CNDO:ここからはじめるKubernetesセキュリティ
エンタープライズのIT部門およびにそれらにかかわる方々がKubernetesを導入していく際に障壁の一つになりうるセキュリティという要素について、基礎知識をまとめてインプットすることを目的にしています。 セキュリティの原則、コンテナのセキュリティ、Kubernetesのセキュリティについてそれぞれ解説していきます。
ここからはじめる
View Slide
(磯貝哲也)
対象とする人いわゆるエンタープライズ に の導入頑張ってる方々終えていよいよ商用リリースに向けて突き進むぞ的な方々セッションの目的を企業に導入する際、セキュリティどう考えていけば良い?という時のための基礎知識を短時間でインプット世に既に出ている情報をまとめてショートにわかりやすく含まれないこと初めて発表される何か特定の技術に したものこのセッションについて本資料中の凡例大事な(お持ち帰りいただきたい)こと さらに深く知りたい方向けの情報
今日話すこと(コンテナに限らず)セキュリティの原則をすごくざっくりとコンテナにおけるセキュリティの考え方コンテナのセキュリティとして確保すべき要素クラスターの保護とはすぐに使えるツール
セキュリティの原則
(多層防御)いずれの防御層も破られる可能性がある互いに補完しあう複数の防御層を展開(最小権限)必要最小限の権限をアクセス元(ユーザ、アカウント、プロセス等)に与える(攻撃対象領域の削減)が攻撃をトライできるポイントを削減する防御の基礎(機密性):漏洩(完全性):改竄(可用性):破壊保証すべきものとそれに対する脅威セキュリティの原則
侵入者が行う「危険」なこと (機密性):漏洩(完全性):改竄(可用性):破壊特権企業内のコンピュータ クラスタの一部にアクセス悪意のあるコードを実行より高い権限(最終的には特権)を得る
クラウドネイティブセキュリティにおける つの
のセキュリティ対策とリスク( )どのように攻撃されるかを知る(脅威を定義する)事が防御の第一歩
コンテナのセキュリティ
参考 さんの
通常のアプリケーション/コンテナの違いケーパビリティ
システム上のさまざまなリソースを区切る機能コンテナの内側からコンテナホストに対するアクセスを制御種類存在、コンテナランタイムによって利用できる は異なるでは以下コンテナに独自のファイルシステムツリーを提供コンテナ外のプロセスを隠ぺいコンテナ外のイーサネットデバイスを隠ぺいするメッセージキューの隠ぺいシステムコールで取得できる 構造体の内容をホストから隔離する(コンテナがホストとは異なるホスト名を使用できるようにする)コンテナ内の見かけの を変更したり、見かけのケーパビリティを許可したりする
通常 で使われる一般 特権 ユーザによる権限付与のみでは限界があったために誕生した機能例: サーバプロセスが 番未満のポートを使う例: プロセスが ソケットイーサネットデバイスに対してオープンする など権限を細分化して取り扱うことができるようにしたものケーパビリティプロセスに必要最小限の権限を与えるコンテナランタイムはコンテナ内の ユーザに対してケーパビリティを選別(提供/はく奪)して提供要件に応じて追加/制限が可能デフォルトで提供されるケーパビリティの標準セット
におけるセキュリティ(概要)
アプリケーショントラフィックの盗聴 改竄コンテナ 等に含まれる脆弱性ホストへの侵入への不正アクセスへの不正アクセスへの不正アクセストラフィックの盗聴 改竄
コンテナ実行ホスト のハードニングのアクセス制御は が推奨スケジューリングテナント毎に実行ホストを分ける要件がある手段など
クラスタを適切に するへのアクセス制御認証/認可/ (受付制御)※後述どのモジュール(プラグイン)を有効化するか監査に対する操作履歴を取得ではデフォルト無効の暗号化転送中の暗号化 デフォルト有効ディスク保存時の暗号化 デフォルトでは暗号化されない
一般的に は、組織内の個々のユーザーの をベースに、コンピューターまたはネットワークリソースへのアクセスを制御する方法の認可の機能としてクラスタ管理者が個々のユーザに対してリソースの操作に対する許可/不許可を制御することができる例: に 内の編集権限のみを与えるクラスタを複数のチームで で分割する場合には必須
クラスタレベルで の有効/無効を決定有効かどうかを確認するには今自分が あるユーザが何の操作ができるか確かめる
へのリクエストをインターセプトし任意の処理を実行するリソースが永続化( へ保存)される前に実行リソースの検証( )、変更( )、ポリシーの強制などで利用組み込みで提供されているプラグインと拡張用 の 種類おもな組み込みプラグインイメージの署名が信頼できるものかをチェック/イメージのスキャンを組み込むあらかじめ定義したセキュリティポリシーに応じて リソースを検証・変更する拡張用 (カスタムポリシー)自分で のコードを書く深く知りたい方:
を横断してポリシーを定義できるツールセット言語でルールを宣言的に記述( の場合は)に組み込む→を使用を使ってベスト・プラクティスをコード化しようと で実現するマイクロサービスの安全な継続的デリバリー
におけるセキュリティ(ツール)
• クラスタ管理者向け• クラスタ用ベンチマークツール• のチェック項目を可能な限りマッピング• イメージの実行、または を としてクラスタにデプロイすると結果と必要な対処がログに出力される
• クラスタ管理者双方向け• コンテナイメージスキャンツール• 簡単な実行• 単独利用に加え の一部として使用しやすいように実装
• クラスタ管理者向け• ランタイムセキュリティの プロジェクト• の脅威検出(異常な動作を検出するためのアクティビティ監視)ツール• 独自のフィルター構文を使って脅威のチェックをおこなうに を展開してアプリケーションの挙動をモニタリングする
試験の概要にリリースされた 主催の資格どちらかというと 向け保持が受験の前提他 試験と同じくシミュレーター上でのハンズオン試験取るとこんないいことがあるまだ合格人数が少ないについての知識と愛が深まるセキュリティについて語っていい気がする私はこうでした一回目: 二回目 でがチートブログを書きました
開発・運用のためのセキュリティ実践ガイドすべての人におすすめしたい一冊ここに情報登録すると無料で読める攻撃しながら考える のセキュリティに を求めるのは間違っているのだろうかその他参考書籍 ネットで拾える情報など
tetsuyaisogai
kumamatsu
oracle4engineer
iwamot
salaboy
takashi1029
you
hassaku63
moritamasami
takaking22
norimuraz
hirosatogamo
kawaguti
jlugia
danielanewman
3n
dougneiner
maggiecrowley
morganepeng
holman
maltzj
caitiem20
matthewcrist
vanstee
shpigford