Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
The State of Container Security in Red Hat Expe...
Search
Shingo.Kitayama
October 06, 2020
Technology
2
630
The State of Container Security in Red Hat Experience
DevSecOps Day Tokyo 2020の発表です。
「Red Hatの経験に基づくコンテナセキュリティのあり方」
https://devsecops-days-tokyo.com/
Shingo.Kitayama
October 06, 2020
Tweet
Share
More Decks by Shingo.Kitayama
See All by Shingo.Kitayama
Why we expect the Microservices
shkitayama
2
480
Why run OpenShift on Google Cloud
shkitayama
1
340
Container Replatform 101
shkitayama
4
1.8k
Red Hat OpenShift Platform Plus - Red Hat Summit Connect 2022
shkitayama
0
760
NVIDIA AI Enterprise for Red Hat OpenShift
shkitayama
0
930
Kubernetes CICD Pipelines Book
shkitayama
2
2k
Shipwright Overview
shkitayama
0
1.9k
CloudNative CICD in OpenShift Commons Japan
shkitayama
5
18k
OperatorLifecycleManager 101
shkitayama
5
2.6k
Other Decks in Technology
See All in Technology
“2件同時配達”の開発舞台裏 〜出前館PMが挑んだダブルピック実現に向けた体験設計〜
demaecan
0
180
組織観点からIAM Identity CenterとIAMの設計を考える
nrinetcom
PRO
1
150
リーダーになったら未来を語れるようになろう/Speak the Future
sanogemaru
0
240
データエンジニアがこの先生きのこるには...?
10xinc
0
430
Oracle Base Database Service 技術詳細
oracle4engineer
PRO
11
77k
AWSにおけるTrend Vision Oneの効果について
shimak
0
110
extension 現場で使えるXcodeショートカット一覧
ktombow
0
190
「AI駆動PO」を考えてみる - 作る速さから価値のスループットへ:検査・適応で未来を開発 / AI-driven product owner. scrummat2025
yosuke_nagai
1
490
Function calling機能をPLaMo2に実装するには / PFN LLMセミナー
pfn
PRO
0
820
DataOpsNight#8_Terragruntを用いたスケーラブルなSnowflakeインフラ管理
roki18d
1
320
GA technologiesでのAI-Readyの取り組み@DataOps Night
yuto16
0
260
履歴 on Rails: Bitemporal Data Modelで実現する履歴管理/history-on-rails-with-bitemporal-data-model
hypermkt
0
2k
Featured
See All Featured
How To Stay Up To Date on Web Technology
chriscoyier
791
250k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
367
27k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.5k
Typedesign – Prime Four
hannesfritz
42
2.8k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
32
2.2k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
2.6k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
9
840
It's Worth the Effort
3n
187
28k
4 Signs Your Business is Dying
shpigford
185
22k
Automating Front-end Workflow
addyosmani
1371
200k
Rebuilding a faster, lazier Slack
samanthasiow
84
9.2k
Speed Design
sergeychernyshev
32
1.1k
Transcript
の経験に基づく コンテナセキュリティのあり方
None
コンテナセキュリティの 実態
「 」の分野だけでも もの製品が対応している。 時点
現場におけるコンテナセキュリティの実態 「既存のセキュリティーツールを使いたいので すが、 と連携できますか?」 “ 「どのツールを使えば安全ですか?」 “ 現場の声
現場におけるコンテナセキュリティの実態 「既存のセキュリティーツールを使いたいので すが、 と連携できますか?」 “ 「どのツールを使えば安全ですか?」 “ 現場の声 そもそも守りたいものは何なのか? サービスが守るべき
セキュリティ基準 コンテナに必要な セキュリティ を 支える運用プロセス
サービスが守るべきセキュリティ基準を決定 クラウドサービスに対するセキュリティ評価、認証、及び継続的あモニタリングに関する標準規格 どこでどのようなサービスを提供するかによって、セキュリティ基準は変わります。 米国における医療保険の携行と責任に関する法律 金融分野における情報システムの安全対策や 技術導入における業界標準ガイドライン クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準 米国国防総省がまとめるクラウドコンピューティングセキュリティガイド
コンテナセキュリティ コンテナセキュリティには、作成されるアプリケーションから、インフラストラクチャまでのすべてが含まれます。 セキュリティをコンテナパイプラインに組み込む インフラストラクチャを保護する
コンテナセキュリティ コンテナセキュリティには、作成されるアプリケーションから、インフラストラクチャまでのすべてが含まれます。 ・ ・ ・ ・ ・ ・ ・ ・
・ セキュリティをコンテナパイプラインに組み込む インフラストラクチャを保護する
コンテナ・インフラストラクチャの保護 どのコンテナが互いに アクセスする必要があるか? ホストのアップデートを どのように管理するか? コンテナの正常性をどのように監視するか? 共有リソース ネットワークとストレージなど へ のアクセスをどのように制御するか?
アプリケーションの自動的なスケーリングを どのように行うか? ホスト は、コンテナデプロイ環境を防御するための大 きな部分を占めます。コンテナプラットフォームに回復力 を持たせるには、 を使用してアプリと環境を 隔離し、ストレージをセキュアに接続します。 検証済み 進行中のモジュール 暗号パッケージのみが 有効になります。
アプリ開発時のセキュリティ イメージ管理のセキュリティ コンテナ運用のセキュリティ コンテナイメージの作成 署名 コンテナイメージの保存 検索 コンテナデプロイと管理
アプリ開発のセキュリティ コンテナイメージは署名済みで、 信頼できるソースから取得されているか? ランタイムレイヤーと は最新のものか? 既知の問題は特定されているか、 その問題はどのように追跡されるか? コンテナはどの程度の期間と頻度で アップデートされているか? コンテナセキュリティは、信頼できるベースイメージを利
用することから始まります。ただし信頼できるイメージを使 用しても、アプリケーションを追加で変わるため、プロアク ティブなコンテンツ管理を念頭に置く必要があります。
イメージ管理のセキュリティ コンテナイメージの管理にどのようなロール ベースのアクセス制御を使用できるか? イメージを分類するタグ付け機能があるか? 各環境ごとにイメージにタグ付けできるか? 既知の脆弱性を追跡できるように、 レジストリから視覚的なデータが得られるか? レジストリを使用してポリシーを割り当てて 自動化できるか? チームが使用するすべてのコンテナイメージへのアクセ
スとプロモーションを管理します。これは、ダウンロードす るイメージと、ビルドするイメージの両方を保護するという ことです。
コンテナ運用のセキュリティ どのようにして、実行中のコンテナへの パッチ適用を防げるのか? トリガーを使用して、コンテナを再ビルドし、 自動アップデートできるか? パイプラインの最後のステップは、デプロイです。問題を 追跡してフラグを立てられるコンポーネント分析ツールを 実行し、自動化されたポリシーベースのデプロイツールを 利用します。 リクエストの変更
実行を許可するかどうかを決定
を 支える運用プロセス
の組織において、 の実 践、組織内の指導者が の理念 に賛同することから始まる。 プロセスを自動化し、一貫したガバナンス を適用するための新しい共同プロセス、テ クノロジー、ツールの開発とともに、組織文 化の変革につながる。 プロジェクトを成功させるためには、この
つの分野すべてを進めなければなりません。
セキュリティをより身近なものにするには
とは、顧客に 価値を提供できる最小限の製品や、それを使っ たアプローチです。 を利用することによって、限られた時間で顧 客のニーズに基づく商品・サービスを構築するこ とができるため、無駄なコストの削減にもつなが る手法として注目されています。 特に政府機関では、 を使用して を採用する指標を設定しています。
運用プロセス改善支援 スクラム コーチ アーキテクト 技術支援 コンサルタント 技術的な課題の問い合わせ、レビュー依頼 ベストプラクティスのアドバイス、レクチャー、ワーク ショップの提供 支援状況、効果測定結果の報告
改善要望のフィードバック
アルゼンチンを行き来する人からの犯罪の脅威をより正確に予測し、移民を 支援するために、国内および からの重要なセキュリティデータを 統合し、国家安全保障データ分析プラットフォームを作成しました。 進化する需要に対応し、革新的な公共サービスをより迅速に開発す るために を設立し、 などのオープ ンソースツールを使用したコラボレーションを実施しました。
まとめ
コンテナセキュリティの運用プロセス変化 コンテナを活用したセキュリティ改善 セキュリティ運用変革 新規 既存システムの継続的セキュリティ改善 コンテナや テクノロジーを活用した、クラウドネイティブな パイプラインの作成、アーキテクチャ改善 既存システムのセキュリティプロセスや運用を自動化し、開発 運用プロ
セスの中に組み込めるように を使いながら確認 時間やコストかけてセキュリティを守るのではなく、アジリティ改善やコス ト削減が継続的に行いながらセキュリティを担保していく組織づくり は、誰もがセキュリティに責任を持つという考え方を構築することです。
「 」は、クラウドインフラおよびセキュ リティエンジニアリングの役割を担う人々が直面している多くの セキュリティの課題対応を支援するために作成されました。 本の中では、以下の要素ごとに役立つアプローチを約 ページに渡って紹介しています。 ・ セキュリティ実施におけるトレードオフ ・ リスクの選別
・ ポリシーの実施 ・ レポート ・ システム構成の検証 など
年 月 日 水 ・ 日 木 ~ 予定(オンライン) 開催
日程 参加 登録 アジア最大規模 のオープンソー スバーチャル イベントとして 開催決定! 日本のお客様向 けの日本語セッ ションもご用意 しております!
None