Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
コンテナセキュリティってどうなってるの?
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Satoru MIYAZAKI
August 03, 2019
Technology
640
2
Share
コンテナセキュリティってどうなってるの?
#OSCKYOTO 2019 LTで話した内容です。
コンテナセキュリティに関する議論のきっかけになれば良いと思います。
Satoru MIYAZAKI
August 03, 2019
More Decks by Satoru MIYAZAKI
See All by Satoru MIYAZAKI
どこのご家庭にもあるOpenSolarisを、ZFSで有効活用
smiyaza
0
250
How to secure container environment
smiyaza
0
640
コンテナ環境をセキュアに運用する方法 #osc20on
smiyaza
0
1.1k
コンテナのセキュリティについて考えよう osc2020tk
smiyaza
6
1.2k
コンテナのセキュリティについて考えよう osc2019tk
smiyaza
1
190
コンテナのセキュリティについて考えよう
smiyaza
0
920
平成元年度に卒業した高専生が、令和元年の高専生に伝えたいこと
smiyaza
2
260
如何にPHP7.3.3のDockerイメージを作るか
smiyaza
0
1k
KUSANAGI RoDの紹介
smiyaza
0
1.2k
Other Decks in Technology
See All in Technology
Physical AI on AWS リファレンスアーキテクチャ / Physical AI on AWS Reference Architecture
aws_shota
1
300
AWSで2番目にリリースされたサービスについてお話しします(諸説あります)
yama3133
0
110
GitHub Advanced Security × Defender for Cloudで開発とSecOpsのサイロを超える: コードとクラウドをつなぐ、開発プラットフォームのセキュリティ
yuriemori
1
120
Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを 一緒にやると何がいいのか~
a2ush
0
190
やさしいとこから始めるGitHubリポジトリのセキュリティ
tsubakimoto_s
3
2.1k
Sansanの認証基盤を支えるアーキテクチャとその振り返り
sansantech
PRO
1
150
JSTQB Expert Levelシラバス 「テストマネジメント」日本語版のご紹介
ymty
0
110
パワポ作るマンをMCP Apps化してみた
iwamot
PRO
0
290
QA組織のAI戦略とAIテスト設計システムAITASの実践
sansantech
PRO
1
310
LLMに何を任せ、何を任せないか
cap120
11
6.9k
JEDAI認定プログラム JEDAI Order 2026 受賞者一覧 / JEDAI Order 2026 Winners
databricksjapan
0
480
トイルを超えたCREは何屋になるのか
bengo4com
0
120
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
528
40k
Music & Morning Musume
bryan
47
7.1k
We Analyzed 250 Million AI Search Results: Here's What I Found
joshbly
1
1.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Art, The Web, and Tiny UX
lynnandtonic
304
21k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
210
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.4k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.1k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
81
Docker and Python
trallard
47
3.8k
The Curious Case for Waylosing
cassininazir
0
280
How to make the Groovebox
asonas
2
2.1k
Transcript
コンテナのセキュリティって どうなってるの? OSC2019 KYOTO(8/3) LT みやざき さとる
言うなれば運命共同体 • コンテナ=アプリケーションコンテナとする • いわゆる、Docker、Kubernetes を想定している • cgroupとLinux Usernamespaceでリソースを分離 •
コンテナはカーネルを持たない • 必要なアプリケーションとライブラリ、 パッケージを含む
nodeA node間 接続 TLS VxLAN 互いに頼り、互いに庇い合い、互いに助け合う • ノード内のコンテナ同士の通信は プライベートなブリッジ •
ノード間通信は、Docker Swarmでは TLS化されている • Kubernetesでは、ノード通信を VxLAN経由で行われTLS化されている • コンテナ外からは限定された ポートのみ接続 nodeB front Container Container Container Container Container Container
node OS/カーネル 一人が五人のために、五人が一人のために • すべてを非特権ユーザーで動作させる • ホスト側でコンテナデーモン動作 • コンテナ側でアプリケーション動作 •
よりセキュアにプロセスを動作させる コンテナデーモン 非特権ユーザ アプリケーション 非特権ユーザ アプリケーション 非特権ユーザ コンテナ
だからこそ戦場で生きられる • コンテナはイメージで配布 • イメージはレイヤ構造 • イメージ作成時に脆弱性スキャンが可能 • Wazuh •
Vuls • Gitlab(Clair) • trivy • etc… Container Application Layer Middleware Layer Base OS Layer
分隊は家族、分隊は兄弟 • コンテナ内に余計なものがない • ネットワークは分離・暗号化されている • コンテナ及びアプリケーションを 非特権ユーザで動作 • コンテナイメージは脆弱性スキャンしている
• だからコンテナはセキュア?
嘘を言うな!
猜疑に歪んだ暗い瞳がせせら笑う • 日々、脆弱性は発見される • ベースOS/ライブラリ/アプリケーション/ パッケージ(pip/gem/npm…)の更新 • ゼロデイ攻撃、マルウェアによる被害 • 長期稼働時での意図しない動作
無能、怯懦、虚偽、杜撰 • 定期的に実施 • アプリケーションの動作確認 • イメージの更新 • イメージの脆弱性確認 •
不正な動作を検知
どれ一つ取っても戦場では命取りとなる。 • 定期的に脆弱性スキャンを行わないと 実サービスに影響が発生 • コンテナのランタイム検知を行うOSSは少ない Wazuh、falcoなどなど • 不正なファイル更新 •
不正な動作 • 不正な通信 • 脆弱性の検知
それらを纏めて無謀で括る • 事前にセキュリティ計画を立てる • イメージの更新タイミング • コンテナの寿命 • コンテナデプロイの容易さ •
外側からのアプリケーション動作の確認 • 不正通信の検知 • etc…
誰が仕組んだ地獄やら、兄弟家族が嗤わせる • 定期的に以下の処理実行する仕組みが必要 • イメージ再作成 • イメージ検査 • アプリケーション動作確認 •
デプロイ • コンテナの寿命を短くする • すべてを手動で行うとツライので、 ある程度は自動化
お前も、お前も、お前も • 一貫した開発・セキュリティ・運用が必要 • Development • どの言語、ライブラリで作成するか • アプリケーションの静的解析 •
脆弱性に対するアプリケーション確認 • Security • セキュリティ基準の策定 • DevとOpsに対するセキュリティ対策支援 • Operations • イメージアップデート、コンテナデプロイ • 監視
だからこそ、俺のために死ね! • セキュリティ施策が立てられないなら お金の力で解決する! • セキュリティに強い人を雇う • コンテナセキュリティ製品の導入 • AQUA
Cloudnaitive Security Platform • NeuVector • sysdig platform/monitor/secure • Tufin Iris/Orca • twistlock • etc…
我々は何のために集められたのか 次回「未定」
SiteGround - Reliable hosting with speed, security, and support you can count on.
smiyaza
aws_shota
yama3133
yuriemori
a2ush
tsubakimoto_s
sansantech
ymty
iwamot
cap120
databricksjapan
bengo4com
maltzj
bryan
joshbly
smashingmag
lynnandtonic
techseoconnect
marcduiker
inesmontani
akademiya2063
trallard
cassininazir
asonas
