OpenClarityを覗いてみる

Transcript

1. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityを覗いてみる Copyright ©

   3-shake, Inc. All Rights Reserved. 2025/1/24 SRE Tech Talk #11 1

2. Copyright © 3-shake, Inc. All Rights Reserved. ❏ 某 SIer

   で業務系アプリケーションの保守運用や Devops 推進、 金融機関向けのクラウドアプリケーションの保守運用を経験したの ちスリーシェイクにジョイン ❏ 趣味はサウナ、旅行、サッカー観戦（町田ゼルビア推し） ❏ 注文住宅で家を建てるため専ら各所の土地散策で土日が潰れる ❏ 最近Google Cloud資格全冠取得しました！ 自己紹介 kojake_300 株式会社スリーシェイク Sreake 事業部 2

3. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityはどんなセキュリティツール？ 01 3

4. Copyright © 3-shake, Inc. All Rights Reserved. ソフトウェアサプライチェーンにおけるセキュリティ 4 コーディング

   ビルド パッケージング デプロイ 実行 * 静的解析 * 動的解析 * 脆弱性スキャン * クレデンシャル 情報のスキャン * イメージ署名 * 脆弱性スキャン 依存関係 * イメージ署名 * ランタイムセ キュリティ * ランタイムス キャン ソフトウェアを安全に届けるための最新動向 2022

5. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityがカバーする領域 5 コーディング

   パッケージング デプロイ * クレデンシャル 情報のスキャン * イメージ署名 * 脆弱性スキャン * イメージ署名 * 静的解析 * 動的解析 * 脆弱性スキャン * ランタイムセ キュリティ * ランタイムス キャン ビルド 依存関係 実行 特にココ！

6. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityとは 6 •

   エージェントレスで様々なセキュリティ脅威を検知するオープンソースツール。 • 元々は OpenClarity プロジェクトとして KubeClarity と VMClarity が開発・運用されていたが、 二つの機能を統合しつつ新しい機能を組み込んだ OpenClarityが 2024/10/12にv1.0.0としてリ リースされた。 • セキュリティ脅威の検知はTrivyなどのOSSを使用しており、OpenClarityはUIでのダッシュボード やレポーティングなど、セキュリティの統合プラットフォームのようなイメージ。 Project announcement: OpenClarity #882 https://openclarity.io/docs/features/#scanning

7. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのランタイムスキャン 7 #

   機能 ツール群 2 脆弱性スキャン エクスプロイト取得 3 クレデンシャルスキャン 4 マルウェアスキャン 5 ミスコンフィグレーションスキャン 6 ルートキットスキャン 7 - Grype - Trivy 1 SBOM生成*** - Syft - Windows Registry* - Trivy - Cyclonedx-gomod - Go exploit db - Secrets - ClamAV - YARA - Lynis** - KICS*** - CIS Docker benchmark - Chkrootkit** * : Windowsのみ ** : Linux and MacOSのみ *** : CLIのみ スキャン時に1つ以上のOSSツール を使用します。 出力する際は1つにマージするた め、より漏れのないスキャン結果 を取得することが可能です。

8. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityのアーキテクチャ 8 https://openclarity.io/docs/usage/openclarity_stack/

9. Copyright © 3-shake, Inc. All Rights Reserved. その他の機能 9 •

   AWS / Google Cloudといったクラウドプロバイダーで使用しているVMをスキャン可能 • プラグイン機能があり、指定したツールを追加してランタイムスキャンが可能* • AWSに限り、コスト見積もりが可能* * : CLIのみ

10. Copyright © 3-shake, Inc. All Rights Reserved. OpenClarityでk8sのランタイムスキャンを実施 してみよう 02

    10

11. Copyright © 3-shake, Inc. All Rights Reserved. セットアップ 11 公式ドキュメントの通り

    k8s クラスタにインストールする。 https://openclarity.io/docs/getting-started/deploy-kubernetes/#deployment-steps providerはkubernetesを設定します。これによりクラスタ内で動作して いるコンテナのディスカバリとスキャンが可能になります。

12. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 12 New

    scan configurationをクリック。

13. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 13 スキャン名とスキャン対象を設定。

    スキャン対象はODATA $filterの構文で記載 します。

14. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 14 SBOMとVulnerabilitiesをチェック。

    SBOMにチェックをしないとVulnerabilitiesによ る脆弱性スキャンがエラーになります。 また、SBOMにチェックを入れてもSBOMをダウ ンロードする機能はありません。

15. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 15 実行時間はNowを選択。

16. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 16 スキャンジョブを何台起動するかを設定。今回はデフォルトの２。

17. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 17 設定が完了。

18. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 18 しばらくするとスキャンジョブが起動する。

19. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 19 スキャンが完了すると✅マークが表示される。

20. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 20 スキャン結果を確認可能。

    アセットに紐づく脆弱性一覧を取得する機能 は現在ありません。 脆弱性一覧から関連する脆弱性に紐づくア セットを確認する必要があります。 https://github.com/openclarity/openclarity/issues/671

21. Copyright © 3-shake, Inc. All Rights Reserved. ランタイムスキャン 21 スキャン結果を確認可能。

22. Copyright © 3-shake, Inc. All Rights Reserved. ダッシュボード 22 ダッシュボードで脆弱性数の推移を確認可能。

23. Copyright © 3-shake, Inc. All Rights Reserved. まとめ 03 23

24. Copyright © 3-shake, Inc. All Rights Reserved. まとめ 24 •

    OpenClarityは複数のスキャンツールを使用し結果をマージして出力するため、より漏れなく情報 量の多いスキャン結果を出力できる。 • 足りない機能が多いものの、若いツールであるため今後の開発に期待。 今回は時間がなくざっくりとした説明 になりましたが、 機会があればよりDeep Diveした内容 で発表します

25. Copyright © 3-shake, Inc. All Rights Reserved. 25 ご清聴ありがとうございました