Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
コンテナセキュリティってどうなってるの?
Search
Satoru MIYAZAKI
August 03, 2019
Technology
2
600
コンテナセキュリティってどうなってるの?
#OSCKYOTO 2019 LTで話した内容です。
コンテナセキュリティに関する議論のきっかけになれば良いと思います。
Satoru MIYAZAKI
August 03, 2019
Tweet
Share
More Decks by Satoru MIYAZAKI
See All by Satoru MIYAZAKI
どこのご家庭にもあるOpenSolarisを、ZFSで有効活用
smiyaza
0
200
How to secure container environment
smiyaza
0
560
コンテナ環境をセキュアに運用する方法 #osc20on
smiyaza
0
1k
コンテナのセキュリティについて考えよう osc2020tk
smiyaza
6
1.1k
コンテナのセキュリティについて考えよう osc2019tk
smiyaza
1
160
コンテナのセキュリティについて考えよう
smiyaza
0
880
平成元年度に卒業した高専生が、令和元年の高専生に伝えたいこと
smiyaza
2
250
如何にPHP7.3.3のDockerイメージを作るか
smiyaza
0
890
KUSANAGI RoDの紹介
smiyaza
0
1k
Other Decks in Technology
See All in Technology
生成AIで小説を書くためにプロンプトの制約や原則について学ぶ / prompt-engineering-for-ai-fiction
nwiizo
4
2.3k
25分で解説する「最小権限の原則」を実現するための AWS「ポリシー」大全 / 20250625-aws-summit-aws-policy
opelab
9
1.2k
標準技術と独自システムで作る「つらくない」SaaS アカウント管理 / Effortless SaaS Account Management with Standard Technologies & Custom Systems
yuyatakeyama
3
1.3k
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
tomzoh
4
3.3k
Node-RED × MCP 勉強会 vol.1
1ftseabass
PRO
0
150
Lambda Web Adapterについて自分なりに理解してみた
smt7174
4
120
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
230
生成AI活用の組織格差を解消する 〜ビジネス職のCursor導入が開発効率に与えた好循環〜 / Closing the Organizational Gap in AI Adoption
upamune
5
3.7k
Node-REDのFunctionノードでMCPサーバーの実装を試してみた / Node-RED × MCP 勉強会 vol.1
you
PRO
0
120
Windows 11 で AWS Documentation MCP Server 接続実践/practical-aws-documentation-mcp-server-connection-on-windows-11
emiki
0
1k
20250625 Snowflake Summit 2025活用事例 レポート / Nowcast Snowflake Summit 2025 Case Study Report
kkuv
1
310
監視のこれまでとこれから/sakura monitoring seminar 2025
fujiwara3
11
3.9k
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
48
2.8k
Writing Fast Ruby
sferik
628
62k
What's in a price? How to price your products and services
michaelherold
246
12k
Embracing the Ebb and Flow
colly
86
4.7k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
29
1.8k
Why Our Code Smells
bkeepers
PRO
337
57k
Navigating Team Friction
lara
187
15k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
357
30k
Site-Speed That Sticks
csswizardry
10
660
Agile that works and the tools we love
rasmusluckow
329
21k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Building Applications with DynamoDB
mza
95
6.5k
Transcript
コンテナのセキュリティって どうなってるの? OSC2019 KYOTO(8/3) LT みやざき さとる
言うなれば運命共同体 • コンテナ=アプリケーションコンテナとする • いわゆる、Docker、Kubernetes を想定している • cgroupとLinux Usernamespaceでリソースを分離 •
コンテナはカーネルを持たない • 必要なアプリケーションとライブラリ、 パッケージを含む
nodeA node間 接続 TLS VxLAN 互いに頼り、互いに庇い合い、互いに助け合う • ノード内のコンテナ同士の通信は プライベートなブリッジ •
ノード間通信は、Docker Swarmでは TLS化されている • Kubernetesでは、ノード通信を VxLAN経由で行われTLS化されている • コンテナ外からは限定された ポートのみ接続 nodeB front Container Container Container Container Container Container
node OS/カーネル 一人が五人のために、五人が一人のために • すべてを非特権ユーザーで動作させる • ホスト側でコンテナデーモン動作 • コンテナ側でアプリケーション動作 •
よりセキュアにプロセスを動作させる コンテナデーモン 非特権ユーザ アプリケーション 非特権ユーザ アプリケーション 非特権ユーザ コンテナ
だからこそ戦場で生きられる • コンテナはイメージで配布 • イメージはレイヤ構造 • イメージ作成時に脆弱性スキャンが可能 • Wazuh •
Vuls • Gitlab(Clair) • trivy • etc… Container Application Layer Middleware Layer Base OS Layer
分隊は家族、分隊は兄弟 • コンテナ内に余計なものがない • ネットワークは分離・暗号化されている • コンテナ及びアプリケーションを 非特権ユーザで動作 • コンテナイメージは脆弱性スキャンしている
• だからコンテナはセキュア?
嘘を言うな!
猜疑に歪んだ暗い瞳がせせら笑う • 日々、脆弱性は発見される • ベースOS/ライブラリ/アプリケーション/ パッケージ(pip/gem/npm…)の更新 • ゼロデイ攻撃、マルウェアによる被害 • 長期稼働時での意図しない動作
無能、怯懦、虚偽、杜撰 • 定期的に実施 • アプリケーションの動作確認 • イメージの更新 • イメージの脆弱性確認 •
不正な動作を検知
どれ一つ取っても戦場では命取りとなる。 • 定期的に脆弱性スキャンを行わないと 実サービスに影響が発生 • コンテナのランタイム検知を行うOSSは少ない Wazuh、falcoなどなど • 不正なファイル更新 •
不正な動作 • 不正な通信 • 脆弱性の検知
それらを纏めて無謀で括る • 事前にセキュリティ計画を立てる • イメージの更新タイミング • コンテナの寿命 • コンテナデプロイの容易さ •
外側からのアプリケーション動作の確認 • 不正通信の検知 • etc…
誰が仕組んだ地獄やら、兄弟家族が嗤わせる • 定期的に以下の処理実行する仕組みが必要 • イメージ再作成 • イメージ検査 • アプリケーション動作確認 •
デプロイ • コンテナの寿命を短くする • すべてを手動で行うとツライので、 ある程度は自動化
お前も、お前も、お前も • 一貫した開発・セキュリティ・運用が必要 • Development • どの言語、ライブラリで作成するか • アプリケーションの静的解析 •
脆弱性に対するアプリケーション確認 • Security • セキュリティ基準の策定 • DevとOpsに対するセキュリティ対策支援 • Operations • イメージアップデート、コンテナデプロイ • 監視
だからこそ、俺のために死ね! • セキュリティ施策が立てられないなら お金の力で解決する! • セキュリティに強い人を雇う • コンテナセキュリティ製品の導入 • AQUA
Cloudnaitive Security Platform • NeuVector • sysdig platform/monitor/secure • Tufin Iris/Orca • twistlock • etc…
我々は何のために集められたのか 次回「未定」