$30 off During Our Annual Pro Sale. View Details »

OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法

cheng
March 29, 2023

 OSSでセキュリティをCI/CDパイプラインに透過的に取込む方法

CI/CDパイプラインを使うことで、アプリケーションのリリーススピードの高速化を実現できるようになりましたが、対策方法によってセキュリティが足かせとなり、リリース作業を遅らせたり、ときには停止させたりすることがあります。
そこで「高速」で「高品質」なデリバリーを実現するためには、下記のようなセキュリティ対策をCICDパイプラインに透過的に取込む必要があります。
・脆弱性とコンプライアンスのスキャン
・不正なデプロイの自動阻止
・Security policy as Codeでポリシー設定の自動化
本セッションでは、100%OSSのNeuVectorで、どのように「高速」で「高品質」なデリバリーを実現するか、デモを交えながら解説します。

cheng

March 29, 2023
Tweet

More Decks by cheng

Other Decks in Technology

Transcript

  1. Copyright © SUSE 2023
    OSSͰηΩϡϦςΟΛCI/CDύΠϓϥΠϯ
    ʹಁաతʹऔࠐΉํ๏
    2 0 M ARCH 2 0 2 3
    Jianqiang Cheng - SUSE

    View Slide

  2. Copyright © SUSE 2023 2
    Who am I?
    Jianqiang Cheng
    Sales Engineer
    SUSE Japan

    View Slide

  3. Copyright © SUSE 2023 3
    CI/CD͸ॏཁͰʮ౰ͨΓલʯ

    View Slide

  4. Copyright © SUSE 2023 4
    ੬ऑੑʹૂ͏߈ܸ΍ඃ֐ࣄྫ͕ଟ͍
    ੜ࢈ੑ޲্ͷಉ࣌ʹηΩϡϦςΟΛ͓๨Εͳ͘

    View Slide

  5. Copyright © SUSE 2023 5
    OSSͰίετ࡟ݮɺࣗಈԽͰ࣌ؒ୹ॖ
    ηΩϡϦςΟνΣοΫ΋ࣗಈԽ

    View Slide

  6. Copyright © SUSE 2023 6
    CI/CDύΠϓϥΠϯʹऔΓࠐΉ߲໨
    CI/CD のʮηΩϡϦςΟରࡦʯ
    カテゴリ テクノロジー概要
    ιʔείʔυ੩తղੳ
    ιʔείʔυΛ੩తʹղੳ͠ɺίʔυͷόάɺ$PEF4NFMM ਂ͍໰୊Λൃੜ
    ͢ΔՄೳੑ͕͋Δίʔυ
    ɺηΩϡϦςΟ੬ऑੑΛݕग़
    Πϝʔδͷ੬ऑੑ
    εΩϟϯ
    ίϯςφΠϝʔδʹજΉط஌ͷ੬ऑੑΛࣝผ
    ΠϝʔδͷίϯϓϥΠΞ
    ϯεεΩϟϯ
    ίϯςφΠϝʔδʹCIS Benchmarksʹ४ڌ͠ͳ͍ઃఆ͕͋Δ͔ΛνΣοΫ
    Ξυϛογϣϯ੍ޚ
    ର৅ͷΞϓϦͷσϓϩΠઃఆɺεΩϟϯͷ݁ՌͳͲΛݩʹɺݕূʗຊ൪؀ڥʹ
    ΞϓϦέʔγϣϯͷσϓϩΠՄ൱ͷࣗಈ੍ޚ
    Security Policy as Code
    ωοτϫʔΫϧʔϧɺϑΝΠϧΞΫηεϧʔϧͳͲͷηΩϡϦςΟ
    ϙϦγʔΛίʔυԽ

    View Slide

  7. Copyright © SUSE 2023
    Copyright © SUSE 2023
    Roll Up Your Sleeves and Get
    Started!
    Demo؀ڥͷπʔϧ঺հ
    7

    View Slide

  8. Copyright © SUSE 2023 8
    Demo؀ڥͷπʔϧҰཡ
    πʔϧ ໾ׂ
    AWS VM؀ڥ(AWS Lightsail)
    Github ιʔείʔυ(Java)ɺHelm Chart
    RKE2 K8sσΟετϦϏϡʔγϣϯ
    Harbor ίϯςφϦϙδτϦ
    Jenkins CI/CDύΠϓϥΠϯ
    Rancher Gitops(fleet)、k8sΫϥελʔ؅ཧ
    NeuVector
    Πϝʔδͷ੬ऑੑεΩϟϯɺίϯϓϥΠΞϯεεΩϟϯɺ
    Ξυϛογϣϯ੍ޚͳͲ
    SonarQube ιʔείʔυ੩తղੳ
    Longhorn ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ

    View Slide

  9. Copyright © SUSE 2023
    Demo؀ڥ πʔϧؒͷ࿈ܞਤ
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage

    View Slide

  10. Copyright © SUSE 2023 10
    πʔϧͷ؆୯঺հ
    πʔϧ ໾ׂ
    AWS VM؀ڥ(AWS Lightsail)
    Github ιʔείʔυ(Java)ɺHelm Chart
    RKE2 K8sσΟετϦϏϡʔγϣϯ
    Harbor ίϯςφϦϙδτϦ
    Jenkins CI/CDύΠϓϥΠϯ
    Rancher Gitops(fleet)、k8sΫϥελʔ؅ཧ
    NeuVector
    Πϝʔδͷ੬ऑੑεΩϟϯɺίϯϓϥΠΞϯεεΩϟϯɺ
    Ξυϛογϣϯ੍ޚͳͲ
    SonarQube ιʔείʔυ੩తղੳ
    Longhorn ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ

    View Slide

  11. Copyright © SUSE 2023
    RKE2 - K8sσΟετϦϏϡʔγϣϯ
    — ηΩϡϦςΟཁ݅
    – FIPS-enabled
    – SELinux Support
    — CIS Benchmark Certification
    — Containerd ͕σϑΥϧτͷϥϯλΠϜ
    — γϯάϧόΠφϦͰΠϯετʔϧ΍ӡ༻΋؆୯

    View Slide

  12. Copyright © SUSE 2023
    ෳ਺ͷKubernetesΫϥελ͸ɺଟ༷ͳσΟετϦϏϡʔγϣϯͰ͋ΓɺҟͳΔϓϥοτϑΥʔϜͰ࣮ߦ
    ͞Ε͍ͯ·͕͢ɺRancherʹΑΓҰݩ؅ཧΛ࣮ݱͰ͖·͢ɻ
    Rancher - ෳ਺KubernetesΫϥελͷҰݩ؅ཧ
    12

    View Slide

  13. Copyright © SUSE 2023 13
    Rancher - ௚ײతͳ6*ͱ౷Ұ͞Εͨૢ࡞
    Container
    Container
    Container
    Grafana
    [Add Cluster]
    [Cluster Usage]
    [Graphical Monitoring with Prometheus and Grafana]
    [Service Catalog]
    [Import YAML file]
    [Network traffic statistics wit Istio]
    Prometheus

    View Slide

  14. Copyright © SUSE 2023 14
    Longhorn
    — ίϯςφӬଓԽετϨʔδιϦϡʔγϣϯ
    — ܰྔɺߴཔੑɺߴՄ༻ੑͷӬଓϒϩοΫετϨʔδ
    — Rancherʹ؆୯ʹ౷߹
    – Rancher UI͔Βone clickͰσϓϩΠ
    — Backend ετϨʔδʹґଘ͠ͳ͍
    x86 ARM

    View Slide

  15. Copyright © SUSE 2023
    脆弱性とコンプライアンスの管理
    ビルドスキャン リポジトリ
    スキャン
    CIS ベンチマーク コンプライアンス
    PCI, GDPR, NIST
    実⾏時のスキャン
    Container, Host,
    Platform
    ランライムセキュリティ保護
    アドミッション
    コントロール
    コンテナフファイアー
    ウォール
    DPI/DLPによるレイヤー
    7セキュリティ
    コンテナワークロード
    セキュリティ
    プロセス、ファイルシステム
    ブロック
    警報と
    フォレンジック
    Security Policy
    as Code
    セキュリティ設定の
    ⾃動化
    動作に基づく学習
    運⽤
    NeuVector - ίϯςφηΩϡϦςΟ ։ൃ͔Βӡ༻ʹ͔͚ͯ
    ビルド テスト ステージング 運⽤

    View Slide

  16. Copyright © SUSE 2023
    Automated Build Phase
    Scanning
    Scanning Public Cloud Registries, Private
    Registries, 3rd Party Registries
    Layered Image Vulnerability
    Analysis
    CI/CD INTEGRATION

    View Slide

  17. Copyright © SUSE 2023
    circleci.com/orbs
    CI/CD INTEGRATION

    View Slide

  18. Copyright © SUSE 2023
    CVE Database Sources
    NeuVector CVE Database is Updated via 17 Security Sources Nightly
    Updated nightly

    View Slide

  19. Copyright © SUSE 2023
    ΠϝʔδͷίϯϓϥΠΞϯε Checklist

    View Slide

  20. Copyright © SUSE 2023
    SECURITY AS CODE

    View Slide

  21. Copyright © SUSE 2023
    ü KubernetesͷCRD yamlͰΞϓϦέʔγϣϯͷಈ࡞Λ੍ݶ
    üNetwork Connections and Protocols
    üIngress/egress controls
    üProcesses & File System Protection
    ü Security Policiesͷόʔδϣϯ؅ཧ
    ü ଞͷ؀ڥʹಉ͡ͷSecurity PolicyΛ؆୯ʹڞ༗
    ü NeuVector͔Βࣗಈੜ੒Մೳ
    SECURITY AS CODE

    View Slide

  22. Copyright © SUSE 2023
    Copyright © SUSE 2023
    Roll Up Your Sleeves and Get
    Started!
    Demo
    22

    View Slide

  23. Copyright © SUSE 2023
    Demo؀ڥ πʔϧͷ࿈ܞ
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage
    εΫϦϓτͰࣗಈߏங
    εΫϦϓτͰࣗಈ
    ߏங

    View Slide

  24. Copyright © SUSE 2023
    Demo環境の⾃動構築スクリプトGithub
    https://github.com/qiang1981cn/devsecops-neuvector.git

    View Slide

  25. Copyright © SUSE 2023
    Demo環境 - ツールの連携
    CIύΠϓϥΠϯʢϏϧυˠςετˠϓογϡˠεΩϟϯʣ
    ։ൃऀ
    Webhook
    τϦΨʔ
    Commit
    ίʔυ੩తղੳ Πϝʔδ֨ೲ Πϝʔδ εΩϟϯ
    ϚχϑΣετߋ৽
    *NBHF5BH
    ϚχϑΣετ
    ؂ࢹɾऔಘ
    σϓϩΠ
    Ξυϛογϣϯ੍ޚ
    ϥϯλΠϜηΩϡϦςΟ
    CI GITOPS
    ӡ༻
    Cloud Native Security
    Kubernetes
    IaaS
    Cloud Native Storage

    View Slide

  26. Copyright © SUSE 2023
    ·ͱΊ
    — OSSͰ΋ηΩϡΞͳCI/CDύΠϓϥΠϯΛߏஙͰ͖Δ
    — NeuVector͸ԼهͷػೳΛఏڙ
    – ੬ऑੑͱίϯϓϥΠΞϯεͷεΩϟϯ
    – Security policy as CodeͰϙϦγʔઃఆͷࣗಈԽ
    – ෆਖ਼ͳσϓϩΠͷࣗಈ્ࢭʢΞυϛογϣϯ੍ޚʣ

    View Slide

  27. Copyright © SUSE 2023
    NeuVector - ίϯςφηΩϡϦςΟ ։ൃ͔Βӡ༻ʹ͔͚ͯ
    αϓϥΠνΣʔϯ
    ηΩϡϦςΟ
    ϥϯλΠϜ
    ηΩϡϦςΟ
    ੬ऑੑεΩϟϯ
    ίϯϓϥΠΞϯεεΩϟϯ
    Ξυϛογϣϯ ੍ޚ
    ϥϯλΠϜεΩϟϯ
    ڴҖϕʔεͷݕग़
    θϩτϥετ੍ޚ

    View Slide

  28. Copyright © SUSE 2023 28
    さらに学びたい⽅に・・・
    4⽉13⽇開催
    NeuVectorオンラインセミナー
    4⽉20⽇開催
    Rancherオンラインセミナー
    お⼿元のアンケートのご回答へのご協⼒もお願いします☺

    View Slide

  29. Copyright © SUSE 2023
    For more information, contact SUSE at:
    03-6625-5578(Japan)
    https://www.suse.com/ja-jp/contact/
    Thank you

    View Slide