Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Kubernetes-Security-101

 Kubernetes-Security-101

CNDO:ここからはじめるKubernetesセキュリティ

エンタープライズのIT部門およびにそれらにかかわる方々がKubernetesを導入していく際に障壁の一つになりうるセキュリティという要素について、基礎知識をまとめてインプットすることを目的にしています。
セキュリティの原則、コンテナのセキュリティ、Kubernetesのセキュリティについてそれぞれ解説していきます。

Tetsuya Isogai

March 11, 2021
Tweet

More Decks by Tetsuya Isogai

Other Decks in Technology

Transcript

  1. 通常 で使われる一般 特権 ユーザによる権限付与のみ では限界があったために誕生した機能 例: サーバプロセスが 番未満のポートを使う 例: プロセスが

    ソケットイーサネットデバイスに対 してオープンする など 権限を細分化して取り扱うことができるようにしたもの ケーパビリティ プロセスに必要最小限の権限を与える コンテナランタイムはコンテナ内の ユーザに対してケーパ ビリティを選別(提供/はく奪)して提供 要件に応じて追加/制限が可能 デフォルトで提供されるケーパビリティの標準セット
  2. へのリクエストをインターセプトし任意の処理を実行する リソースが永続化( へ保存)される前に実行 リソースの検証( )、変更( )、ポリシーの強制などで利用 組み込みで提供されているプラグインと拡張用 の 種類 おもな組み込みプラグイン

    イメージの署名が信頼できるものかをチェック/イメージのスキャンを組み込む あらかじめ定義したセキュリティポリシーに応じて リソースを検証・変更する 拡張用 (カスタムポリシー) 自分で のコードを書く 深く知りたい方:
  3. • クラスタ管理者 向け • クラスタ用ベン チマークツール • の チェック項目を可能な限 りマッピング

    • イメージの実行、 または を と してクラスタにデプロイ すると結果と必要な対処 がログに出力される
  4. • クラスタ管理者 向け • ランタイムセキュリティ の プロジェクト • の脅威検出(異 常な動作を検出するため

    のアクティビティ監視) ツール • 独自のフィルター構文を 使って脅威のチェックを おこなう に を展開してアプリケーションの挙動をモニタリングする
  5. 試験の概要 にリリースされた 主催の資格 どちらかというと 向け 保持が受験の前提 他 試験と同じくシミュレーター上でのハンズオン試験 取るとこんないいことがある まだ合格人数が少ない

    についての知識と愛が深まる セキュリティについて語っていい気がする 私はこうでした 一回目: 二回目 で がチート ブログを書きました