Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
The State of Container Security in Red Hat Expe...
Search
Shingo.Kitayama
October 06, 2020
Technology
2
540
The State of Container Security in Red Hat Experience
DevSecOps Day Tokyo 2020の発表です。
「Red Hatの経験に基づくコンテナセキュリティのあり方」
https://devsecops-days-tokyo.com/
Shingo.Kitayama
October 06, 2020
Tweet
Share
More Decks by Shingo.Kitayama
See All by Shingo.Kitayama
Why we expect the Microservices
shkitayama
2
400
Why run OpenShift on Google Cloud
shkitayama
1
270
Container Replatform 101
shkitayama
4
1.6k
Red Hat OpenShift Platform Plus - Red Hat Summit Connect 2022
shkitayama
0
610
NVIDIA AI Enterprise for Red Hat OpenShift
shkitayama
0
620
Kubernetes CICD Pipelines Book
shkitayama
2
1.8k
Shipwright Overview
shkitayama
0
1.7k
CloudNative CICD in OpenShift Commons Japan
shkitayama
5
18k
OperatorLifecycleManager 101
shkitayama
5
2.3k
Other Decks in Technology
See All in Technology
AIチャットボット開発への生成AI活用
ryomrt
0
170
Oracle Cloud Infrastructureデータベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
13k
OTelCol_TailSampling_and_SpanMetrics
gumamon
1
180
適材適所の技術選定 〜GraphQL・REST API・tRPC〜 / Optimal Technology Selection
kakehashi
1
680
[CV勉強会@関東 ECCV2024 読み会] オンラインマッピング x トラッキング MapTracker: Tracking with Strided Memory Fusion for Consistent Vector HD Mapping (Chen+, ECCV24)
abemii
0
220
OCI 運用監視サービス 概要
oracle4engineer
PRO
0
4.8k
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
iOS/Androidで同じUI体験をネ イティブで作成する際に気をつ けたい落とし穴
fumiyasac0921
1
110
Why App Signing Matters for Your Android Apps - Android Bangkok Conference 2024
akexorcist
0
130
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
4
230
Lambda10周年!Lambdaは何をもたらしたか
smt7174
2
110
Application Development WG Intro at AppDeveloperCon
salaboy
0
190
Featured
See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
16
2.1k
Building an army of robots
kneath
302
43k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
6
410
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
890
Fashionably flexible responsive web design (full day workshop)
malarkey
405
65k
Into the Great Unknown - MozCon
thekraken
32
1.5k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
Teambox: Starting and Learning
jrom
133
8.8k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Transcript
の経験に基づく コンテナセキュリティのあり方
None
コンテナセキュリティの 実態
「 」の分野だけでも もの製品が対応している。 時点
現場におけるコンテナセキュリティの実態 「既存のセキュリティーツールを使いたいので すが、 と連携できますか?」 “ 「どのツールを使えば安全ですか?」 “ 現場の声
現場におけるコンテナセキュリティの実態 「既存のセキュリティーツールを使いたいので すが、 と連携できますか?」 “ 「どのツールを使えば安全ですか?」 “ 現場の声 そもそも守りたいものは何なのか? サービスが守るべき
セキュリティ基準 コンテナに必要な セキュリティ を 支える運用プロセス
サービスが守るべきセキュリティ基準を決定 クラウドサービスに対するセキュリティ評価、認証、及び継続的あモニタリングに関する標準規格 どこでどのようなサービスを提供するかによって、セキュリティ基準は変わります。 米国における医療保険の携行と責任に関する法律 金融分野における情報システムの安全対策や 技術導入における業界標準ガイドライン クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準 米国国防総省がまとめるクラウドコンピューティングセキュリティガイド
コンテナセキュリティ コンテナセキュリティには、作成されるアプリケーションから、インフラストラクチャまでのすべてが含まれます。 セキュリティをコンテナパイプラインに組み込む インフラストラクチャを保護する
コンテナセキュリティ コンテナセキュリティには、作成されるアプリケーションから、インフラストラクチャまでのすべてが含まれます。 ・ ・ ・ ・ ・ ・ ・ ・
・ セキュリティをコンテナパイプラインに組み込む インフラストラクチャを保護する
コンテナ・インフラストラクチャの保護 どのコンテナが互いに アクセスする必要があるか? ホストのアップデートを どのように管理するか? コンテナの正常性をどのように監視するか? 共有リソース ネットワークとストレージなど へ のアクセスをどのように制御するか?
アプリケーションの自動的なスケーリングを どのように行うか? ホスト は、コンテナデプロイ環境を防御するための大 きな部分を占めます。コンテナプラットフォームに回復力 を持たせるには、 を使用してアプリと環境を 隔離し、ストレージをセキュアに接続します。 検証済み 進行中のモジュール 暗号パッケージのみが 有効になります。
アプリ開発時のセキュリティ イメージ管理のセキュリティ コンテナ運用のセキュリティ コンテナイメージの作成 署名 コンテナイメージの保存 検索 コンテナデプロイと管理
アプリ開発のセキュリティ コンテナイメージは署名済みで、 信頼できるソースから取得されているか? ランタイムレイヤーと は最新のものか? 既知の問題は特定されているか、 その問題はどのように追跡されるか? コンテナはどの程度の期間と頻度で アップデートされているか? コンテナセキュリティは、信頼できるベースイメージを利
用することから始まります。ただし信頼できるイメージを使 用しても、アプリケーションを追加で変わるため、プロアク ティブなコンテンツ管理を念頭に置く必要があります。
イメージ管理のセキュリティ コンテナイメージの管理にどのようなロール ベースのアクセス制御を使用できるか? イメージを分類するタグ付け機能があるか? 各環境ごとにイメージにタグ付けできるか? 既知の脆弱性を追跡できるように、 レジストリから視覚的なデータが得られるか? レジストリを使用してポリシーを割り当てて 自動化できるか? チームが使用するすべてのコンテナイメージへのアクセ
スとプロモーションを管理します。これは、ダウンロードす るイメージと、ビルドするイメージの両方を保護するという ことです。
コンテナ運用のセキュリティ どのようにして、実行中のコンテナへの パッチ適用を防げるのか? トリガーを使用して、コンテナを再ビルドし、 自動アップデートできるか? パイプラインの最後のステップは、デプロイです。問題を 追跡してフラグを立てられるコンポーネント分析ツールを 実行し、自動化されたポリシーベースのデプロイツールを 利用します。 リクエストの変更
実行を許可するかどうかを決定
を 支える運用プロセス
の組織において、 の実 践、組織内の指導者が の理念 に賛同することから始まる。 プロセスを自動化し、一貫したガバナンス を適用するための新しい共同プロセス、テ クノロジー、ツールの開発とともに、組織文 化の変革につながる。 プロジェクトを成功させるためには、この
つの分野すべてを進めなければなりません。
セキュリティをより身近なものにするには
とは、顧客に 価値を提供できる最小限の製品や、それを使っ たアプローチです。 を利用することによって、限られた時間で顧 客のニーズに基づく商品・サービスを構築するこ とができるため、無駄なコストの削減にもつなが る手法として注目されています。 特に政府機関では、 を使用して を採用する指標を設定しています。
運用プロセス改善支援 スクラム コーチ アーキテクト 技術支援 コンサルタント 技術的な課題の問い合わせ、レビュー依頼 ベストプラクティスのアドバイス、レクチャー、ワーク ショップの提供 支援状況、効果測定結果の報告
改善要望のフィードバック
アルゼンチンを行き来する人からの犯罪の脅威をより正確に予測し、移民を 支援するために、国内および からの重要なセキュリティデータを 統合し、国家安全保障データ分析プラットフォームを作成しました。 進化する需要に対応し、革新的な公共サービスをより迅速に開発す るために を設立し、 などのオープ ンソースツールを使用したコラボレーションを実施しました。
まとめ
コンテナセキュリティの運用プロセス変化 コンテナを活用したセキュリティ改善 セキュリティ運用変革 新規 既存システムの継続的セキュリティ改善 コンテナや テクノロジーを活用した、クラウドネイティブな パイプラインの作成、アーキテクチャ改善 既存システムのセキュリティプロセスや運用を自動化し、開発 運用プロ
セスの中に組み込めるように を使いながら確認 時間やコストかけてセキュリティを守るのではなく、アジリティ改善やコス ト削減が継続的に行いながらセキュリティを担保していく組織づくり は、誰もがセキュリティに責任を持つという考え方を構築することです。
「 」は、クラウドインフラおよびセキュ リティエンジニアリングの役割を担う人々が直面している多くの セキュリティの課題対応を支援するために作成されました。 本の中では、以下の要素ごとに役立つアプローチを約 ページに渡って紹介しています。 ・ セキュリティ実施におけるトレードオフ ・ リスクの選別
・ ポリシーの実施 ・ レポート ・ システム構成の検証 など
年 月 日 水 ・ 日 木 ~ 予定(オンライン) 開催
日程 参加 登録 アジア最大規模 のオープンソー スバーチャル イベントとして 開催決定! 日本のお客様向 けの日本語セッ ションもご用意 しております!
None