Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ACM 2.2 Update / ACS セミナー for OMPP
Search
Yuhki Hanada
June 18, 2021
Technology
0
200
ACM 2.2 Update / ACS セミナー for OMPP
ACM 2.2 Update と ACS についての概要セミナーです。
Yuhki Hanada
June 18, 2021
Tweet
Share
More Decks by Yuhki Hanada
See All by Yuhki Hanada
あちこちにある署名の世界
yuhkih
0
98
OpenShift IPI/UPI 解体新書
yuhkih
0
1.1k
Zenn用の挿絵(OpenShift 4.8 を vSphere 上にIPIインストールする)
yuhkih
0
4.4k
OMPP SRE Workshsop 2021 Day 4
yuhkih
0
2.9k
監視の世界へようこそ
yuhkih
0
69
OpenShift と Kubernetes の違い
yuhkih
2
990
OpenShift の基礎 コンテナのメリット
yuhkih
0
170
ACM 2.3 install memo
yuhkih
0
65
ACS (Advanced Cluster Security) 旧 StackRox 資料
yuhkih
0
3.6k
Other Decks in Technology
See All in Technology
Amazon_CloudWatch_ログ異常検出_導入ガイド
tsujiba
4
1.6k
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
9
120k
とあるユーザー企業におけるリスクベースで考えるセキュリティ業務のお話し
4su_para
3
320
10分でわかるfreee エンジニア向け会社説明資料
freee
18
520k
生成AIの強みと弱みを理解して、生成AIがもたらすパワーをプロダクトの価値へ繋げるために実践したこと / advance-ai-generating
cyberagentdevelopers
PRO
1
180
「最高のチューニング」をしないために / hack@delta 24.10
fujiwara3
21
3.4k
Apple/Google/Amazonの決済システムの違いを踏まえた定期購読課金システムの構築 / abema-billing-system
cyberagentdevelopers
PRO
1
220
サイバーエージェントにおける生成AIのリスキリング施策の取り組み / cyber-ai-reskilling
cyberagentdevelopers
PRO
2
200
チームを主語にしてみる / Making "Team" the Subject
ar_tama
4
310
10分でわかるfreeeのQA
freee
1
3.4k
visionOSでの空間表現実装とImmersive Video表示について / ai-immersive-visionos
cyberagentdevelopers
PRO
1
110
MAMを軸とした動画ハンドリングにおけるAI活用前提の整備と次世代ビジョン / abema-ai-mam
cyberagentdevelopers
PRO
1
110
Featured
See All Featured
The World Runs on Bad Software
bkeepers
PRO
65
11k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
37
1.8k
Teambox: Starting and Learning
jrom
132
8.7k
For a Future-Friendly Web
brad_frost
175
9.4k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
6.9k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
7.9k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
364
22k
Ruby is Unlike a Banana
tanoku
96
11k
Side Projects
sachag
452
42k
Code Reviewing Like a Champion
maltzj
519
39k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
Making Projects Easy
brettharned
115
5.9k
Transcript
2021/06/18 ACM 2.2 Update & ACS セミナー for OMPP OMPP
(Red Hat OpenShift Managed Practice Program)
2 本日の OMPP Update アジェンダ 1. ACM for Kubernetes 製品概要
(おさらい) 2. Submariner のご紹介 3. Submariner デモ 4. ACS for Kubernetes 製品概要 5. ACS 概要 6. ACS デモ
Cloud Solution Architect Yuhki Hanada ACM for Kubernetes Update
4 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster
services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds
5 HUB Cluster API Server API Server API Server API
Server API Server TLS Spoke Clusters Managed Clusters ACM for Kubernetes の概要 Hub Cluster のサポートは、OpenShift 4.4.3 以降 / 4.5.2以降 / 4.6.1以降 サポートのバージョンは資料作成時点の情報です。 詳細はこちらRed Hat Advanced Cluster Management for Kubernetes 2.2 Support Matrix - Red Hat Customer Portal GKE/EKS/IBM K8S/ AKS ACM 用の専用のクラスタが推奨 (Master + Worker) 管理される側のクラスターには「multicluster-endpoint」というネームスペースと管理のために必要な pod 等のリソースが作成されます。 ACM Hub ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod ACM 管理用Pod 専用namespace が作られ、そこに導入されます。
Submariner (ACM 2.2 Tech Preview)
Worker Node Passive Gateway Node Active Gatway Node IPSEC トンネリング
Passive Gateway Node Worker Node Worker Node Worker Node Kubernetes Cluster A Kubernetes Cluster B Route Agent Gateway Engine Active Gatway Node fail over Lighthouse Agent Kubernetes Cluster (Broker) Broker Kubernetes API server Submariner Kubernetes 間をプライベートなネットワークで接続する Submariner - 赤帽エンジニアブログ (hatenablog.com)
Submariner デモ その他、参考になるブログ: Geographically Distributed Stateful Workloads Part One: Cluster
Preparation (openshift.com) Geographically Distributed Stateful Workloads Part Two: CockroachDB (openshift.com) デモビデオ
ACS (Advanced Cluster Security) for Kubernetes 製品概要 Cloud Solution Architect
Yuhki Hanada
StackRox の概要 • コンソール含め、Kubernetes クラスター上のアプリとして稼働 • Build / Deploy /
Runtime(運用中) 時に、Policyに適合しているかチェック。 • Jenkins 側に脆弱性情報を提供し、Build時にひっかかった脆弱性情報を Jenkinsの中で 参照できる。 • Image Scanning ツールは、独自のもあるがQuay等も使用可能 • Policy は標準で、CIS benchmark、PCI、HIIPA、NIST 800-190/800-53等を持って いる。それ以外は自作する必要がある(Custom Policy)。 アーキテクチャー図 ダッシュボード Policyの設定 Build/Deploy/Runtimeのどの時点で、 このPolicyを有効にするか選択できる https://www.youtube.com/watch?v=1cHjGaCDtRQ
StackRox 導入企業様事例 Customers | StackRox より StackRoxの顧客は、SaaS、フィンテック、政府機 関を含め、様々な地域や業界にわたっています。 今日、クラウドネイティブ企業、フォーチュン500 企業、政府機関のDevOpsチームやセキュリティ・
チームは、StackRoxに基づいて、コンテナのライフ サイクル全体にわたってセキュリティやコンプライ アンス・ポリシーを実装しています。 StackRoxのソフトウェアは、Kubernetesネイティ ブなコンテナ・セキュリティ・プラットフォームと してIron Bankアーティファクト・リポジトリに含 まれ、米国国防総省(DoD:Departiment of Defence)のエンタープライズDevSecOpsコンテナ 強化ガイドへの準拠が認定されるとともに、自動テ ストおよびコンテナ・セキュリティを実現するため にDoDによる使用が認可されています
US Air Force、アメリカ国防総省 (Department of Defense) 事例 StackRox delivers container
and Kubernetes security to US Air Force | HG Insights 「継続的に革新的なソフトウェアを 提供し、アプリケーションとデータ の安全性を確保することは、我々の 準備態勢にとって不可欠です。我々 は、コンテナとKubernetesをベー スにした迅速な革新のためのハード リングされた環境として、Platform Oneソフトウェア・ファクトリーを 構築しました。 StackRoxがKubernetesネイティブ なアーキテクチャを活用してその環 境を保護してくれることで、ビルド からデプロイ、ランタイムまで、ア プリケーションのライフサイクル全 体でセキュリティを提供することが できます」(米空軍のロブ・スロー ター少佐)
13 Enterprise Kubernetes from Red Hat Data-driven insights Kubernetes cluster
services Automated Ops ⠇Over-the-air updates ⠇Monitoring ⠇Logging ⠇Registry ⠇Networking ⠇Router ⠇Virtualization ⠇OLM ⠇Helm Linux (container host OS) Kubernetes (orchestration) Service mesh ⠇Serverless Builds ⠇CI/CD pipelines Log management Cost management Platform services Languages & runtimes API management Integration Messaging Process Automation Application services Developer CLI ⠇IDE Plugins & extensions CodeReady Workspaces CodeReady Containers Developer services クラウド・ネイティブ アプリのビルド ワークロード管理 マルチクラスター管理 Observability | Discovery ⠇Policy ⠇Compliance ⠇Configuration ⠇Workloads Databases ⠇Cache Data ingest & prep Data analytics ⠇AI/ML Data mgmt & resilience Data services 高度なセキュリティ機能 Declarative security ⠇ Vulnerability management ⠇ Network segmentation ⠇ Threat detection & response 開発者の生産性 OpenShift Kubernetes Engine OpenShift Container Platform Red Hat Advanced Cluster Management for Kubernetes (ACM) Red Hat Advanced Cluster Security for Kubernetes (ACS) OpenShift ファミリー OpenShift Plus Global registry Image management | Security scanning | Geo- replication Mirroring | Image builds
Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML)
RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。
Host Host ACS のカバレッジ コンテナのベース・ イメージ(外部) ユーザーが作成し た独自のイメージ 新しいコンテナの作成 マニフェスト(YAML)
RHEL8のイメージ Ubuntuのイメージ テスト Kubernetes Host RHEL8 ユーザー コンテナ ユーザー コンテナ RHEL8 ユーザー コンテナ プログ ラム 実行 環境 + + = 使用するイメージ レプリカ数 PVのサイズ etc GitHub Quay Red Hat Eco System Catalog オーケストレーター管理者の設定 root 権限での実行 不十分なコンテナ間分離 Host にアクセス アプリの脆弱性 コンテナランタイムの設定 Docker Hub Docker Registry 適当なストレージ イメージの「ビルド」 マニフェストの作成 ③コンテナのリスク ⑤ホストOSのリスク ②レジストリのリスク ①イメージのリスク 知的財産の流出 秘密鍵の埋め込まれたコンテナ 出所不明のイメージ 脆弱性(意図的な埋込) 脆弱性(古いイメージ) レジストリへのアクセス権限 脆弱性(古いイメージ) OSへの侵入 脆弱性の放置 ④オーケストレータ ーのリスク ※ 文言は、NIST SP800-190 をそのまま書き写しているわけではなく、抜粋アレンジしています。 コンテナオーケストレーター セキュアなアクセス Kubernetes の世界では、ユーザーが k8sに直接 アプリをインストールする事はなく、k8sが「マ ニフェスト」に書かれたイメージをレジストリー から引っ張ってくる。 レジストリ レジストリ レジストリ Kubernetes の世界では、 アプリケーションの不具合、 脆弱性の「パッチ適用」は、 ここで行われる。 ACSのカバー範囲 ※Registry, CI/CD ツー ル / Kuberentes そのも のは含まない ※この部分は Kuberentes に格納された後 に見られ ている
ACSアーキテクチャー 16 Architecture
DevSecOps とシフトレフト 17 Image scanning Registries CI/CD tools DevOps notification
SIEM Build Secure supply chain Deploy Secure infrastructure Run Secure workloads Policy engine API AWS Security Hub Run anywhere OpenShift Amazon EKS Google GKE Azure AKS 3rd Party ツール群 ビルド時に、危険な構成や、 脆弱性を見つけて開発者に エラーを返す コンテナが Kuberentes に Deploy される前にイ メージに問題が無いか チェック コンテナ内から必要 の無いプログラムが 起動していないか等 セキュリティの対策は、できるだけ開発の初期から行う(シフト・レフト)
ACS ダッシュボード 一覧 詳細 コンプライアンス遵守状況 Policy 違反状況 • ACSが把握している状況を一 覧で把握するためのメインの
ダッシュボード • デフォルトの Policy、ユー ザー定義の Policy の違反状 況 • コンプライアンスのベンチマ ークの遵守状況 (CIS / HIPAA / NIST SP 800-190 / NIST SP 800-53 / PCI DSS) 詳細 Dashboard 一覧
ACS デモ 19
リソース • マニュアル (StackRox) https://help.stackrox.com/ • デモビデオ (440) OCB: StackRox
Overview and Demo - YouTube
Q&A
Red Hat is the world’s leading provider of enterprise open
source software solutions. Award-winning support, training, and consulting services make Red Hat a trusted adviser to the Fortune 500. Thank you 22