Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナセキュリティってどうなってるの?

2ec42cd8400b1e8e5ba125936c1d27e9?s=47 Satoru MIYAZAKI
August 03, 2019
Technology
2
500

 コンテナセキュリティってどうなってるの?

#OSCKYOTO 2019 LTで話した内容です。
コンテナセキュリティに関する議論のきっかけになれば良いと思います。

2ec42cd8400b1e8e5ba125936c1d27e9?s=128

Satoru MIYAZAKI

August 03, 2019
Tweet

More Decks by Satoru MIYAZAKI

See All by Satoru MIYAZAKI
どこのご家庭にもあるOpenSolarisを、ZFSで有効活用
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
0
3
How to secure container environment
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
0
330
コンテナ環境をセキュアに運用する方法 #osc20on
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
0
600
コンテナのセキュリティについて考えよう osc2020tk
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
5
610
コンテナのセキュリティについて考えよう osc2019tk
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
1
110
コンテナのセキュリティについて考えよう
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
0
690
平成元年度に卒業した高専生が、令和元年の高専生に伝えたいこと
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
2
200
如何にPHP7.3.3のDockerイメージを作るか
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
0
390
KUSANAGI RoDの紹介
2ec42cd8400b1e8e5ba125936c1d27e9?s=48 smiyaza
0
320

Other Decks in Technology

See All in Technology
tfcon-2022-cpp
Dcc589548f0372645aaeb95bda8e22c2?s=48 cpp
5
4.9k
ITエンジニアを取り巻く環境とキャリアパス / A career path for Japanese IT engineers
D2322aa2c45d0190205b3ed8bfdd6717?s=48 takatama
0
580
Devに力を授けたいSREのあゆみ / SRE that wants to empower developers
E12b5afe5b4e6552019c09d6ac4128c3?s=48 tocyuki
3
460
様々な現場のPower Platform ~小さなエンジニアの奮闘記~
39adbc0cddb8c0ea8470c80248e9e71b?s=48 hyodol2513
0
1.9k
完全に理解した incremetal 〜そして、何もわからないへ〜
F40e385e485eafaed67850df08b122d0?s=48 mashiike
0
210
Stripe Search APIを利用した、LINEとStripeの顧客情報連携/line-dc-202205
E77ca94266ffd3d69f8aee91f7468264?s=48 stripehideokamoto
0
120
失敗しない条件付きアクセス Season 3
4eaba340fe3f9ea2cede1ef091dac3fb?s=48 sophiakunii
0
1.3k
Nutanix_Meetup_20220511
0fca98ba59a23fc0a4a2a53701a2bae1?s=48 keigotomomatsu
0
140
目と耳を持った自然言語処理 - スタートアップにおける価値創出のために
64fb973c47087ece7fb9b45d5b8593a4?s=48 yag_ays
PRO
0
520
A Conditional Point Diffusion-Refinement Paradigm for 3D Point Cloud Completion
2c88806cbaab6024dc95b9a654c99d86?s=48 takmin
0
200
AWS CloudShellという推しサービスについて / lt-20220502-jawsug-cli
900328ebf119b493ea46c5a969c6e038?s=48 becominn
0
650
SRENEXT2022 組織にSREを実装していくまでの道のり
9cd2d753636f4849c881ccf2381228ee?s=48 marnie0301
1
240

Featured

See All Featured
The World Runs on Bad Software
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
56
5.2k
4 Signs Your Business is Dying
E4f5d494ebdc9e7cce1aecf3ce3e8bc1?s=48 shpigford
169
20k
Building Adaptive Systems
06f8b41980eb4c577fa40c41d5030c19?s=48 keathley
25
1.1k
Building an army of robots
5f2da528927a2ec9ba4fec2069cbc958?s=48 kneath
299
40k
Creatively Recalculating Your Daily Design Routine
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
205
10k
The Brand Is Dead. Long Live the Brand.
A415db3ac9e9668acbc1fb36eead84ac?s=48 mthomps
45
2.7k
Making Projects Easy
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
98
4.3k
Support Driven Design
1519587b1a0febb658c36c94f6272b0d?s=48 roundedbygravity
86
8.4k
Producing Creativity
Ae14cc4491ac334f9cd23f9f93b4305e?s=48 orderedlist
PRO
333
37k
A Philosophy of Restraint
C9b18d9dff88a9dd2393364c2b3b21bd?s=48 colly
192
14k
What the flash - Photography Introduction
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
61
9.9k
Build your cross-platform service in a week with App Engine
5f83ef806155b403c3393160ce51f955?s=48 jlugia
219
17k

Transcript

  1. コンテナのセキュリティって どうなってるの? OSC2019 KYOTO(8/3) LT みやざき さとる

  2. 言うなれば運命共同体 • コンテナ=アプリケーションコンテナとする • いわゆる、Docker、Kubernetes を想定している • cgroupとLinux Usernamespaceでリソースを分離 •

    コンテナはカーネルを持たない • 必要なアプリケーションとライブラリ、 パッケージを含む

  3. nodeA node間 接続 TLS VxLAN 互いに頼り、互いに庇い合い、互いに助け合う • ノード内のコンテナ同士の通信は プライベートなブリッジ •

    ノード間通信は、Docker Swarmでは TLS化されている • Kubernetesでは、ノード通信を VxLAN経由で行われTLS化されている • コンテナ外からは限定された ポートのみ接続 nodeB front Container Container Container Container Container Container

  4. node OS/カーネル 一人が五人のために、五人が一人のために • すべてを非特権ユーザーで動作させる • ホスト側でコンテナデーモン動作 • コンテナ側でアプリケーション動作 •

    よりセキュアにプロセスを動作させる コンテナデーモン 非特権ユーザ アプリケーション 非特権ユーザ アプリケーション 非特権ユーザ コンテナ

  5. だからこそ戦場で生きられる • コンテナはイメージで配布 • イメージはレイヤ構造 • イメージ作成時に脆弱性スキャンが可能 • Wazuh •

    Vuls • Gitlab(Clair) • trivy • etc… Container Application Layer Middleware Layer Base OS Layer

  6. 分隊は家族、分隊は兄弟 • コンテナ内に余計なものがない • ネットワークは分離・暗号化されている • コンテナ及びアプリケーションを 非特権ユーザで動作 • コンテナイメージは脆弱性スキャンしている

    • だからコンテナはセキュア?

  7. 嘘を言うな!

  8. 猜疑に歪んだ暗い瞳がせせら笑う • 日々、脆弱性は発見される • ベースOS/ライブラリ/アプリケーション/ パッケージ(pip/gem/npm…)の更新 • ゼロデイ攻撃、マルウェアによる被害 • 長期稼働時での意図しない動作

  9. 無能、怯懦、虚偽、杜撰 • 定期的に実施 • アプリケーションの動作確認 • イメージの更新 • イメージの脆弱性確認 •

    不正な動作を検知

  10. どれ一つ取っても戦場では命取りとなる。 • 定期的に脆弱性スキャンを行わないと 実サービスに影響が発生 • コンテナのランタイム検知を行うOSSは少ない Wazuh、falcoなどなど • 不正なファイル更新 •

    不正な動作 • 不正な通信 • 脆弱性の検知

  11. それらを纏めて無謀で括る • 事前にセキュリティ計画を立てる • イメージの更新タイミング • コンテナの寿命 • コンテナデプロイの容易さ •

    外側からのアプリケーション動作の確認 • 不正通信の検知 • etc…

  12. 誰が仕組んだ地獄やら、兄弟家族が嗤わせる • 定期的に以下の処理実行する仕組みが必要 • イメージ再作成 • イメージ検査 • アプリケーション動作確認 •

    デプロイ • コンテナの寿命を短くする • すべてを手動で行うとツライので、 ある程度は自動化

  13. お前も、お前も、お前も • 一貫した開発・セキュリティ・運用が必要 • Development • どの言語、ライブラリで作成するか • アプリケーションの静的解析 •

    脆弱性に対するアプリケーション確認 • Security • セキュリティ基準の策定 • DevとOpsに対するセキュリティ対策支援 • Operations • イメージアップデート、コンテナデプロイ • 監視

  14. だからこそ、俺のために死ね! • セキュリティ施策が立てられないなら お金の力で解決する! • セキュリティに強い人を雇う • コンテナセキュリティ製品の導入 • AQUA

    Cloudnaitive Security Platform • NeuVector • sysdig platform/monitor/secure • Tufin Iris/Orca • twistlock • etc…

  15. 我々は何のために集められたのか 次回「未定」