Enviar búsqueda
Cargar
1-コンテナセキュリティの勘所
•
0 recomendaciones
•
233 vistas
K
KotaSato3
Seguir
1-コンテナセキュリティの勘所
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 31
Descargar ahora
Descargar para leer sin conexión
Recomendados
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
satoru koyama
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
Toshiharu Harada, Ph.D
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
ソフトウェア資産管理とIT投資マネジメントの関係性
ソフトウェア資産管理とIT投資マネジメントの関係性
Tetsu Kawata
20180528_VxRailCC_Backup_NW宮本
20180528_VxRailCC_Backup_NW宮本
VxRail ChampionClub
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
Recomendados
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
なぜ情報漏洩事故は繰り返されるのか? ~当社の運用事例にみる、サイバー攻撃の実際と効果的な対策~ NTTコミュニケーションズ セキュリティ・エバンジェリス...
satoru koyama
闘うITエンジニアのためのLinuxセキュリティ講座
闘うITエンジニアのためのLinuxセキュリティ講座
Toshiharu Harada, Ph.D
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
あなたもなれる 【セキュリティエンジニア】 EC-Council 情報セキュリティエンジニア育成トレーニングコース「 "セキュリティエンジニア" に! お...
グローバルセキュリティエキスパート株式会社(GSX)
ソフトウェア資産管理とIT投資マネジメントの関係性
ソフトウェア資産管理とIT投資マネジメントの関係性
Tetsu Kawata
20180528_VxRailCC_Backup_NW宮本
20180528_VxRailCC_Backup_NW宮本
VxRail ChampionClub
日本企業がとるべき サイバーセキュリティ戦略
日本企業がとるべき サイバーセキュリティ戦略
日本ヒューレット・パッカード株式会社
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
【Interop tokyo 2014】 ビッグデータを活用し、被害を予見! シスコの新たなセキュリティ運用モデル
シスコシステムズ合同会社
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
グローバルセキュリティエキスパート株式会社(GSX)
Certified network defender
Certified network defender
Trainocate Japan, Ltd.
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
グローバルセキュリティエキスパート株式会社(GSX)
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Masahiko Sawada
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
Tomohiko Yamakawa
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
Nobukazu Yoshioka
Atomsystem
Atomsystem
HANAKOATOM
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
Asuka Nakajima
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
オラクルエンジニア通信
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
Masaya Ishikawa
HeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical Preview
Yuji Kubota
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
RWSJapan
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
Fumitaka Takeuchi
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID Foundation Japan
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
Yurika Kakiuchi
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Más contenido relacionado
Similar a 1-コンテナセキュリティの勘所
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
グローバルセキュリティエキスパート株式会社(GSX)
Certified network defender
Certified network defender
Trainocate Japan, Ltd.
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
グローバルセキュリティエキスパート株式会社(GSX)
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Masahiko Sawada
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
Tomohiko Yamakawa
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Masaaki Nabeshima
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
Nobukazu Yoshioka
Atomsystem
Atomsystem
HANAKOATOM
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
Asuka Nakajima
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
オラクルエンジニア通信
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
Masaya Ishikawa
HeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical Preview
Yuji Kubota
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
RWSJapan
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
Fumitaka Takeuchi
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID Foundation Japan
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
Takeshi Takahashi
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
Yurika Kakiuchi
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Yurika Kakiuchi
Similar a 1-コンテナセキュリティの勘所
(20)
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
Certified network defender
Certified network defender
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)
Atomsystem
Atomsystem
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
HeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical Preview
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
Último
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
sn679259
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
CRI Japan, Inc.
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
Toru Tamaki
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
iPride Co., Ltd.
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
atsushi061452
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Hiroshi Tomioka
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
WSO2
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
Toru Tamaki
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
CRI Japan, Inc.
Último
(11)
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その32024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
Amazon SES を勉強してみる その22024/04/26の勉強会で発表されたものです。
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
知識ゼロの営業マンでもできた!超速で初心者を脱する、悪魔的学習ステップ3選.pptx
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
LoRaWAN スマート距離検出デバイスDS20L日本語マニュアル
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
論文紹介:Selective Structured State-Spaces for Long-Form Video Understanding
新人研修 後半 2024/04/26の勉強会で発表されたものです。
新人研修 後半 2024/04/26の勉強会で発表されたものです。
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
論文紹介: The Surprising Effectiveness of PPO in Cooperative Multi-Agent Games
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Observabilityは従来型の監視と何が違うのか(キンドリルジャパン社内勉強会:2022年10月27日発表)
Utilizing Ballerina for Cloud Native Integrations
Utilizing Ballerina for Cloud Native Integrations
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
論文紹介:Video-GroundingDINO: Towards Open-Vocabulary Spatio-Temporal Video Groun...
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
LoRaWANスマート距離検出センサー DS20L カタログ LiDARデバイス
1-コンテナセキュリティの勘所
1.
© JTP Co.,
Ltd. All Rights Reserved. 2022/11/30 コンテナセキュリティの勘所 千⽥ 泰史 JTP株式会社 技官、エバンジェリスト
2.
© JTP Co.,
Ltd. All Rights Reserved. きょうの⽬標 • コンテナとKubernetesとOpenShiftのおさらいをする • コンテナセキュリティの範囲を知る • コンテナセキュリティのリスクと脅威を知る • コンテナセキュリティガイドラインを知る • コンテナセキュリティの代表的なツールを知る • コンテナセキュリティについて網羅的に学習する⽅法を知る 2
3.
会社概要 © JTP Co.,
Ltd. All Rights Reserved.
4.
会 社 名 本
社 所 在 地 設 ⽴ 1987年(昭和62年)10⽉31⽇ 従 上 場 業 市 員 場 435名 東証JASDAQスタンダード 証券コード2488 事 業 内 容 JTP株式会社 東京都品川区北品川4-7-35 御殿⼭トラストタワー 海外ITメーカー教育・保守・運⽤等 アウトソーシング事業 海外医療機器の法規制対応・販売・保守 ⼈⼯知能サービス開発 IBM Silver Business Partner AWS アドバンスドコンサルティングパートナー LINE 公式パートナー SoftBank ONESHIP Partner 認 定 パ ー ト ナ ー © JTP Co., Ltd. All Rights Reserved.
5.
当社の強み Cloud by default Clould-First Hybrid-Cloud Cloud-Centric Multi-Cloud K8s
& OpenShift 仮想化 2015 2018 2021~ 2020 AWS祭り ソリューションアーキテクト ・アソシエイト 100名 ・プロフェッショナル 20名 コンテナ ・CKA 100名 JTPは「テクノロジードリブン」な会社です マルチクラウド ・クラウド資格 200名 © JTP Co., Ltd. All Rights Reserved. Data Engineering
6.
© JTP Co.,
Ltd. All Rights Reserved. 6 JTP株式会社 ⼈財育成コンサルティング事業部、技官、エバンジェリスト 千⽥ 泰史 ち だ やすふ み 茅ヶ崎⽣まれ、⼤阪神⼾+茨城育ち、横浜在住、⼆児の⽗ • 講師⽣活27年 Red Hat、Microsoft、VMwareほか、ベンダー認定講師 インフラ、ネットワーク、仮想システム、コンテナ • Ansible, K8s, OpenShift, NSX-T, OpenStack, Linux Kernel etc. l 趣味: l 特技: l ⽇課: キャンプ、読書、ゲーム、ボドゲ、料理、カラオケ、 外国語(英仏中露韓)、最近ウクライナ語を始めました 朝ラン3キロ、懸垂20回、腹筋ローラー50往復、オンライン英会話 About me
7.
コンテナセキュリティー • コンテナライフサイクルの安全性を保全する絶え間ない能動的な営み • ITインフラ全体のセキュリティ項⽬のなかの部分集合 •
従来型の(コンテナ以前の)セキュリティ対策+α • 可視化の難しさ • 終了したコンテナの事後分析(Post-mortem analysis)の課題 • 狭義ではコンテナ実⾏環境のセキュリティー • コンテナブレイクアウト • 広義ではクラウドネイティブセキュリティー 今回はコチラ!! 7 © JTP Co., Ltd. All Rights Reserved.
8.
脆弱性の例 8 © JTP Co.,
Ltd. All Rights Reserved. • CVE-2022-0185 • Kernel 内 Filesystem Context脆弱性・・・バッファオーバーフローからの⾮特権ユーザーの権限昇格 • CVE-2022-0492 • cgroupsの脆弱性・・・特権への昇格、コンテナブレイクアウト • CVE-2022-23648 • containerdの脆弱性・・・イメージ設定次第でコンテナホストの読み取り専⽤ファイルに書き込みアクセス
9.
コンテナ技術のおさらい • OSやインフラ環境にかかわらずアプリケーションを⼀貫して確実に実⾏することを可能にする • コード、ランタイム、ライブラリ、設定など、サービスの実⾏に必要なすべてのものをバンドルした、 ポータブルかつスタンドアロンな実⾏可能パッケージを作成し、共有、実⾏する •
環境を「汚さずに」ソフトウェアを利⽤することができる • カーネルに「コンテナ機能」と呼べるような単⼀の機能が実装されて実現しているわけではない • コンテナOSのカーネルを共有し、そのカーネルの機能によって隔離されて実⾏されるプロセスである • 隔離の⽅式はランタイムによって異なる アプリケーションが依存しているライブラリがあるが、 コンテナは依存関係のあるものをカプセル化して実⾏ 資料 © JTP Co., Ltd. All Rights Reserved.
10.
Kubernetes のおさらい • Kubernetes
= コンテナにとっての「OS」 • コンテナオーケストレーション基板のデファクトスタンダード • オンプレミス、パブリッククラウド、マルチクラウド対応に対応した、クラウドネイティブアプリケーションの実⾏ 基盤 資料 10 © JTP Co., Ltd. All Rights Reserved.
11.
OpenShiftのおさらい • Kubernetesを内包するPaaS基板 • Kubernetesの⼀(いち)ディストリビューション(Red
Hat製) • エンタープライズに最適化されたKubernetesベースのコンテナプラットフォーム • ただでさえ便利な Kubernetes上に、Red Hat社が便利な機能を追加してくれていて、そのうえサポートまでしてく れる! 資料 11 © JTP Co., Ltd. All Rights Reserved.
12.
⽤語の確認 • 以下のセキュリティ3要素を維持することが⽬標 • 機密性(Confidentiality) •
完全性(Integrity) • 可⽤性(Availability) • セキュリティリスク • 脅威(Threat) • 漏洩、改竄、破壊などの攻撃、マルウェア、エクスプロイトなど • 脆弱性(Vulnerability) • 脅威を誘引する⽋陥 • 不具合、設計ミス、実装ミス、バグ、設定ミス、弱点など 12 © JTP Co., Ltd. All Rights Reserved.
13.
情報セキュリティの基本戦略 13 © JTP Co.,
Ltd. All Rights Reserved. • 多層防御:Defense in Depth • 何層にもわたってセキュリティ対策を施すこと • 「セキュリティは破られる」という前提で、複数の⼿法を組み合わせてる • 最⼩特権の原則:Principle of Least Privilege • アクセス元のユーザーやプロセスに必要最低限の権限を付与し、余分な権限を与えないこと • 攻撃対象領域の削減:Attack Surface Reduction • 攻撃対象領域は、攻撃者によって侵害される可能性のある全てのデジタル資産を含む • 攻撃対象領域は、攻撃者が侵⼊する起点のみならず、侵⼊後に踏み台となる機器や、重要なデータの保存場所も含む • 攻撃者が攻撃できる余地、好きをできる限り少なくすること
14.
© JTP Co.,
Ltd. All Rights Reserved. クラウドネイティブセキュリティの “4c”モデル https://kubernetes.io/ja/docs/concepts/security/overvi 1 e 4 w/ Cloud Cluster Container Code Clusterをデプロイするインフラ インフラセキュリティ、ネットワークセキュリティ クラウドごとのセキュリティ設定 Containerを動作させる基盤、オーケストレーター クラスタレベルのリソース設定、制限 Namespace/Node/Pod/Volumeの分離、制限 APIサーバー、etcd等の制御プレーンの分離、暗号化 Codeを実⾏するコンテナおよびその実⾏環境 カーネル資源の分離、制限 コンテナに含まれるアプリケーション セキュアコーディング、アプリケーションセキュリティ コンテナ環境におけるセキュリティモデルの1つ
15.
クラウドネイティブセキュリティの “4c”モデル ー コンテナ環境におけるセキュリティモデルの1つ Code コンテナに含まれるアプリケーション セキュアコーディング、アプリケーションセキュリティ Container
Codeを実⾏するコンテナおよびその実⾏環境 カーネル資源の分離、制限 Cluster Containerを動作させる基盤、オーケストレータ クラスタレベルのリソース設定、制限 Namespace/Node/Pod/Volumeの分離、制限 APIサーバー、etcd等の制御プレーンの分離、暗号化 Cloud Clusterをデプロイするインフラ インフラセキュリティ、ネットワークセキュリティ クラウドごとのセキュリティ設定 © JTP Co., Ltd. All Rights Reserved. https://kubernetes.io/ja/docs/concepts/security/overvi15 ew/ • Cloud • クラウドプロバイダー各社のセキュリティベストプラクティス • 物理セキュリティ • ネットワーク、物理サーバー • Cluster • Kubernetesセキュリティベストプラクティス • Namespace / Node / Pod セキュリティ、分離、アクセス制限 • APIサーバー、etcd等コントロールプレーンセキュリティ設定 • Container • コンテナイメージ署名 • コンテナ脆弱性スキャン • コンテナランタイム制御 • Code • コード解析 • ライブラリーの脆弱性チェック • 通信ポートの公開制限、TLS
16.
© JTP Co.,
Ltd. All Rights Reserved. • Cloud • クラウドプロバイダー各社のセキュリティベストプラクティス • 物理セキュリティ • ネットワーク、物理サーバー • Cluster • Kubernetesセキュリティベストプラクティス • Namespace / Node / Pod セキュリティ、分離、アクセス制限 • APIサーバー、etcd等コントロールプレーンセキュリティ設定 • Container • コンテナイメージ署名 • コンテナ脆弱性スキャン • コンテナランタイム制御 • Code • コード解析 • ライブラリーの脆弱性チェック C l o u d • 通信ポートの公開制限、TLS クラウドネイティブセキュリティの “4c”モデル 特に注⽬する部分
17.
コンテナセキュリティのガイドライン NIST 800-SP190 コンテナ Build Push Run Pull イメージ イメージ コンテナ イメージ コンテナ イメージ コンテナ イメージ •
National Institute of Standards and Technology(⽶国⽴標準技術研究所)発⾏ • NIST 800-SP190は「Application Container Security Guide」 • 原⽂ https://csrc.nist.gov/publications/detail/sp/800-190/final • IPAによる和訳 https://www.ipa.go.jp/security/publications/nist/ • コンテナ環境に特有のリスクとその対策について記述 コンテナレジストリー 開発者 オーケストレーター 開発・テスト環境 プロダクション環境 ホストOS ホストOS インフラ インフラ 管理者 17 © JTP Co., Ltd. All Rights Reserved. イメージ イメージ イメージ
18.
NIST 800-SP190 に⽰されている潜在的リスク コンテナレジストリー コンテナ Build Push Run Pull イメージ イメージ
イメージ イメージ コンテナ コンテナ コンテナ イメージ イメージ イメージ イメージ ・3.1節:イメージリスク ・3.2節:レジストリリスク ・3.3節:オーケストレーターリスク ・3.4節:コンテナリスク ・3.5節:ホストOSリスク コンテナ環境のあらゆるところにリスクがある! 開発者 オーケストレーター 開発・テスト環境 プロダクション環境 ホストOS ホストOS インフラ インフラ 管理者 18 © JTP Co., Ltd. All Rights Reserved.
19.
NIST 800-SP190 に⽰されている潜在的リスク ・3.1節:イメージリスク ・3.2節:レジストリリスク
コンテナ環境のあらゆるところにリスクがある ! ・3.3節:オーケストレーターリスク ・3.4節:コンテナリスク ・3.5節:ホストOSリスク コンテナレジストリー Push イメージ イメージ イメージ Pull コンテナ コンテナ コンテナ コンテナ Build Run イメージ イメージ イメージ イメージ イメージ 開発者 オーケストレーター 開発・テスト環境 ホストOS ホストOS プロダクション環境 インフラ インフラ 管理者 © JTP Co., Ltd. All Rights Reserved. 19 サプライチェーン攻撃への対策 前提は「信頼できるコンテナイメージ」 そのための考え⽅: Secure By Design DevSecOps シフトレフト(Shift-Left) https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/security-by-design.html https://www.sqat.jp/tamatebako/7205/
20.
© JTP Co.,
Ltd. All Rights Reserved. リスクへの対策 項⽬ リスクの例 対策 イメージ 脆弱性を含むイメージ 悪意のあるイメージ 信頼できないイメージ イメージ内の機密情報 悪⽤されやすいソフトウェア(開発ツール等) 不正な(指定外の)イメージ 脆弱性スキャン 機密データの分離 署名付きイメージ パブリックレジストリ禁⽌ 不要なパッケージの除去/加算アプローチの採⽤ 開発プロセスへのセキュリティ組み込み ベースイメージ、パッケージの継続的な更新 SBoMの利⽤ レジストリ 通信傍受 脆弱性を含むイメージ 不適切なアクセス権 TLS暗号化 脆弱性スキャン機能のあるレジストリの利⽤ アカウント管理の徹底 コンテナ 特権コンテナの利⽤ マルウェアの組み込み、実⾏ ランタイム脆弱性によるコンテナブレイクアウト 特権コンテナの実⾏禁⽌(seccomp / Capabilities / LSM ) rootfsファイルシステムの保護 隔離レベルの異なる適切なコンテナランタイムの選択 (runC, kata containers, gVisor, etc.) オーケストレーター デフォルト設定のまま本番環境を運⽤ 設定ミス 機密情報のトラフィック 適切な設定 適切な運⽤・管理 監視 APIアクセス、アカウント、権限の制限 通信の制限、フィルタリング(netpol / FW / TLS ) ホストOS OSの脆弱性 OSのバグ リソース不⾜ コンテナ⽤OSを利⽤(汎⽤ではなく) Closedなネットワークへの配置 マネージドサービスの利⽤ CIS benchmarkなどの適⽤ 20 SBoM (Software Bill of Materials): ソフトウェアの「部品表」
21.
© JTP Co.,
Ltd. All Rights Reserved. 攻撃⼿法を知る・・・MITRE ATT&CK • MITRE (マイター)は、情報セキュリティ研究の⾮営利団体 https://attack.mitre.org/ • 情報セキュリティの脅威となる攻撃の⼿⼝(Techniques)を観察、収集し、集計し、ナレッジベース化 • ATT&CK = Adversarial Tactics, Techniques, and Common Knowledge 参考:共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)ID を採番しているのもこの MITREである https://cve.mitre.org/ • コンテナセキュリティを対象として、⽶国Microsoft社が纏め直したものが ”for K8s” → 次⾴ https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/ (初版) https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat- matrix-for-kubernetes/ (改訂版) • 攻撃者が取る⾏動に着⽬し、⼿⼝を分類したもの • 昨今、どのような攻撃が来ているのかが分かる 参考:同様のものとして、Cyber Kill Chainがある https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html 21
22.
攻撃⼿法を知る・・・MITRE ATT&CK for
K8s • MITRE (マイター)は、情報セキュリティ研究の⾮営利団体 • 情報セキュリティの脅威となる攻撃の⼿⼝(Techniques)を観察、収集し、集計し、ナレッジベース化している • ATT&CK = Adversarial Tactics, Techniques, and Common Knowledge • これを元に、⽶国Microsoft社は、コンテナセキュリティを主眼として纏め直したものが上記のもの • https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/ (初版) • https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat- matrix-for-kubernetes/ (改訂版) © JTP Co., Ltd. All Rights Reserved. 22 https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/
23.
ガイドラインあれこれ 先に紹介した NIST 800-SP190
/ MITRE ATT&CK に加えて、以下のものも読んでみましょう • CIS Benchmarks https://www.cisecurity.org/benchmark • ⽶国Center for Internet Securityが作成し、公開しているセキュリティベストプラクティス集 • さまざまプラットフォーム、OSのためのバージョンがあり、K8s版を CIS Kubernetes Benchmarkと いう https://www.cisecurity.org/benchmark/kubernetes • OSSのみならず、クラウド各社マネージドサービス向けのベンチマークもある • OWASP cheat sheets https://cheatsheetseries.owasp.org/ • ⽶国Open Web Application Security Projectが作成し、公開しているセキュリティベストプラクティス集 • OWASP Top 10 https://owasp.org/Top10/ja/ • 同団体が発⾏している、Webアプリケーションセキュリティについてのリスク集 • OWASP K8s Top 10 https://owasp.org/www-project-kubernetes-top-ten/ • NSA CISA Kubernetes Hardening Guide • https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF • ⽶国National Security AgencyおよびCybersecurity and Infrastructure Security Agencyが発⾏するガイダンス • 主に、国家安全保障システムに携わるシステム管理者や開発者が対象 • Kubernetes本家 • https://kubernetes.io/ja/docs/concepts/security/overview/ • https://kubernetes.io/ja/docs/concepts/security/pod-security-standards/ • https://kubernetes.io/blog/2021/10/05/nsa-cisa-kubernetes-hardening-guidance/ 23 © JTP Co., Ltd. All Rights Reserved.
24.
代表的なツール まだまだあります。知りたいときは・・・→(次⾴) 24 © JTP Co.,
Ltd. All Rights Reserved.
25.
CNCF Landscape https://l.cncf.io Security &
compliance は このへんにあります 25 © JTP Co., Ltd. All Rights Reserved.
26.
コンテナセキュリティの認定資格 • Linux Foundation
主催の認定資格 • CKA: Certified Kubernetes Administrator • CKAD: Certified Kubernetes Application Developer • CKS: Certified Kubernetes Security Specialist © JTP Co., Ltd. All Rights Reserveh d.ttps://training.linuxfoundation.org/ja/certification/certified-kubernetes-security-sp2 e 6 cialist/
27.
CKS試験の概要 27 © JTP Co.,
Ltd. All Rights Reserved. 項⽬ 内容 試験時間 120分間 問題数 20問程度 合格ライン 67% 受験の条件 有効期間内のCKA認定 形式 パフォーマンスベース(監視下でのオンライン、ハンズオン) 有効期間 2年間 受験料 $395 (たまにセールあり)
28.
CKS試験の出題範囲と出題割合 • クラスター設定(10%) • ネットワーク
セキュリティ ポリシーを使⽤してクラスタ レベルのアクセスを制限する • CISベンチマークを使⽤して、Kubernetesコンポーネントのセキュリティ構成を確認する(etcd、kubelet、kubedns、kubeapi) • セキュリティ制御によりIngressオブジェクトを適切に設定する • ノードのメタデータとエンドポイントを保護する • GUI要素の使⽤とアクセスを最⼩化する • デプロイ前にプラットフォーム バイナリを確認する • クラスター強化(15%) • Kubernetes APIへのアクセスを制限する • ロール ベース アクセス コントロールを使⽤して、露出を最⼩限に抑える • サービスアカウントを使⽤する際の注意事項を実践する(新しく作成したサービスアカウントについてのデフォルト禁⽌や権限の 最⼩化など) • Kubernetesを頻繁に更新する • システムの強化(15%) • ホストOSのフットプリントを最⼩化する(攻撃対象を減らす)IAMロールを最⼩限に抑える ネットワークへの外部アクセスを最⼩限に抑える AppArmor、seccompなどのカーネル強化ツールを適切に使⽤する 詳細:https://github.com/cncf/curriculum 28 © JTP Co., Ltd. All Rights Reserved.
29.
CKS試験の出題範囲と出題割合 • マイクロサービスの脆弱性を最⼩限に抑える(20%) • 適切な
OS レベルのセキュリティ ドメインをセットアップする • Kubernetesシークレットを管理する • マルチテナント環境(gvisor、kataコンテナなど)でコンテナ ランタイム サンドボックスを使⽤する • mTLSを使⽤してPod間の暗号化を⾏う • サプライチェーンのセキュリティ(20%) • 基本画像のフットプリントを最⼩化する • サプライチェーンを保護する:許可されたレジストリをホワイトリストに登録し、画像に署名して検証する • ユーザー ワークロード(Kubernetesリソース、Dockerファイルなど)の静的分析を使⽤する • 既知の脆弱性に関する画像をスキャンする • モニタリング、ロギング、ランタイムセキュリティ(20%) • ホストおよびコンテナ レベルでsyscallプロセスやファイルのアクティビティについて⾏動分析し、悪意のあるアクティビティを 検出する • 物理インフラ、アプリ、ネットワーク、データ、ユーザー、およびワークロード内の脅威を検出する • 発⽣場所や発⽣⽅法を問わず、あらゆるフェーズの攻撃を検出する • 詳細な分析調査を⾏い、環境内に存在する悪役を特定する • 実⾏時のコンテナの不変性を確保する • 監査ログを使⽤してアクセスを監視する 詳細:https://github.com/cncf/curriculum 29 © JTP Co., Ltd. All Rights Reserved.
30.
きょうのまとめ 30 © JTP Co.,
Ltd. All Rights Reserved. • コンテナとKubernetesとOpenShiftのおさらいをする • コンテナセキュリティの範囲を知る • コンテナセキュリティのリスクと脅威を知る • コンテナセキュリティガイドラインを知る • コンテナセキュリティの代表的なツールを知る • コンテナセキュリティについて網羅的に学習する⽅法を知る
31.
Thank you. © JTP
Co., Ltd. All Rights Reserved. 2019.5 早朝 静岡県 ふもとっぱらキャンプ場から望む富⼠⼭ またお⽬にかかりましょう
Descargar ahora