Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ACM 2.2 Update / ACS セミナー for OMPP
Search
Yuhki Hanada
June 18, 2021
Technology
0
200
ACM 2.2 Update / ACS セミナー for OMPP
ACM 2.2 Update と ACS についての概要セミナーです。
Yuhki Hanada
June 18, 2021
Tweet
Share
More Decks by Yuhki Hanada
See All by Yuhki Hanada
あちこちにある署名の世界
yuhkih
0
98
OpenShift IPI/UPI 解体新書
yuhkih
0
1.2k
Zenn用の挿絵(OpenShift 4.8 を vSphere 上にIPIインストールする)
yuhkih
0
4.5k
OMPP SRE Workshsop 2021 Day 4
yuhkih
0
2.9k
監視の世界へようこそ
yuhkih
0
73
OpenShift と Kubernetes の違い
yuhkih
2
1k
OpenShift の基礎 コンテナのメリット
yuhkih
0
170
ACM 2.3 install memo
yuhkih
0
67
ACS (Advanced Cluster Security) 旧 StackRox 資料
yuhkih
1
3.7k
Other Decks in Technology
See All in Technology
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
2
530
10XにおけるData Contractの導入について: Data Contract事例共有会
10xinc
6
630
Evangelismo técnico: ¿qué, cómo y por qué?
trishagee
0
360
Making your applications cross-environment - OSCG 2024 NA
salaboy
0
190
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470
開発生産性を上げながらビジネスも30倍成長させてきたチームの姿
kamina_zzz
2
1.7k
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
Adopting Jetpack Compose in Your Existing Project - GDG DevFest Bangkok 2024
akexorcist
0
110
TypeScript、上達の瞬間
sadnessojisan
46
13k
スクラムチームを立ち上げる〜チーム開発で得られたもの・得られなかったもの〜
ohnoeight
2
350
AWS Lambdaと歩んだ“サーバーレス”と今後 #lambda_10years
yoshidashingo
1
170
Featured
See All Featured
RailsConf 2023
tenderlove
29
900
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
Designing Experiences People Love
moore
138
23k
Building an army of robots
kneath
302
43k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
16k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Code Review Best Practice
trishagee
64
17k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Embracing the Ebb and Flow
colly
84
4.5k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
246
1.3M
Transcript
2021/06/18 ACM 2.2 Update & ACS セミナー for OMPP OMPP
(Red Hat OpenShift Managed Practice Program)
2 本日の OMPP Update アジェンダ 1. ACM for Kubernetes 製品概要
(おさらい) 2. Submariner のご紹介 3. Submariner デモ 4. ACS for Kubernetes 製品概要 5. ACS 概要 6. ACS デモ
Cloud Solution Architect Yuhki Hanada ACM for Kubernetes Update
4 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster
services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds
5 HUB Cluster API Server API Server API Server API
Server API Server TLS Spoke Clusters Managed Clusters ACM for Kubernetes の概要 Hub Cluster のサポートは、OpenShift 4.4.3 以降 / 4.5.2以降 / 4.6.1以降 サポートのバージョンは資料作成時点の情報です。 詳細はこちらRed Hat Advanced Cluster Management for Kubernetes 2.2 Support Matrix - Red Hat Customer Portal GKE/EKS/IBM K8S/ AKS ACM 用の専用のクラスタが推奨 (Master + Worker) 管理される側のクラスターには「multicluster-endpoint」というネームスペースと管理のために必要な pod 等のリソースが作成されます。 ACM Hub ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod 専用namespace が作られ、そこに導入されます。
Submariner (ACM 2.2 Tech Preview)
Worker Node Passive Gateway Node Active Gatway Node IPSEC トンネリング
Passive Gateway Node Worker Node Worker Node Worker Node Kubernetes Cluster A Kubernetes Cluster B Route Agent Gateway Engine Active Gatway Node fail over Lighthouse Agent Kubernetes Cluster (Broker) Broker Kubernetes API server Submariner Kubernetes 間をプライベートなネットワークで接続する Submariner - 赤帽エンジニアブログ (hatenablog.com)
Submariner デモ その他、参考になるブログ: Geographically Distributed Stateful Workloads Part One: Cluster
Preparation (openshift.com) Geographically Distributed Stateful Workloads Part Two: CockroachDB (openshift.com) デモビデオ
ACS (Advanced Cluster Security) for Kubernetes 製品概要 Cloud Solution Architect
Yuhki Hanada
StackRox の概要 • コンソール含め、Kubernetes クラスター上のアプリとして稼働 • Build / Deploy /
Runtime(運用中) 時に、Policyに適合しているかチェック。 • Jenkins 側に脆弱性情報を提供し、Build時にひっかかった脆弱性情報を Jenkinsの中で 参照できる。 • Image Scanning ツールは、独自のもあるがQuay等も使用可能 • Policy は標準で、CIS benchmark、PCI、HIIPA、NIST 800-190/800-53等を持って いる。それ以外は自作する必要がある(Custom Policy)。 アーキテクチャー図 ダッシュボード Policyの設定 Build/Deploy/Runtimeのどの時点で、 このPolicyを有効にするか選択できる https://www.youtube.com/watch?v=1cHjGaCDtRQ
StackRox 導入企業様事例 Customers | StackRox より StackRoxの顧客は、SaaS、フィンテック、政府機 関を含め、様々な地域や業界にわたっています。 今日、クラウドネイティブ企業、フォーチュン500 企業、政府機関のDevOpsチームやセキュリティ・
チームは、StackRoxに基づいて、コンテナのライフ サイクル全体にわたってセキュリティやコンプライ アンス・ポリシーを実装しています。 StackRoxのソフトウェアは、Kubernetesネイティ ブなコンテナ・セキュリティ・プラットフォームと してIron Bankアーティファクト・リポジトリに含 まれ、米国国防総省(DoD:Departiment of Defence)のエンタープライズDevSecOpsコンテナ 強化ガイドへの準拠が認定されるとともに、自動テ ストおよびコンテナ・セキュリティを実現するため にDoDによる使用が認可されています
US Air Force、アメリカ国防総省 (Department of Defense) 事例 StackRox delivers container
and Kubernetes security to US Air Force | HG Insights 「継続的に革新的なソフトウェアを 提供し、アプリケーションとデータ の安全性を確保することは、我々の 準備態勢にとって不可欠です。我々 は、コンテナとKubernetesをベー スにした迅速な革新のためのハード リングされた環境として、Platform Oneソフトウェア・ファクトリーを 構築しました。 StackRoxがKubernetesネイティブ なアーキテクチャを活用してその環 境を保護してくれることで、ビルド からデプロイ、ランタイムまで、ア プリケーションのライフサイクル全 体でセキュリティを提供することが できます」(米空軍のロブ・スロー ター少佐)
13 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster
services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds
Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML)
RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。
Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML)
RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。 ACSのカバー範囲 ※Registry, CI/CD ツー ル / Kuberentes そのも のは含まない ※この部分は Kuberentes に格納された後 に見られ ている
ACSアーキテクチャー 16 Architecture
DevSecOps とシフトレフト 17 Image scanning Registries CI/CD tools DevOps notification
SIEM Build Secure supply chain Deploy Secure infrastructure Run Secure workloads Policy engine API AWS Security Hub Run anywhere OpenShift Amazon EKS Google GKE Azure AKS 3rd Party ツール群 ビルド時に、危険な構成や、 脆弱性を見つけて開発者に エラーを返す コンテナが Kuberentes に Deploy される前にイ メージに問題が無いか チェック コンテナ内から必要 の無いプログラムが 起動していないか等 セキュリティの対策は、できるだけ開発の初期から行う(シフト・レフト)
ACS ダッシュボード 一覧 詳細 コンプライアンス遵守状況 Policy 違反状況 • ACSが把握している状況を一 覧で把握するためのメインの
ダッシュボード • デフォルトの Policy、ユー ザー定義の Policy の違反状 況 • コンプライアンスのベンチマ ークの遵守状況 (CIS / HIPAA / NIST SP 800-190 / NIST SP 800-53 / PCI DSS) 詳細 Dashboard 一覧
ACS デモ 19
リソース • マニュアル (StackRox) https://help.stackrox.com/ • デモビデオ (440) OCB: StackRox
Overview and Demo - YouTube
Q&A
Red Hat is the world’s leading provider of enterprise open
source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you 22