Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubernetes-Security-101

 Kubernetes-Security-101

CNDO:ここからはじめるKubernetesセキュリティ

エンタープライズのIT部門およびにそれらにかかわる方々がKubernetesを導入していく際に障壁の一つになりうるセキュリティという要素について、基礎知識をまとめてインプットすることを目的にしています。
セキュリティの原則、コンテナのセキュリティ、Kubernetesのセキュリティについてそれぞれ解説していきます。

9f481df7e7f978eb6ab93a5cfffcdc20?s=128

Tetsuya Isogai

March 11, 2021
Tweet

Transcript

  1. ここからはじめる

  2. (磯貝哲也)

  3. 対象とする人 いわゆるエンタープライズ に の導入頑張ってる方々 終えていよいよ商用リリースに向けて突き進むぞ的な方々 セッションの目的 を企業に導入する際、セキュリティどう考えていけば良い?という時のための 基礎知識を短時間でインプット 世に既に出ている情報をまとめてショートにわかりやすく 含まれないこと

    初めて発表される何か 特定の技術に したもの このセッションについて 本資料中の凡例 大事な(お持ち帰り いただきたい)こと さらに深く知りたい 方向けの情報
  4. 今日話すこと (コンテナに限らず)セキュリティの原則をすごくざっくりと コンテナにおけるセキュリティの考え方 コンテナのセキュリティとして確保すべき要素 クラスターの保護とは すぐに使えるツール

  5. セキュリティの原則

  6. (多層防御) いずれの防御層も破られる可能性がある 互いに補完しあう複数の防御層を展開 (最小権限) 必要最小限の権限をアクセス元(ユーザ、 アカウント、プロセス等)に与える (攻撃対象領域の削 減) が攻撃をトライできるポイントを削 減する

    防御の基礎 (機密性):漏洩 (完全性):改竄 (可用性):破壊 保証すべきものとそれに対する脅威 セキュリティの原則
  7. 侵入者が行う「危険」なこと (機密性):漏洩 (完全性):改竄 (可用性):破壊 特権 企業内のコンピュータ クラスタの一部にアクセス 悪意のあるコードを実行 より高い権限(最終的には特権)を得る

  8. クラウドネイティブセキュリ ティにおける つの

  9. のセキュリティ対策とリスク( ) どのように攻撃されるかを知 る(脅威を定義する)事が防 御の第一歩

  10. コンテナのセキュリティ

  11. 参考 さんの

  12. 通常のアプリケーション/コンテナの違い ケーパビリティ

  13. システム上のさまざまなリソースを区切る機能 コンテナの内側からコンテナホストに対するアクセスを制御 種類存在、コンテナランタイムによって利用できる は異なる では以下 コンテナに独自のファイルシステムツリーを提供 コンテナ外のプロセスを隠ぺい コンテナ外のイーサネットデバイスを隠ぺいする メッセージキューの隠ぺい システムコールで取得できる

    構造体の内容をホストから隔離する(コンテナが ホストとは異なるホスト名を使用できるようにする) コンテナ内の見かけの を変更したり、見かけのケーパビリティを許可したりする
  14. 通常 で使われる一般 特権 ユーザによる権限付与のみ では限界があったために誕生した機能 例: サーバプロセスが 番未満のポートを使う 例: プロセスが

    ソケットイーサネットデバイスに対 してオープンする など 権限を細分化して取り扱うことができるようにしたもの ケーパビリティ プロセスに必要最小限の権限を与える コンテナランタイムはコンテナ内の ユーザに対してケーパ ビリティを選別(提供/はく奪)して提供 要件に応じて追加/制限が可能 デフォルトで提供されるケーパビリティの標準セット
  15. におけるセキュリティ(概要)

  16. アプリケーショントラフィックの盗聴 改竄 コンテナ 等に含まれる脆弱性 ホストへの侵入 への不正アクセス への不正アクセス への不正アクセス トラフィックの盗聴 改竄

  17. None
  18. コンテナ実行ホスト のハードニング のアクセス制御 は が推奨 スケジューリング テナント毎に実行ホストを分ける要件 がある 手段 など

  19. クラスタを適切に する へのアクセス制御 認証/認可/ (受付制御)※後述 どのモジュール(プラグイン)を有効化するか 監査 に対する操作履歴を取得 ではデフォルト無効 の暗号化

    転送中の暗号化 デフォルト有効 ディスク保存時の暗号化 デフォルトでは暗号化されない
  20. 一般的に は、組織内の個々のユーザーの をベースに、コ ンピューターまたはネットワークリソースへのアクセスを制御する方法 の認可の機能としてクラスタ管理者が個々のユーザに対してリソースの操作に 対する許可/不許可を制御することができる 例: に 内の編集権限のみを与える クラスタを複数のチームで

    で分割する場合には必須
  21. クラスタレベルで の有効/無効を決定 有効かどうかを確認するには 今自分が あるユーザが何の操作ができるか確かめる

  22. へのリクエストをインターセプトし任意の処理を実行する リソースが永続化( へ保存)される前に実行 リソースの検証( )、変更( )、ポリシーの強制などで利用 組み込みで提供されているプラグインと拡張用 の 種類 おもな組み込みプラグイン

    イメージの署名が信頼できるものかをチェック/イメージのスキャンを組み込む あらかじめ定義したセキュリティポリシーに応じて リソースを検証・変更する 拡張用 (カスタムポリシー) 自分で のコードを書く 深く知りたい方:
  23. を横断してポリシーを定義できる ツールセット 言語でルールを宣言的に記述 ( の場合は) に組み込む→ を使用 を使ってベスト・プラクティスをコード化しよう と で実現するマイクロサービスの安全な継続的デリバリー

  24. におけるセキュリティ(ツール)

  25. • クラスタ管理者 向け • クラスタ用ベン チマークツール • の チェック項目を可能な限 りマッピング

    • イメージの実行、 または を と してクラスタにデプロイ すると結果と必要な対処 がログに出力される
  26. • クラスタ管理者 双方向け • コンテナイメージスキャ ンツール • 簡単な実行 • 単独利用に加え

    の一部 として使用しやすいよう に実装
  27. • クラスタ管理者 向け • ランタイムセキュリティ の プロジェクト • の脅威検出(異 常な動作を検出するため

    のアクティビティ監視) ツール • 独自のフィルター構文を 使って脅威のチェックを おこなう に を展開してアプリケーションの挙動をモニタリングする
  28. None
  29. 試験の概要 にリリースされた 主催の資格 どちらかというと 向け 保持が受験の前提 他 試験と同じくシミュレーター上でのハンズオン試験 取るとこんないいことがある まだ合格人数が少ない

    についての知識と愛が深まる セキュリティについて語っていい気がする 私はこうでした 一回目: 二回目 で がチート ブログを書きました
  30. 開発・運用のためのセキュリティ実践ガイド すべての人におすすめしたい一冊 ここに情報登録すると無料で読める 攻撃しながら考える のセキュリティ に を求めるのは間違っているのだろうか その他参考書籍 ネットで拾える情報など

  31. None