛݕग़ Πϝʔδͷ੬ऑੑ εΩϟϯ ίϯςφΠϝʔδʹજΉط஌ͷ੬ऑੑΛࣝผ ΠϝʔδͷίϯϓϥΠΞ ϯεεΩϟϯ ίϯςφΠϝʔδʹCIS Benchmarksʹ४ڌ͠ͳ͍ઃఆ͕͋Δ͔ΛνΣοΫ Ξυϛογϣϯ੍ޚ ର৅ͷΞϓϦͷσϓϩΠઃఆɺεΩϟϯͷ݁ՌͳͲΛݩʹɺݕূʗຊ൪؀ڥʹ ΞϓϦέʔγϣϯͷσϓϩΠՄ൱ͷࣗಈ੍ޚ Security Policy as Code ωοτϫʔΫϧʔϧɺϑΝΠϧΞΫηεϧʔϧͳͲͷηΩϡϦςΟ ϙϦγʔΛίʔυԽ

  7. Copyright © SUSE 2023 Copyright © SUSE 2023 Roll Up

    Your Sleeves and Get Started! Demo؀ڥͷπʔϧ঺հ 7

  8. Copyright © SUSE 2023 8 Demo؀ڥͷπʔϧҰཡ πʔϧ ໾ׂ AWS VM؀ڥ(AWS

    Lightsail) Github ιʔείʔυ(Java)ɺHelm Chart RKE2 K8sσΟετϦϏϡʔγϣϯ Harbor ίϯςφϦϙδτϦ Jenkins CI/CDύΠϓϥΠϯ Rancher Gitops(fleet)、k8sΫϥελʔ؅ཧ NeuVector Πϝʔδͷ੬ऑੑεΩϟϯɺίϯϓϥΠΞϯεεΩϟϯɺ Ξυϛογϣϯ੍ޚͳͲ SonarQube ιʔείʔυ੩తղੳ Longhorn ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ

  9. Copyright © SUSE 2023 Demo؀ڥ  πʔϧؒͷ࿈ܞਤ CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ ։ൃऀ Webhook

    τϦΨʔ Commit ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ ϚχϑΣετߋ৽ *NBHF5BH ϚχϑΣετ ؂ࢹɾऔಘ σϓϩΠ Ξυϛογϣϯ੍ޚ ϥϯλΠϜηΩϡϦςΟ CI GITOPS ӡ༻ Cloud Native Security Kubernetes IaaS Cloud Native Storage

  10. Copyright © SUSE 2023 10 πʔϧͷ؆୯঺հ πʔϧ ໾ׂ AWS VM؀ڥ(AWS

    Lightsail) Github ιʔείʔυ(Java)ɺHelm Chart RKE2 K8sσΟετϦϏϡʔγϣϯ Harbor ίϯςφϦϙδτϦ Jenkins CI/CDύΠϓϥΠϯ Rancher Gitops(fleet)、k8sΫϥελʔ؅ཧ NeuVector Πϝʔδͷ੬ऑੑεΩϟϯɺίϯϓϥΠΞϯεεΩϟϯɺ Ξυϛογϣϯ੍ޚͳͲ SonarQube ιʔείʔυ੩తղੳ Longhorn ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ

  11. Copyright © SUSE 2023 RKE2 - K8sσΟετϦϏϡʔγϣϯ — ηΩϡϦςΟཁ݅ –

    FIPS-enabled – SELinux Support — CIS Benchmark Certification — Containerd ͕σϑΥϧτͷϥϯλΠϜ — γϯάϧόΠφϦͰΠϯετʔϧ΍ӡ༻΋؆୯

  12. Copyright © SUSE 2023 ෳ਺ͷKubernetesΫϥελ͸ɺଟ༷ͳσΟετϦϏϡʔγϣϯͰ͋ΓɺҟͳΔϓϥοτϑΥʔϜͰ࣮ߦ ͞Ε͍ͯ·͕͢ɺRancherʹΑΓҰݩ؅ཧΛ࣮ݱͰ͖·͢ɻ Rancher - ෳ਺KubernetesΫϥελͷҰݩ؅ཧ 12

  13. Copyright © SUSE 2023 13 Rancher - ௚ײతͳ6*ͱ౷Ұ͞Εͨૢ࡞ Container Container

    Container Grafana [Add Cluster] [Cluster Usage] [Graphical Monitoring with Prometheus and Grafana] [Service Catalog] [Import YAML file] [Network traffic statistics wit Istio] Prometheus

  14. Copyright © SUSE 2023 14 Longhorn — ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ — ܰྔɺߴཔੑɺߴՄ༻ੑͷӬଓϒϩοΫετϨʔδ

    — Rancherʹ؆୯ʹ౷߹ – Rancher UI͔Βone clickͰσϓϩΠ — Backend ετϨʔδʹґଘ͠ͳ͍ x86 ARM

  15. Copyright © SUSE 2023 脆弱性とコンプライアンスの管理 ビルドスキャン リポジトリ スキャン CIS ベンチマーク

    コンプライアンス PCI, GDPR, NIST 実⾏時のスキャン Container, Host, Platform ランライムセキュリティ保護 アドミッション コントロール コンテナフファイアー ウォール DPI/DLPによるレイヤー 7セキュリティ コンテナワークロード セキュリティ プロセス、ファイルシステム ブロック 警報と フォレンジック Security Policy as Code セキュリティ設定の ⾃動化 動作に基づく学習 運⽤ NeuVector - ίϯςφηΩϡϦςΟ ։ൃ͔Βӡ༻ʹ͔͚ͯ ビルド テスト ステージング 運⽤

  16. Copyright © SUSE 2023 Automated Build Phase Scanning Scanning Public

    Cloud Registries, Private Registries, 3rd Party Registries Layered Image Vulnerability Analysis CI/CD INTEGRATION

  17. Copyright © SUSE 2023 circleci.com/orbs CI/CD INTEGRATION

  18. Copyright © SUSE 2023 CVE Database Sources NeuVector CVE Database

    is Updated via 17 Security Sources Nightly Updated nightly

  19. Copyright © SUSE 2023 ΠϝʔδͷίϯϓϥΠΞϯε Checklist

  20. Copyright © SUSE 2023 SECURITY AS CODE

  21. Copyright © SUSE 2023 ü KubernetesͷCRD yamlͰΞϓϦέʔγϣϯͷಈ࡞Λ੍ݶ üNetwork Connections and

    Protocols üIngress/egress controls üProcesses & File System Protection ü Security Policiesͷόʔδϣϯ؅ཧ ü ଞͷ؀ڥʹಉ͡ͷSecurity PolicyΛ؆୯ʹڞ༗ ü NeuVector͔Βࣗಈੜ੒Մೳ SECURITY AS CODE

  22. Copyright © SUSE 2023 Copyright © SUSE 2023 Roll Up

    Your Sleeves and Get Started! Demo 22

  23. Copyright © SUSE 2023 Demo؀ڥ  πʔϧͷ࿈ܞ CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ ։ൃऀ Webhook

    τϦΨʔ Commit ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ ϚχϑΣετߋ৽ *NBHF5BH ϚχϑΣετ ؂ࢹɾऔಘ σϓϩΠ Ξυϛογϣϯ੍ޚ ϥϯλΠϜηΩϡϦςΟ CI GITOPS ӡ༻ Cloud Native Security Kubernetes IaaS Cloud Native Storage εΫϦϓτͰࣗಈߏங εΫϦϓτͰࣗಈ ߏங

  24. Copyright © SUSE 2023 Demo環境の⾃動構築スクリプトGithub https://github.com/qiang1981cn/devsecops-neuvector.git

  25. Copyright © SUSE 2023 Demo環境 - ツールの連携 CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ ։ൃऀ Webhook

    τϦΨʔ Commit ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ ϚχϑΣετߋ৽ *NBHF5BH ϚχϑΣετ ؂ࢹɾऔಘ σϓϩΠ Ξυϛογϣϯ੍ޚ ϥϯλΠϜηΩϡϦςΟ CI GITOPS ӡ༻ Cloud Native Security Kubernetes IaaS Cloud Native Storage

  26. Copyright © SUSE 2023 ·ͱΊ — OSSͰ΋ηΩϡΞͳCI/CDύΠϓϥΠϯΛߏஙͰ͖Δ — NeuVector͸ԼهͷػೳΛఏڙ –

    ੬ऑੑͱίϯϓϥΠΞϯεͷεΩϟϯ – Security policy as CodeͰϙϦγʔઃఆͷࣗಈԽ – ෆਖ਼ͳσϓϩΠͷࣗಈ્ࢭʢΞυϛογϣϯ੍ޚʣ

  27. Copyright © SUSE 2023 NeuVector - ίϯςφηΩϡϦςΟ ։ൃ͔Βӡ༻ʹ͔͚ͯ αϓϥΠνΣʔϯ ηΩϡϦςΟ

    ϥϯλΠϜ ηΩϡϦςΟ ੬ऑੑεΩϟϯ ίϯϓϥΠΞϯεεΩϟϯ Ξυϛογϣϯ ੍ޚ ϥϯλΠϜεΩϟϯ ڴҖϕʔεͷݕग़ θϩτϥετ੍ޚ

  28. Copyright © SUSE 2023 28 さらに学びたい⽅に・・・ 4⽉13⽇開催 NeuVectorオンラインセミナー 4⽉20⽇開催 Rancherオンラインセミナー

    お⼿元のアンケートのご回答へのご協⼒もお願いします☺

  29. Copyright © SUSE 2023 For more information, contact SUSE at:

    03-6625-5578(Japan) https://www.suse.com/ja-jp/contact/ Thank you