クラウド時代のセキュリティをふりかえる

Transcript

1. Copyright Ⓒ 2019 GOODWITH LLC All Rights Reserved. Tomoya Amachi

   (@tomoyamachi) クラウド時代のセキュリティ を ふりかえる

2. Who am I? • Tomoya AMACHI/天地 知也 • @tomoyamachi •

   CEO at GOODWITH LLC.,

3. 前置き

4. 情報セキュリティの3要素 : CIA • 機密性 Confidentiality ◦ 許可された者だけが利用できる ◦ eg)認証認可

   / 暗号化 / ファイルの削除 • 完全性 Integrity ◦ 情報の改ざんがない ◦ eg) バックアップ / 保管ルールの徹底 • 可用性 Availability ◦ いつでも利用できる ◦ eg) セカンダリサーバ/ VPN経由で外部から接続 http://www.privacymark.co.jp/isms/index_1.html

5. Pets vs Cattles 〜 クラウドによるインフラの家畜化 サーバはいくらでも 替えがきくものと捉える 指標 • 毎日デプロイできる?

   • 環境をすぐ作り直せる? https://developer.ibm.com/articles/mw-1708-bornert/

6. 最近のアプローチ

7. 機密性への新たなアプローチ • データをディスクに保存しない ◦ 重要データはメモリ上にのみ展開する ◦ 暗号化されている場所から、必要時のみ取得する ◦ 一時的なクレデンシャル情報を作成し、すぐ廃棄する •

   アプローチ ◦ Hashicorp Vault : Dynamic Secrets ◦ AWS Secrets Manager etc

8. 完全性への新たなアプローチ • ディスクのデータを変更しない ◦ Immutableに保つ。差分運用をしない ◦ 直接シェルにログインしてコマンドを叩かない ◦ System Callを監視し、書き込みがあればキャッチ

   • アプローチ ◦ パッチ運用をやめ、Docker Imageをビルドしなおす ◦ Serverless

9. 可用性への新たなアプローチ • 高速なデプロイ ◦ オートヒーリング(自動回復) ◦ サーバが死んでも、すぐつくればいいじゃん • アプローチ ◦

   起動時のオーバヘッドの少ない技術を利用 ▪ 軽量なVM ▪ コンテナ技術

10. まとめ 同じことが詳しく書かれて いたので、こちらの資料も おすすめします… https://www.slideshare.net/sounilyu/distributed-immutabl e-ephemeral-new-paradigms-for-the-next-era-of-security

11. 唐突な余談 • Kubernetesに攻撃したい人へ ◦ kubernetes-simulator/simulator で遊ぼう