Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナセキュリティってどうなってるの?

Avatar for Satoru MIYAZAKI Satoru MIYAZAKI
August 03, 2019
Technology
2
640

 コンテナセキュリティってどうなってるの?

#OSCKYOTO 2019 LTで話した内容です。
コンテナセキュリティに関する議論のきっかけになれば良いと思います。

Avatar for Satoru MIYAZAKI

Satoru MIYAZAKI

August 03, 2019
Tweet

More Decks by Satoru MIYAZAKI

See All by Satoru MIYAZAKI
どこのご家庭にもあるOpenSolarisを、ZFSで有効活用
Avatar for Satoru MIYAZAKI smiyaza
0
240
How to secure container environment
Avatar for Satoru MIYAZAKI smiyaza
0
630
コンテナ環境をセキュアに運用する方法 #osc20on
Avatar for Satoru MIYAZAKI smiyaza
0
1.1k
コンテナのセキュリティについて考えよう osc2020tk
Avatar for Satoru MIYAZAKI smiyaza
6
1.2k
コンテナのセキュリティについて考えよう osc2019tk
Avatar for Satoru MIYAZAKI smiyaza
1
180
コンテナのセキュリティについて考えよう
Avatar for Satoru MIYAZAKI smiyaza
0
920
平成元年度に卒業した高専生が、令和元年の高専生に伝えたいこと
Avatar for Satoru MIYAZAKI smiyaza
2
260
如何にPHP7.3.3のDockerイメージを作るか
Avatar for Satoru MIYAZAKI smiyaza
0
1k
KUSANAGI RoDの紹介
Avatar for Satoru MIYAZAKI smiyaza
0
1.2k

Other Decks in Technology

See All in Technology
「技術的にできません」を越えて価値を生み出せ──研究開発チームをPMが率いて生み出した価値創出
Avatar for Takahiro Yamaguchi hiro93n
1
320
技術選定 したい人 したくない人
Avatar for ShirayanagiRyuji shirayanagiryuji
0
350
使って学ぼう MCP (と GitHub Codespaces)
Avatar for Yuta Matsumura tsubakimoto_s
1
220
GoとWasmでつくる軽量ブラウザUI
Avatar for kyo keyl0ve
0
130
バニラVisaギフトカードを棄てるのは結構大変
Avatar for meow meow_noisy
0
130
AITuberKit+Bedrock AgentCoreで作る 3Dキャラクターエージェント
Avatar for yoko / Naoki Yokomachi yokomachi
2
1.5k
ブログの作成に音声AIツールを使って音声入力しようとした話
Avatar for Makky12 smt7174
1
170
全自動で回せ!Claude Codeマーケットプレイス運用術
Avatar for ugo yukyu30
3
130
サンタコンペ2025完全攻略 ~お前らの焼きなましは遅すぎる~
Avatar for terry-u16 terryu16
1
320
Agentic Codingの実践とチームで導入するための工夫
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
140
失敗できる意思決定とソフトウェアとの正しい歩き方_-_変化と向き合う選択肢/ Designing for Reversible Decisions
Avatar for soudai sone soudai
PRO
7
500
三菱UFJ銀行におけるエンタープライズAI駆動開発のリアル / Enterprise AI_Driven Development at MUFG Bank: The Real Story
Avatar for 三菱UFJインフォメーションテクノロジー株式会社 muit
9
16k

Featured

See All Featured
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
75
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
Learning to Love Humans: Emotional Interface Design
Avatar for Aarron Walter aarron
275
41k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
59
50k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
6.8k
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
180
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
1k
Agile Actions for Facilitating Distributed Teams - ADO2019
Avatar for Mark Kilby mkilby
0
130
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
35k
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
Avatar for UX Y'all uxyall
0
190
Ten Tips & Tricks for a 🌱 transition
Avatar for Manu Carrasco Molina stuffmc
0
80
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.1k

Transcript

  1. コンテナのセキュリティって どうなってるの? OSC2019 KYOTO(8/3) LT みやざき さとる

  2. 言うなれば運命共同体 • コンテナ=アプリケーションコンテナとする • いわゆる、Docker、Kubernetes を想定している • cgroupとLinux Usernamespaceでリソースを分離 •

    コンテナはカーネルを持たない • 必要なアプリケーションとライブラリ、 パッケージを含む

  3. nodeA node間 接続 TLS VxLAN 互いに頼り、互いに庇い合い、互いに助け合う • ノード内のコンテナ同士の通信は プライベートなブリッジ •

    ノード間通信は、Docker Swarmでは TLS化されている • Kubernetesでは、ノード通信を VxLAN経由で行われTLS化されている • コンテナ外からは限定された ポートのみ接続 nodeB front Container Container Container Container Container Container

  4. node OS/カーネル 一人が五人のために、五人が一人のために • すべてを非特権ユーザーで動作させる • ホスト側でコンテナデーモン動作 • コンテナ側でアプリケーション動作 •

    よりセキュアにプロセスを動作させる コンテナデーモン 非特権ユーザ アプリケーション 非特権ユーザ アプリケーション 非特権ユーザ コンテナ

  5. だからこそ戦場で生きられる • コンテナはイメージで配布 • イメージはレイヤ構造 • イメージ作成時に脆弱性スキャンが可能 • Wazuh •

    Vuls • Gitlab(Clair) • trivy • etc… Container Application Layer Middleware Layer Base OS Layer

  6. 分隊は家族、分隊は兄弟 • コンテナ内に余計なものがない • ネットワークは分離・暗号化されている • コンテナ及びアプリケーションを 非特権ユーザで動作 • コンテナイメージは脆弱性スキャンしている

    • だからコンテナはセキュア?

  7. 嘘を言うな!

  8. 猜疑に歪んだ暗い瞳がせせら笑う • 日々、脆弱性は発見される • ベースOS/ライブラリ/アプリケーション/ パッケージ(pip/gem/npm…)の更新 • ゼロデイ攻撃、マルウェアによる被害 • 長期稼働時での意図しない動作

  9. 無能、怯懦、虚偽、杜撰 • 定期的に実施 • アプリケーションの動作確認 • イメージの更新 • イメージの脆弱性確認 •

    不正な動作を検知

  10. どれ一つ取っても戦場では命取りとなる。 • 定期的に脆弱性スキャンを行わないと 実サービスに影響が発生 • コンテナのランタイム検知を行うOSSは少ない Wazuh、falcoなどなど • 不正なファイル更新 •

    不正な動作 • 不正な通信 • 脆弱性の検知

  11. それらを纏めて無謀で括る • 事前にセキュリティ計画を立てる • イメージの更新タイミング • コンテナの寿命 • コンテナデプロイの容易さ •

    外側からのアプリケーション動作の確認 • 不正通信の検知 • etc…

  12. 誰が仕組んだ地獄やら、兄弟家族が嗤わせる • 定期的に以下の処理実行する仕組みが必要 • イメージ再作成 • イメージ検査 • アプリケーション動作確認 •

    デプロイ • コンテナの寿命を短くする • すべてを手動で行うとツライので、 ある程度は自動化

  13. お前も、お前も、お前も • 一貫した開発・セキュリティ・運用が必要 • Development • どの言語、ライブラリで作成するか • アプリケーションの静的解析 •

    脆弱性に対するアプリケーション確認 • Security • セキュリティ基準の策定 • DevとOpsに対するセキュリティ対策支援 • Operations • イメージアップデート、コンテナデプロイ • 監視

  14. だからこそ、俺のために死ね! • セキュリティ施策が立てられないなら お金の力で解決する! • セキュリティに強い人を雇う • コンテナセキュリティ製品の導入 • AQUA

    Cloudnaitive Security Platform • NeuVector • sysdig platform/monitor/secure • Tufin Iris/Orca • twistlock • etc…

  15. 我々は何のために集められたのか 次回「未定」