OpenClarityの裏側を知りたい

Copyright © 3-shake, Inc. All Rights Reserved. ❏ 某 SIer
で業務系アプリケーションの保守運用や Devops 推進、金融機関向けのクラウドアプリケーションの保守運用を経験したのちスリーシェイクにジョイン ❏ 趣味はサウナ、旅行、サッカー観戦（町田ゼルビア推し） ❏ 注文住宅で家を建てるため専ら各所の土地散策で土日が潰れる ❏ 最近Google Cloud資格全冠取得しました！自己紹介 kojake_300 株式会社スリーシェイク Sreake 事業部 2

Copyright © 3-shake, Inc. All Rights Reserved. はじめに ❏ 本登壇は、1/24開催の「株式会社スリーシェイク
SRE Teck Talk #11」で発表した内容をより深堀りしたものになります。 https://speakerdeck.com/kojake_300/openclaritywosi-itemiru 3

Copyright © 3-shake, Inc. All Rights Reserved. ソフトウェアサプライチェーンにおけるセキュリティ 5 コーディング
ビルドパッケージングデプロイ実行 * 静的解析 * 動的解析 * 脆弱性スキャン * クレデンシャル情報のスキャン * イメージ署名 * 脆弱性スキャン依存関係 * イメージ署名 * ランタイムセキュリティ * ランタイムスキャンソフトウェアを安全に届けるための最新動向 2022

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityがカバーする領域 6 コーディング
パッケージングデプロイ * クレデンシャル情報のスキャン * イメージ署名 * 脆弱性スキャン * イメージ署名 * 静的解析 * 動的解析 * 脆弱性スキャン * ランタイムセキュリティ * ランタイムスキャンビルド依存関係実行特にココ！

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityとは 7 •
エージェントレスで様々なセキュリティ脅威を検知するオープンソースツール。 • 元々は OpenClarity プロジェクトとして KubeClarity と VMClarity が開発・運用されていたが、二つの機能を統合しつつ新しい機能を組み込んだ OpenClarityが 2024/10/12にv1.0.0としてリリースされた。 • セキュリティ脅威の検知はTrivyなどのOSSを使用しており、OpenClarityはUIでのスキャン結果のダッシュボードや検出された脆弱性の詳細検索など、セキュリティの統合プラットフォームのようなイメージ。 Project announcement: OpenClarity #882 https://openclarity.io/docs/features/#scanning

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのランタイムスキャン 8 #
機能ツール群 2 脆弱性スキャンエクスプロイト取得 3 クレデンシャルスキャン 4 マルウェアスキャン 5 ミスコンフィグレーションスキャン 6 ルートキットスキャン 7 - Grype - Trivy 1 SBOM生成*** - Syft - Windows Registry* - Trivy - Cyclonedx-gomod - Go exploit db - Secrets - ClamAV - YARA - Lynis** - KICS*** - CIS Docker benchmark - Chkrootkit** * : Windowsのみ ** : Linux and MacOSのみ *** : CLIのみスキャン時に1つ以上のOSSツールを使用します。出力する際は1つにマージするため、より漏れのないスキャン結果を取得することが可能です。

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityでKubernetesのランタイムスキャンを実施してみる 02
10

Copyright © 3-shake, Inc. All Rights Reserved. 実行環境 11 •
GKEで検証。 • Container Runtimeはcontainerd。

Copyright © 3-shake, Inc. All Rights Reserved. セットアップ 12 公式ドキュメントの通り
k8s クラスタにインストールする。 https://openclarity.io/docs/getting-started/deploy-kubernetes/#deployment-steps providerはkubernetesを設定します。これによりクラスタ内で動作しているコンテナのディスカバリとスキャンが可能になります。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 13 New
scan conﬁgurationをクリック。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 14 スキャン名とスキャン対象を設定。
スキャン対象はODATA $ﬁlterの構文で記載します。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 15 SBOMとVulnerabilitiesをチェック。
SBOMにチェックをしないとVulnerabilitiesによる脆弱性スキャンがエラーになります。また、SBOMにチェックを入れてもSBOMをダウンロードする機能はありません。

Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 21 スキャン結果を確認可能。
アセットに紐づく脆弱性一覧を取得する機能は現在ありません。脆弱性一覧から関連する脆弱性に紐づくアセットを確認する必要があります。 https://github.com/openclarity/openclarity/issues/671

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityはどのように脆弱性スキャンを行うのか？ 03
24

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityの特徴的な機能 25 https://openclarity.io/docs/usage/openclarity_stack/
❏ OpenClarityは、実行中のコンテナを対象に脆弱性スキャンを実施する。 ❏ 似たようなツールにTrivy-Operatorがあるが、実行中のコンテナイメージをレジストリから Pullして脆弱性スキャンを実施するため、動作しているコンテナそのものをスキャンしているわけではない。どうやっているんだろう。。。公式ドキュメントも詳しくは書いてないし。。。

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityの特徴的な機能 26 https://openclarity.io/docs/usage/openclarity_stack/
❏ OpenClarityは、実行中のコンテナを対象に脆弱性スキャンを実施する。 ❏ 似たようなツールにTrivy-Operatorがあるが、実行中のコンテナイメージをレジストリから Pullして脆弱性スキャンを実施するため、動作しているコンテナそのものをスキャンしているわけではない。どうやっているんだろう。。。ならいっそソースリーディングしてみるか！

Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのスキャンコア機能 27
OpenClarityのスキャンコア機能コンテナディスカバリコンテナスキャン • 特定のNode上にデプロイされているコンテナのメタデータを取得。 • 取得したメタデータをアセットとして登録。 • スキャンリクエストの受け付け。 • Scanner Jobの起動。 • 動作中のコンテナイメージからコピーを生成。 • Scanner Jobへコンテナイメージのコピーをエクスポートして脆弱性スキャンの実行。

Copyright © 3-shake, Inc. All Rights Reserved. 28 OpenClarityのスキャンコアコンポーネント
• 一定間隔でDBからスキャン情報を取得し、一致するコンテナのメタデータを取得。 • Scanner Jobの起動。 Orchestrator Scanner Job Container Runtime Discovery Watcher Discoverer • 一定間隔で、クラスタにデプロイされているコンテナのメタデータを取得。 • 取得したデータをアセットとしてDBに保存。 • スキャン対象のコンテナのコピーを取得し、脆弱性スキャンを実行。 • コンテナメタデータ取得、コンテナコピーなどクラスタ内のコンテナに関するコアロジックを担当。

Copyright © 3-shake, Inc. All Rights Reserved. 29 Node Container
Runtime Discovery API Server POST /assets/{id} DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer Scanner Job Scanner Job0 Scanner Job download-a sset scanner emptyDir ① ③ ④ Pod GET /containers Watcher Poller Queue Reconciler image.tar ConfigMap (config.yaml) Pod・コンテナプロセスコンテナデータファイル OpenClarityのコンテナディスカバリフロー図 docker containerd crio ②

Copyright © 3-shake, Inc. All Rights Reserved. 30 OrchestratorのDiscovererの動作 https://github.com/openclarity/openclarity/blob/v1.1.2/orchestrator/discoverer/discoverer.go#L48-L66
ステップイン

Copyright © 3-shake, Inc. All Rights Reserved. 31 OrchestratorのDiscovererの動作 https://github.com/openclarity/openclarity/blob/v1.1.2/orchestrator/discoverer/discoverer.go#L100-L113
コンテナディスカバリ ①② コンテナ情報をDBへ登録 ③④ ディスカバリをトリガーする周期は OPENCLARITY_ORCHESTRATOR_DISCOVERY_INTERVAL で変更可能です。デフォルトは2m(120秒)です。

Copyright © 3-shake, Inc. All Rights Reserved. 32 コンテナディスカバリ①（OrchestratorのDiscoverer） https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/discoverer/discoverer.go#L38-L68
https://openclarity.io/docs/configuration/#orchestrator ContainerRuntimeDiscoveryの一覧を取得

Copyright © 3-shake, Inc. All Rights Reserved. 33 コンテナディスカバリ①（OrchestratorのDiscoverer） https://github.com/openclarity/openclarity/blob/workflow/v1.1.2/provider/kubernetes/discoverer/container.go#L41-L50
https://github.com/openclarity/openclarity/blob/workflow/v1.1.2/provider/kubernetes/discoverer/container.go#L54 ContainerRuntimeDiscoveryに対してリクエストを送信

Copyright © 3-shake, Inc. All Rights Reserved. 34 コンテナディスカバリ②（Container Runtime
Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/server.go#L49

Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/server.go#L132-L144 https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/containerd/discoverer.go#L364-L380

Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/containerd/discoverer.go#L491-L532 containerd moduleの関数 containerd moduleの関数 containerd moduleの関数 containerd moduleの関数

Runtime Discovery API Server POST /assets/{id} DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer Scanner Job Scanner Job0 Scanner Job download-a sset scanner emptyDir ① ③ ④ Pod GET /containers Watcher Poller Queue Reconciler image.tar ConfigMap (config.yaml) Pod・コンテナプロセスコンテナデータファイル OpenClarityのコンテナディスカバリフロー図（再掲） docker containerd crio ②

Runtime Discovery API Server DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer POST /assetScans GET /assetScans Scanner Job Scanner Job0 Scanner Job download-a sset scanner GET /exportcontainer/{id} emptyDir ① ② ③ ⑪ ⑫ Pod Watcher Poller Queue Reconciler ⑤ ⑥ ⑦ ⑨ GET /containers/{id} image.tar ConfigMap (config.yaml) ④ ⑧ Pod・コンテナプロセスコンテナデータファイルコンテナスキャンフロー図 docker containerd crio ⑩ ⑬

Copyright © 3-shake, Inc. All Rights Reserved. 39 OrchestratorのWatcherの動作 https://github.com/openclarity/openclarity/blob/v1.1.2/orchestrator/watcher/assetscan/watcher.go#L64-L81
Pollerの起動 ③④⑤ Reconcilerの起動 ⑥～ポーリング間隔は OPENCLARITY_ORCHESTRATOR_ASSETSCAN_WATCHE R_POLL_PERIOD で変更可能です。デフォルトは15sです

Copyright © 3-shake, Inc. All Rights Reserved. 43 コンテナスキャン⑨（OrchestratorのWatcherのReconciler） https://github.com/openclarity/openclarity/blob/v1.1.2/orchestrator/watcher/assetscan/watcher.go#L139-L153
コンテナ情報をDBから取得 ⑦⑧

Copyright © 3-shake, Inc. All Rights Reserved. 46 コンテナスキャン⑨（OrchestratorのWatcherのReconciler） https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L88-L105
Container Runtime Discoveryからコンテナメタデータを取得 ⑨⑩

Copyright © 3-shake, Inc. All Rights Reserved. 47 コンテナスキャン⑪（OrchestratorのWatcherのReconciler） https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L155-L175
スキャン用config.yamlの ConfigMapを作成

Copyright © 3-shake, Inc. All Rights Reserved. 48 コンテナスキャン⑪（OrchestratorのWatcherのReconciler） https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L252
Scanner Jobの起動

Copyright © 3-shake, Inc. All Rights Reserved. 49 コンテナスキャン⑫（Scanner Job）
https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/client/client.go#L167-L169 https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L133-L136 https://github.com/openclarity/openclarity/blob/v1.1.2/provider/kubernetes/scanner/scanner.go#L186-L199

Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/server.go#L162-L187

Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/containerd/discoverer.go#L395 containerd moduleの関数 containerd moduleの関数

Discovery） https://github.com/openclarity/openclarity/blob/v1.1.2/containerruntimediscovery/server/containerd/discoverer.go#L457-L488 containerd moduleの関数スナップショットをCommitし、動作中のコンテナからイメージを作成 dockerにもdocker commitというコマンドがあり、動作中のコンテナからイメージを作成します https://dev.classmethod.jp/articles/docker-commit/

Runtime Discovery API Server DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer POST /assetScans GET /assetScans Scanner Job Scanner Job0 Scanner Job download-a sset scanner GET /exportcontainer/{id} emptyDir ① ② ③ ⑪ ⑫ Pod Watcher Poller Queue Reconciler ⑤ ⑥ ⑦ ⑨ GET /containers/{id} image.tar ConfigMap (config.yaml) ④ ⑧ Pod・コンテナプロセスコンテナデータファイルコンテナスキャンフロー図（再掲） docker containerd crio ⑩ ⑬

Runtime Discovery API Server POST /assets/{id} DB コンテナディスカバリフローコンテナスキャンフロー UI Server Orchestrator Discoverer POST /assetScans GET /assetScans Scanner Job Scanner Job0 Scanner Job download-a sset scanner GET /exportcontainer/{id} emptyDir ① ③ ④ ① ② ③ ⑪ ⑫ Pod GET /containers Watcher Poller Queue Reconciler ⑤ ⑥ ⑦ ⑨ GET /containers/{id} image.tar ConfigMap (config.yaml) ④ ⑧ Pod・コンテナプロセスコンテナデータファイル OpenClarity スキャン全体図 docker containerd crio ② ⑩ ⑬

OpenClarityの裏側を知りたい

OpenClarityの裏側を知りたい

More Decks by kojake_300

Featured

Transcript