Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
The State of Container Security in Red Hat Expe...
Search
Shingo.Kitayama
October 06, 2020
Technology
2
610
The State of Container Security in Red Hat Experience
DevSecOps Day Tokyo 2020の発表です。
「Red Hatの経験に基づくコンテナセキュリティのあり方」
https://devsecops-days-tokyo.com/
Shingo.Kitayama
October 06, 2020
Tweet
Share
More Decks by Shingo.Kitayama
See All by Shingo.Kitayama
Why we expect the Microservices
shkitayama
2
470
Why run OpenShift on Google Cloud
shkitayama
1
330
Container Replatform 101
shkitayama
4
1.7k
Red Hat OpenShift Platform Plus - Red Hat Summit Connect 2022
shkitayama
0
740
NVIDIA AI Enterprise for Red Hat OpenShift
shkitayama
0
870
Kubernetes CICD Pipelines Book
shkitayama
2
1.9k
Shipwright Overview
shkitayama
0
1.8k
CloudNative CICD in OpenShift Commons Japan
shkitayama
5
18k
OperatorLifecycleManager 101
shkitayama
5
2.5k
Other Decks in Technology
See All in Technology
AWS CDK 入門ガイド これだけは知っておきたいヒント集
anank
5
750
Four Keysから始める信頼性の改善 - SRE NEXT 2025
ozakikota
0
420
Contract One Engineering Unit 紹介資料
sansan33
PRO
0
6.9k
公開初日に Gemini CLI を試した話や FFmpeg と組み合わせてみた話など / Gemini CLI 初学者勉強会(#AI道場)
you
PRO
0
1.3k
AI Ready API ─ AI時代に求められるAPI設計とは?/ AI-Ready API - Designing MCP and APIs in the AI Era
yokawasa
8
2.1k
伴走から自律へ: 形式知へと導くSREイネーブリングによる プロダクトチームの信頼性オーナーシップ向上 / SRE NEXT 2025
visional_engineering_and_design
3
460
Talk to Someone At Delta Airlines™️ USA Contact Numbers
travelcarecenter
0
160
Microsoft Defender XDRで疲弊しないためのインシデント対応
sophiakunii
1
320
How to Quickly Call American Airlines®️ U.S. Customer Care : Full Guide
flyaahelpguide
0
240
AWS 怖い話 WAF編 @fillz_noh #AWSStartup #AWSStartup_Kansai
fillznoh
0
130
大量配信システムにおけるSLOの実践:「見えない」信頼性をSLOで可視化
plaidtech
PRO
0
390
第64回コンピュータビジョン勉強会「The PanAf-FGBG Dataset: Understanding the Impact of Backgrounds in Wildlife Behaviour Recognition」
x_ttyszk
0
240
Featured
See All Featured
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
18
990
Reflections from 52 weeks, 52 projects
jeffersonlam
351
21k
How to Ace a Technical Interview
jacobian
278
23k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Building a Modern Day E-commerce SEO Strategy
aleyda
42
7.4k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
138
34k
Building Applications with DynamoDB
mza
95
6.5k
Code Review Best Practice
trishagee
69
19k
What's in a price? How to price your products and services
michaelherold
246
12k
Into the Great Unknown - MozCon
thekraken
40
1.9k
GitHub's CSS Performance
jonrohan
1031
460k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
Transcript
の経験に基づく コンテナセキュリティのあり方
None
コンテナセキュリティの 実態
「 」の分野だけでも もの製品が対応している。 時点
現場におけるコンテナセキュリティの実態 「既存のセキュリティーツールを使いたいので すが、 と連携できますか?」 “ 「どのツールを使えば安全ですか?」 “ 現場の声
現場におけるコンテナセキュリティの実態 「既存のセキュリティーツールを使いたいので すが、 と連携できますか?」 “ 「どのツールを使えば安全ですか?」 “ 現場の声 そもそも守りたいものは何なのか? サービスが守るべき
セキュリティ基準 コンテナに必要な セキュリティ を 支える運用プロセス
サービスが守るべきセキュリティ基準を決定 クラウドサービスに対するセキュリティ評価、認証、及び継続的あモニタリングに関する標準規格 どこでどのようなサービスを提供するかによって、セキュリティ基準は変わります。 米国における医療保険の携行と責任に関する法律 金融分野における情報システムの安全対策や 技術導入における業界標準ガイドライン クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準 米国国防総省がまとめるクラウドコンピューティングセキュリティガイド
コンテナセキュリティ コンテナセキュリティには、作成されるアプリケーションから、インフラストラクチャまでのすべてが含まれます。 セキュリティをコンテナパイプラインに組み込む インフラストラクチャを保護する
コンテナセキュリティ コンテナセキュリティには、作成されるアプリケーションから、インフラストラクチャまでのすべてが含まれます。 ・ ・ ・ ・ ・ ・ ・ ・
・ セキュリティをコンテナパイプラインに組み込む インフラストラクチャを保護する
コンテナ・インフラストラクチャの保護 どのコンテナが互いに アクセスする必要があるか? ホストのアップデートを どのように管理するか? コンテナの正常性をどのように監視するか? 共有リソース ネットワークとストレージなど へ のアクセスをどのように制御するか?
アプリケーションの自動的なスケーリングを どのように行うか? ホスト は、コンテナデプロイ環境を防御するための大 きな部分を占めます。コンテナプラットフォームに回復力 を持たせるには、 を使用してアプリと環境を 隔離し、ストレージをセキュアに接続します。 検証済み 進行中のモジュール 暗号パッケージのみが 有効になります。
アプリ開発時のセキュリティ イメージ管理のセキュリティ コンテナ運用のセキュリティ コンテナイメージの作成 署名 コンテナイメージの保存 検索 コンテナデプロイと管理
アプリ開発のセキュリティ コンテナイメージは署名済みで、 信頼できるソースから取得されているか? ランタイムレイヤーと は最新のものか? 既知の問題は特定されているか、 その問題はどのように追跡されるか? コンテナはどの程度の期間と頻度で アップデートされているか? コンテナセキュリティは、信頼できるベースイメージを利
用することから始まります。ただし信頼できるイメージを使 用しても、アプリケーションを追加で変わるため、プロアク ティブなコンテンツ管理を念頭に置く必要があります。
イメージ管理のセキュリティ コンテナイメージの管理にどのようなロール ベースのアクセス制御を使用できるか? イメージを分類するタグ付け機能があるか? 各環境ごとにイメージにタグ付けできるか? 既知の脆弱性を追跡できるように、 レジストリから視覚的なデータが得られるか? レジストリを使用してポリシーを割り当てて 自動化できるか? チームが使用するすべてのコンテナイメージへのアクセ
スとプロモーションを管理します。これは、ダウンロードす るイメージと、ビルドするイメージの両方を保護するという ことです。
コンテナ運用のセキュリティ どのようにして、実行中のコンテナへの パッチ適用を防げるのか? トリガーを使用して、コンテナを再ビルドし、 自動アップデートできるか? パイプラインの最後のステップは、デプロイです。問題を 追跡してフラグを立てられるコンポーネント分析ツールを 実行し、自動化されたポリシーベースのデプロイツールを 利用します。 リクエストの変更
実行を許可するかどうかを決定
を 支える運用プロセス
の組織において、 の実 践、組織内の指導者が の理念 に賛同することから始まる。 プロセスを自動化し、一貫したガバナンス を適用するための新しい共同プロセス、テ クノロジー、ツールの開発とともに、組織文 化の変革につながる。 プロジェクトを成功させるためには、この
つの分野すべてを進めなければなりません。
セキュリティをより身近なものにするには
とは、顧客に 価値を提供できる最小限の製品や、それを使っ たアプローチです。 を利用することによって、限られた時間で顧 客のニーズに基づく商品・サービスを構築するこ とができるため、無駄なコストの削減にもつなが る手法として注目されています。 特に政府機関では、 を使用して を採用する指標を設定しています。
運用プロセス改善支援 スクラム コーチ アーキテクト 技術支援 コンサルタント 技術的な課題の問い合わせ、レビュー依頼 ベストプラクティスのアドバイス、レクチャー、ワーク ショップの提供 支援状況、効果測定結果の報告
改善要望のフィードバック
アルゼンチンを行き来する人からの犯罪の脅威をより正確に予測し、移民を 支援するために、国内および からの重要なセキュリティデータを 統合し、国家安全保障データ分析プラットフォームを作成しました。 進化する需要に対応し、革新的な公共サービスをより迅速に開発す るために を設立し、 などのオープ ンソースツールを使用したコラボレーションを実施しました。
まとめ
コンテナセキュリティの運用プロセス変化 コンテナを活用したセキュリティ改善 セキュリティ運用変革 新規 既存システムの継続的セキュリティ改善 コンテナや テクノロジーを活用した、クラウドネイティブな パイプラインの作成、アーキテクチャ改善 既存システムのセキュリティプロセスや運用を自動化し、開発 運用プロ
セスの中に組み込めるように を使いながら確認 時間やコストかけてセキュリティを守るのではなく、アジリティ改善やコス ト削減が継続的に行いながらセキュリティを担保していく組織づくり は、誰もがセキュリティに責任を持つという考え方を構築することです。
「 」は、クラウドインフラおよびセキュ リティエンジニアリングの役割を担う人々が直面している多くの セキュリティの課題対応を支援するために作成されました。 本の中では、以下の要素ごとに役立つアプローチを約 ページに渡って紹介しています。 ・ セキュリティ実施におけるトレードオフ ・ リスクの選別
・ ポリシーの実施 ・ レポート ・ システム構成の検証 など
年 月 日 水 ・ 日 木 ~ 予定(オンライン) 開催
日程 参加 登録 アジア最大規模 のオープンソー スバーチャル イベントとして 開催決定! 日本のお客様向 けの日本語セッ ションもご用意 しております!
None