$30 off During Our Annual Pro Sale. View Details »

Docker の Tag を信じないでください #cloudnativejp / Cloud Native Meetup Tokyo 4th

y_taka_23
September 11, 2018
Technology
13
2.3k

Docker の Tag を信じないでください #cloudnativejp / Cloud Native Meetup Tokyo 4th

Cloud Native Meetup Tokyo #4 で使用したスライドです。CNCF プロジェクトのひとつ、Notary についてその役割とアーキテクチャを解説しています。Notary は何らかのデータを安全に配信するためのフレームワークで、同じく CNCF プロジェクトの The Update Framework (TUF) に基づいています。特に Docker の Tag と Digest を結びつけることで Docker image が改竄されていないことを保証でき、Docker Hub でも利用可能です。

イベント概要:https://cloudnative.connpass.com/event/97281/

y_taka_23

September 11, 2018
Tweet

More Decks by y_taka_23

See All by y_taka_23
サーバーレスアーキテクチャの数理的理解と分析 #devsumi / Developers Summit 2023 Summer
ytaka23
9
3.5k
形式手法による分散システムの検証 〜S3 の一貫性モデルを例として〜 #ourdevday2023 / Our DevDay 2023
ytaka23
1
910
Amazon S3 の一貫性モデル超入門 #ハードル激低LT大会 / Low-hurdle LT Meetup 2nd
ytaka23
3
1.6k
謎は全て解けた!安楽椅子探偵に捧げる AWS ネットワーク分析入門 #CNDT2022 / CloudNative Days Tokyo 2022
ytaka23
3
2.4k
サーバーレスは操作的意味論の夢を見るか? #AWSDevDay / AWS Dev Day 2022 Japan
ytaka23
3
5k
賢く「振り分ける」ための Topology Aware Hints #k8sjp / Kubernetes Meetup Tokyo 52nd
ytaka23
4
2.3k
ネットワークはなぜつながらないのか 〜インフラの意味論的検査を目指して〜 #AWSDevDay / AWS Dev Day Online Japan 2021
ytaka23
4
6.7k
君のセキュリティはデプロイするまでもなく間違っている #CICD2021 / CICD Conference 2021
ytaka23
15
9.1k
AWS セキュリティは「論理」に訊け! Automated Reasoning の理論と実践 #JTF2021 / July Tech Festa 2021
ytaka23
6
5.6k

Other Decks in Technology

See All in Technology
技術的負債あるある早く言いたい〜/RookiesLT-link-and-motivation
lmi
1
2.3k
LangChainやるならPythonよりTypeScriptの方がいんじゃね?
optimisuke
0
230
Amazon Bedrock を利用したAIチャットボット開発
yukimatsuyoshi
1
460
開発生産性の多角的接点〜1,000名のクリエイター組織 × 開発生産性〜 / Multifaceted touchpoints of development productivity
i35_267
3
490
サービスの1等地ホーム画面改善と効果的なステークホルダーマネジメント / Improvement of Prime Location Home Screen for Services and Effective Stakeholder Management
rilmayer
0
180
AWS re:Invent 2023に参加してきた ~Amazon Inspectorのアップデートを添えて~ / AWS re:Invent 2023 Participation Bulletin with Amazon Inspector Updates
yuj1osm
0
150
コロプラ_SRE_LCE_ゲームバックエンド_性能との戦い
colopl
0
150
Kaggle Tokyo Meetup2023 CommonLit Solutionの紹介と考え方 - Fulltrain戦略と(Seed/Model)Ensembleの可視化 -
chumajin
2
1.1k
Parsing case study in Go / Go Conference mini 2023 Winter IN KYOTO
k1low
2
110
GPT APIを使ったテキスト生成コンペ@YANS2023に参加した話
naohachi89
2
830
KarateによるBDDベースのAPIテスト / BDD based API-Testing with Karate
takanorig
1
110
【Microsoft社員が振り返る】Microsoft Ignite
yutoy
1
500

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
33
8.6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
24
2k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
225
51k
A designer walks into a library…
pauljervisheath
199
22k
Ruby is Unlike a Banana
tanoku
93
10k
Web Components: a chance to create the future
zenorocha
304
41k
Building a Scalable Design System with Sketch
lauravandoore
453
32k
GraphQLの誤解/rethinking-graphql
sonatard
45
8.7k
How GitHub Uses GitHub to Build GitHub
holman
467
280k
No one is an island. Learnings from fostering a developers community.
thoeni
14
1.8k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
239
1.2M
Debugging Ruby Performance
tmm1
68
11k

Transcript

  1. Docker の Tag を
    信じないでください
    チェシャ猫 (@y_taka_23)
    Cloud Native Meetup Tokyo #4 (2018/09/11)
    #cloudnativejp

    View Slide

  2. nginx:latest
    #cloudnativejp

    View Slide

  3. nginx:1.15.3
    #cloudnativejp

    View Slide

  4. イメージの Tag と Digest
    ● Tag は内容の同一性を保証しない
    ○ 同じ Tag で違うイメージを上書きできる
    ○ サーバの乗っ取られると中身が詐称される
    ● Tag の代わりに Digest も使える
    ○ イメージの Manifest から一意に生成
    ○ user/image@digest の形式で指定
    ○ docker pull や Dockerfile 内の FROM で使用可
    #cloudnativejp

    View Slide

  5. nginx:1.15.3
    #cloudnativejp

    View Slide

  6. nginx@sha256:24a0c4b4a4c0eb97a1aabb8e2
    9f18e917d05abfe1b7a7c07857230879ce7d3d3
    #cloudnativejp

    View Slide

  7. 長い
    #cloudnativejp

    View Slide

  8. 中身がわからん
    #cloudnativejp

    View Slide

  9. Notary
    https://github.com/theupdateframework/notary
    #cloudnativejp

    View Slide

  10. #cloudnativejp

    View Slide

  11. Notary is 何?
    ● 検証可能なデータ配信基盤
    ○ The Update Framework (TUF) を実装
    ○ サーバや鍵の危殆化が考慮されている
    ● Docker Content Trust
    ○ Tag と Digest の対応を保証
    ○ Docker Client に Notary Client が統合済み
    ○ 検証されていない Tag が「見えなく」なる
    #cloudnativejp

    View Slide

  12. https://speakerdeck.com/ytaka23/cloud-native-meetup-tokyo-2nd
    #cloudnativejp

    View Slide

  13. Notary のアーキテクチャ
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB

    View Slide

  14. Notary 信頼サーバ + メタデータ
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB

    View Slide

  15. Notary 署名サーバ + 署名鍵
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB

    View Slide

  16. TUF の実装
    ● 4 種類のメタデータを保存
    ○ root : 他のメタデータ用の信頼済み鍵リスト
    ○ targets : Docker レポジトリのハッシュ値
    ○ snapshot : 上記ふたつのハッシュ値
    ○ timestamp : snapshot のハッシュ値
    ● 各メタデータを別々の鍵で署名
    ○ ユーザ側と Notary サーバ側に分散して保存
    #cloudnativejp

    View Slide

  17. 署名用の鍵
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB
    root
    targets
    snapshot
    timestamp

    View Slide

  18. Image の Digest の取得
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB
    push

    View Slide

  19. Image の Digest の取得
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB
    Digest

    View Slide

  20. root と target の生成・署名
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB
    root.json
    targets.json

    View Slide

  21. TUF の実装(再掲)
    ● 4 種類のメタデータを保存
    ○ root : 他のメタデータ用の信頼済み鍵リスト
    ○ targets : Docker レポジトリのハッシュ値
    ○ snapshot : 上記ふたつのハッシュ値
    ○ timestamp : snapshot のハッシュ値
    ● 各メタデータを別々の鍵で署名
    ○ ユーザ側と Notary サーバ側に分散して保存
    #cloudnativejp

    View Slide

  22. snapshot と timestamp の生成
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB
    root.json
    targets.json
    snapshot.json
    timestamp.json

    View Slide

  23. snapshot と timestamp の署名
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB
    root.json
    targets.json
    snapshot.json
    timestamp.json

    View Slide

  24. 署名済メタデータの保存
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB
    root.json
    targets.json
    snapshot.json
    timestamp.json

    View Slide

  25. 署名済メタデータの保存
    Docker Client
    #cloudnativejp
    Notary Server
    Notary Signer
    Docker Registry
    TUF DB
    Key DB
    root.json
    targets.json
    snapshot.json
    timestamp.json

    View Slide

  26. 安全性のための仕掛け
    ● 依存関係にある複数のメタデータ
    ○ それぞれ独立に署名することで危険性を減らす
    ○ target 署名鍵のみ流出してもイメージ詐称不可
    ● 信頼サーバ・署名サーバの分離
    ○ 信頼サーバ に侵入されても鍵自体は流出しない
    ○ 署名サーバを HSM 化するとより安全
    ● ただし root 署名鍵が流出するとアウト
    #cloudnativejp

    View Slide

  27. まとめ
    ● Docker イメージの同一性
    ○ Tag だけでは同一性が保証できない
    ○ Digest をもっとうまく使いたい
    ● Notary による Content Trust
    ○ Digest と Tag を紐づけイメージの詐称を阻止
    ● TUF を利用した安全性の担保
    ○ 複数の署名を使用、さらに署名サーバを隔離
    #cloudnativejp

    View Slide

  28. What a Notable Notary!
    Presented by チェシャ猫 (@y_taka_23)
    #cloudnativejp

    View Slide