Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナセキュリティってどうなってるの?

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for Satoru MIYAZAKI Satoru MIYAZAKI
August 03, 2019
Technology
650
2

 コンテナセキュリティってどうなってるの?

#OSCKYOTO 2019 LTで話した内容です。
コンテナセキュリティに関する議論のきっかけになれば良いと思います。

Avatar for Satoru MIYAZAKI

Satoru MIYAZAKI

August 03, 2019

More Decks by Satoru MIYAZAKI

See All by Satoru MIYAZAKI
どこのご家庭にもあるOpenSolarisを、ZFSで有効活用
Avatar for Satoru MIYAZAKI smiyaza
0
260
How to secure container environment
Avatar for Satoru MIYAZAKI smiyaza
0
660
コンテナ環境をセキュアに運用する方法 #osc20on
Avatar for Satoru MIYAZAKI smiyaza
0
1.1k
コンテナのセキュリティについて考えよう osc2020tk
Avatar for Satoru MIYAZAKI smiyaza
6
1.2k
コンテナのセキュリティについて考えよう osc2019tk
Avatar for Satoru MIYAZAKI smiyaza
1
190
コンテナのセキュリティについて考えよう
Avatar for Satoru MIYAZAKI smiyaza
0
930
平成元年度に卒業した高専生が、令和元年の高専生に伝えたいこと
Avatar for Satoru MIYAZAKI smiyaza
2
260
如何にPHP7.3.3のDockerイメージを作るか
Avatar for Satoru MIYAZAKI smiyaza
0
1k
KUSANAGI RoDの紹介
Avatar for Satoru MIYAZAKI smiyaza
0
1.2k

Other Decks in Technology

See All in Technology
RedmineをAIで効率的に使う検証
Avatar for Takayuki Yoshioka yoshiokacb
0
110
CyberAgent YJC Connect
Avatar for shimayuu shimaf4979
1
190
20260515 ログイン機能だけではないアカウント管理を全体で考える~サービス設計者向け~
Avatar for OpenID Foundation Japan oidfj
0
600
AIのための特別なアーキテクチャはいらない 0→1開発で実践した設計原則とガードレール
Avatar for 株式会社カミナシ kaminashi
0
130
Agent Skillsで実現する記憶領域の運用とその後
Avatar for yamadashy / やまだし yamadashy
2
1.9k
ワールドカフェ再び、そしてゴール・ルール・ロール・ツール / World Café Revisited, and the Goals-Rules-Roles-Tools
Avatar for Kenji Saito ks91
PRO
0
170
「背中を見て育て」からの卒業 〜専門技術としてのテスト設計を軸に、品質保証のバトンを繋ぐ〜 #genda_tech_talk
Avatar for nihonbuson nihonbuson
PRO
3
1.4k
O'Reilly Infrastructure & Ops Superstream: Platform Engineering for Developers, Architects & the Rest of Us
Avatar for Syntasso syntasso
0
160
AI時代に、 データアナリストがデータエンジニアに異動して
Avatar for jackojacko_ jackojacko_
0
880
"スキルファースト"で作る、AIの自走環境
Avatar for subroh_0508 subroh0508
0
330
「強制アップデート」か「チームの自律」か?エンタープライズが辿り着いたプラットフォームのハイブリッド運用/cloudnative-kaigi-hybrid-platform-operations
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
0
200
(きっとたぶん)人材育成や教育のような何かの話
Avatar for Takanori Sejima sejima
0
750

Featured

See All Featured
HTML-Aware ERB: The Path to Reactive Rendering @ RubyCon 2026, Rimini, Italy
Avatar for Marco Roth marcoroth
1
49
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
610
From π to Pie charts
Avatar for Rasagy Sharma rasagy
0
180
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.4k
Un-Boring Meetings
Avatar for Sebastian Deterding codingconduct
0
290
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
ReactJS: Keep Simple. Everything can be a component!
Avatar for Pedro Nauck pedronauck
666
130k
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
Avatar for Ines Montani inesmontani
PRO
0
370
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
1.2k
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.2k
The Curse of the Amulet
Avatar for Matthew Lei leimatthew05
1
12k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2.2k

Transcript

  1. コンテナのセキュリティって どうなってるの? OSC2019 KYOTO(8/3) LT みやざき さとる

  2. 言うなれば運命共同体 • コンテナ=アプリケーションコンテナとする • いわゆる、Docker、Kubernetes を想定している • cgroupとLinux Usernamespaceでリソースを分離 •

    コンテナはカーネルを持たない • 必要なアプリケーションとライブラリ、 パッケージを含む

  3. nodeA node間 接続 TLS VxLAN 互いに頼り、互いに庇い合い、互いに助け合う • ノード内のコンテナ同士の通信は プライベートなブリッジ •

    ノード間通信は、Docker Swarmでは TLS化されている • Kubernetesでは、ノード通信を VxLAN経由で行われTLS化されている • コンテナ外からは限定された ポートのみ接続 nodeB front Container Container Container Container Container Container

  4. node OS/カーネル 一人が五人のために、五人が一人のために • すべてを非特権ユーザーで動作させる • ホスト側でコンテナデーモン動作 • コンテナ側でアプリケーション動作 •

    よりセキュアにプロセスを動作させる コンテナデーモン 非特権ユーザ アプリケーション 非特権ユーザ アプリケーション 非特権ユーザ コンテナ

  5. だからこそ戦場で生きられる • コンテナはイメージで配布 • イメージはレイヤ構造 • イメージ作成時に脆弱性スキャンが可能 • Wazuh •

    Vuls • Gitlab(Clair) • trivy • etc… Container Application Layer Middleware Layer Base OS Layer

  6. 分隊は家族、分隊は兄弟 • コンテナ内に余計なものがない • ネットワークは分離・暗号化されている • コンテナ及びアプリケーションを 非特権ユーザで動作 • コンテナイメージは脆弱性スキャンしている

    • だからコンテナはセキュア?

  7. 嘘を言うな!

  8. 猜疑に歪んだ暗い瞳がせせら笑う • 日々、脆弱性は発見される • ベースOS/ライブラリ/アプリケーション/ パッケージ(pip/gem/npm…)の更新 • ゼロデイ攻撃、マルウェアによる被害 • 長期稼働時での意図しない動作

  9. 無能、怯懦、虚偽、杜撰 • 定期的に実施 • アプリケーションの動作確認 • イメージの更新 • イメージの脆弱性確認 •

    不正な動作を検知

  10. どれ一つ取っても戦場では命取りとなる。 • 定期的に脆弱性スキャンを行わないと 実サービスに影響が発生 • コンテナのランタイム検知を行うOSSは少ない Wazuh、falcoなどなど • 不正なファイル更新 •

    不正な動作 • 不正な通信 • 脆弱性の検知

  11. それらを纏めて無謀で括る • 事前にセキュリティ計画を立てる • イメージの更新タイミング • コンテナの寿命 • コンテナデプロイの容易さ •

    外側からのアプリケーション動作の確認 • 不正通信の検知 • etc…

  12. 誰が仕組んだ地獄やら、兄弟家族が嗤わせる • 定期的に以下の処理実行する仕組みが必要 • イメージ再作成 • イメージ検査 • アプリケーション動作確認 •

    デプロイ • コンテナの寿命を短くする • すべてを手動で行うとツライので、 ある程度は自動化

  13. お前も、お前も、お前も • 一貫した開発・セキュリティ・運用が必要 • Development • どの言語、ライブラリで作成するか • アプリケーションの静的解析 •

    脆弱性に対するアプリケーション確認 • Security • セキュリティ基準の策定 • DevとOpsに対するセキュリティ対策支援 • Operations • イメージアップデート、コンテナデプロイ • 監視

  14. だからこそ、俺のために死ね! • セキュリティ施策が立てられないなら お金の力で解決する! • セキュリティに強い人を雇う • コンテナセキュリティ製品の導入 • AQUA

    Cloudnaitive Security Platform • NeuVector • sysdig platform/monitor/secure • Tufin Iris/Orca • twistlock • etc…

  15. 我々は何のために集められたのか 次回「未定」