Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Docker の Tag を信じないでください #cloudnativejp / Cloud ...

y_taka_23
September 11, 2018
Technology
13
2.4k

Docker の Tag を信じないでください #cloudnativejp / Cloud Native Meetup Tokyo 4th

Cloud Native Meetup Tokyo #4 で使用したスライドです。CNCF プロジェクトのひとつ、Notary についてその役割とアーキテクチャを解説しています。Notary は何らかのデータを安全に配信するためのフレームワークで、同じく CNCF プロジェクトの The Update Framework (TUF) に基づいています。特に Docker の Tag と Digest を結びつけることで Docker image が改竄されていないことを保証でき、Docker Hub でも利用可能です。

イベント概要:https://cloudnative.connpass.com/event/97281/

y_taka_23

September 11, 2018
Tweet

More Decks by y_taka_23

See All by y_taka_23
形式手法の 10 メートル手前 #kernelvm / Kernel VM Study Hokuriku Part 7
ytaka23
5
790
普通の Web エンジニアのための様相論理入門 #yapcjapan / YAPC Hakodate 2024
ytaka23
7
2k
kcp: Kubernetes APIs Are All You Need #techfeed_live / TechFeed Experts Night 28th
ytaka23
1
280
サーバーレスアーキテクチャの数理的理解と分析 #devsumi / Developers Summit 2023 Summer
ytaka23
9
4.8k
形式手法による分散システムの検証 〜S3 の一貫性モデルを例として〜 #ourdevday2023 / Our DevDay 2023
ytaka23
2
1.2k
Amazon S3 の一貫性モデル超入門 #ハードル激低LT大会 / Low-hurdle LT Meetup 2nd
ytaka23
3
2k
謎は全て解けた!安楽椅子探偵に捧げる AWS ネットワーク分析入門 #CNDT2022 / CloudNative Days Tokyo 2022
ytaka23
2
3.5k
サーバーレスは操作的意味論の夢を見るか? #AWSDevDay / AWS Dev Day 2022 Japan
ytaka23
4
6.4k
賢く「振り分ける」ための Topology Aware Hints #k8sjp / Kubernetes Meetup Tokyo 52nd
ytaka23
4
3.2k

Other Decks in Technology

See All in Technology
Railsで4GBのデカ動画ファイルのアップロードと配信、どう実現する?
asflash8
2
260
GraphRAGを用いたLLMによるパーソナライズド推薦の生成
naveed92
0
200
メールサーバ管理者のみ知る話
hinono
1
110
徹底比較!HA Kubernetes ClusterにおけるControl Plane LoadBalancerの選択肢
logica0419
2
150
Microsoft MVPになる前、なってから/Fukuoka_Tech_Women_Community_1_baba
nina01
0
180
AWS⼊社という選択肢、⾒えていますか
iwamot
2
1.1k
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
590
マルチプロダクトな開発組織で 「開発生産性」に向き合うために試みたこと / Improving Multi-Product Dev Productivity
sugamasao
1
260
フルカイテン株式会社 採用資料
fullkaiten
0
40k
End of Barrel Files: New Modularization Techniques with Sheriff
rainerhahnekamp
0
290
社内で最大の技術的負債のリファクタリングに取り組んだお話し
kidooonn
1
480
TinyGoを使ったVSCode拡張機能実装
askua
2
210

Featured

See All Featured
Into the Great Unknown - MozCon
thekraken
32
1.5k
Music & Morning Musume
bryan
46
6.2k
Facilitating Awesome Meetings
lara
50
6.1k
It's Worth the Effort
3n
183
27k
Documentation Writing (for coders)
carmenintech
65
4.4k
Optimizing for Happiness
mojombo
376
69k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
42
2.2k
A Philosophy of Restraint
colly
203
16k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Typedesign – Prime Four
hannesfritz
40
2.4k
Fantastic passwords and where to find them - at NoRuKo
philnash
50
2.9k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.2k

Transcript

  1. Docker の Tag を 信じないでください チェシャ猫 (@y_taka_23) Cloud Native Meetup

    Tokyo #4 (2018/09/11) #cloudnativejp

  2. nginx:latest #cloudnativejp

  3. nginx:1.15.3 #cloudnativejp

  4. イメージの Tag と Digest • Tag は内容の同一性を保証しない ◦ 同じ Tag

    で違うイメージを上書きできる ◦ サーバの乗っ取られると中身が詐称される • Tag の代わりに Digest も使える ◦ イメージの Manifest から一意に生成 ◦ user/image@digest の形式で指定 ◦ docker pull や Dockerfile 内の FROM で使用可 #cloudnativejp

  5. nginx:1.15.3 #cloudnativejp

  6. nginx@sha256:24a0c4b4a4c0eb97a1aabb8e2 9f18e917d05abfe1b7a7c07857230879ce7d3d3 #cloudnativejp

  7. 長い #cloudnativejp

  8. 中身がわからん #cloudnativejp

  9. Notary https://github.com/theupdateframework/notary #cloudnativejp

  10. #cloudnativejp

  11. Notary is 何? • 検証可能なデータ配信基盤 ◦ The Update Framework (TUF)

    を実装 ◦ サーバや鍵の危殆化が考慮されている • Docker Content Trust ◦ Tag と Digest の対応を保証 ◦ Docker Client に Notary Client が統合済み ◦ 検証されていない Tag が「見えなく」なる #cloudnativejp

  12. https://speakerdeck.com/ytaka23/cloud-native-meetup-tokyo-2nd #cloudnativejp

  13. Notary のアーキテクチャ Docker Client #cloudnativejp Notary Server Notary Signer Docker

    Registry TUF DB Key DB

  14. Notary 信頼サーバ + メタデータ Docker Client #cloudnativejp Notary Server Notary

    Signer Docker Registry TUF DB Key DB

  15. Notary 署名サーバ + 署名鍵 Docker Client #cloudnativejp Notary Server Notary

    Signer Docker Registry TUF DB Key DB

  16. TUF の実装 • 4 種類のメタデータを保存 ◦ root : 他のメタデータ用の信頼済み鍵リスト ◦

    targets : Docker レポジトリのハッシュ値 ◦ snapshot : 上記ふたつのハッシュ値 ◦ timestamp : snapshot のハッシュ値 • 各メタデータを別々の鍵で署名 ◦ ユーザ側と Notary サーバ側に分散して保存 #cloudnativejp

  17. 署名用の鍵 Docker Client #cloudnativejp Notary Server Notary Signer Docker Registry

    TUF DB Key DB root targets snapshot timestamp

  18. Image の Digest の取得 Docker Client #cloudnativejp Notary Server Notary

    Signer Docker Registry TUF DB Key DB push

  19. Image の Digest の取得 Docker Client #cloudnativejp Notary Server Notary

    Signer Docker Registry TUF DB Key DB Digest

  20. root と target の生成・署名 Docker Client #cloudnativejp Notary Server Notary

    Signer Docker Registry TUF DB Key DB root.json targets.json

  21. TUF の実装(再掲) • 4 種類のメタデータを保存 ◦ root : 他のメタデータ用の信頼済み鍵リスト ◦

    targets : Docker レポジトリのハッシュ値 ◦ snapshot : 上記ふたつのハッシュ値 ◦ timestamp : snapshot のハッシュ値 • 各メタデータを別々の鍵で署名 ◦ ユーザ側と Notary サーバ側に分散して保存 #cloudnativejp

  22. snapshot と timestamp の生成 Docker Client #cloudnativejp Notary Server Notary

    Signer Docker Registry TUF DB Key DB root.json targets.json snapshot.json timestamp.json

  23. snapshot と timestamp の署名 Docker Client #cloudnativejp Notary Server Notary

    Signer Docker Registry TUF DB Key DB root.json targets.json snapshot.json timestamp.json

  24. 署名済メタデータの保存 Docker Client #cloudnativejp Notary Server Notary Signer Docker Registry

    TUF DB Key DB root.json targets.json snapshot.json timestamp.json

  25. 署名済メタデータの保存 Docker Client #cloudnativejp Notary Server Notary Signer Docker Registry

    TUF DB Key DB root.json targets.json snapshot.json timestamp.json

  26. 安全性のための仕掛け • 依存関係にある複数のメタデータ ◦ それぞれ独立に署名することで危険性を減らす ◦ target 署名鍵のみ流出してもイメージ詐称不可 • 信頼サーバ・署名サーバの分離

    ◦ 信頼サーバ に侵入されても鍵自体は流出しない ◦ 署名サーバを HSM 化するとより安全 • ただし root 署名鍵が流出するとアウト #cloudnativejp

  27. まとめ • Docker イメージの同一性 ◦ Tag だけでは同一性が保証できない ◦ Digest をもっとうまく使いたい

    • Notary による Content Trust ◦ Digest と Tag を紐づけイメージの詐称を阻止 • TUF を利用した安全性の担保 ◦ 複数の署名を使用、さらに署名サーバを隔離 #cloudnativejp

  28. What a Notable Notary! Presented by チェシャ猫 (@y_taka_23) #cloudnativejp