クラウド時代のセキュリティをふりかえる

5bc984d78def65048378c439d77c379f?s=47 Tomoya Amachi
September 25, 2020

 クラウド時代のセキュリティをふりかえる

#InfraStudy 第6回

5bc984d78def65048378c439d77c379f?s=128

Tomoya Amachi

September 25, 2020
Tweet

Transcript

  1. Copyright Ⓒ 2019 GOODWITH LLC All Rights Reserved. Tomoya Amachi

    (@tomoyamachi) クラウド時代のセキュリティ を ふりかえる
  2. Who am I? • Tomoya AMACHI/天地 知也 • @tomoyamachi •

    CEO at GOODWITH LLC.,
  3. 前置き

  4. 情報セキュリティの3要素 : CIA • 機密性 Confidentiality ◦ 許可された者だけが利用できる ◦ eg)認証認可

    / 暗号化 / ファイルの削除 • 完全性 Integrity ◦ 情報の改ざんがない ◦ eg) バックアップ / 保管ルールの徹底 • 可用性 Availability ◦ いつでも利用できる ◦ eg) セカンダリサーバ/ VPN経由で外部から接続 http://www.privacymark.co.jp/isms/index_1.html
  5. Pets vs Cattles 〜 クラウドによるインフラの家畜化 サーバはいくらでも 替えがきくものと捉える 指標 • 毎日デプロイできる?

    • 環境をすぐ作り直せる? https://developer.ibm.com/articles/mw-1708-bornert/
  6. 最近のアプローチ

  7. 機密性への新たなアプローチ • データをディスクに保存しない ◦ 重要データはメモリ上にのみ展開する ◦ 暗号化されている場所から、必要時のみ取得する ◦ 一時的なクレデンシャル情報を作成し、すぐ廃棄する •

    アプローチ ◦ Hashicorp Vault : Dynamic Secrets ◦ AWS Secrets Manager etc
  8. 完全性への新たなアプローチ • ディスクのデータを変更しない ◦ Immutableに保つ。差分運用をしない ◦ 直接シェルにログインしてコマンドを叩かない ◦ System Callを監視し、書き込みがあればキャッチ

    • アプローチ ◦ パッチ運用をやめ、Docker Imageをビルドしなおす ◦ Serverless
  9. 可用性への新たなアプローチ • 高速なデプロイ ◦ オートヒーリング(自動回復) ◦ サーバが死んでも、すぐつくればいいじゃん • アプローチ ◦

    起動時のオーバヘッドの少ない技術を利用 ▪ 軽量なVM ▪ コンテナ技術
  10. まとめ 同じことが詳しく書かれて いたので、こちらの資料も おすすめします… https://www.slideshare.net/sounilyu/distributed-immutabl e-ephemeral-new-paradigms-for-the-next-era-of-security

  11. 唐突な余談 • Kubernetesに攻撃したい人へ ◦ kubernetes-simulator/simulator で遊ぼう