コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
1. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
2019年7⽉16⽇(⽕)
クリエーションライン株式会社 DevOpsTeam
ストラテジスト ⽇下 雄正
ソリューションアーキテクト マグルーダー健⼈
2. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
アジェンダ
1.Aqua Security 概要
2.Aqua Security 機能紹介(デモ)
3.まとめ(AquaSecurityとコンテナのライフサイクル)
2
3. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
アジェンダ
1.Aqua Security 概要
2.Aqua Security 機能紹介(デモ)
3.まとめ(AquaSecurityとコンテナのライフサイクル)
3
4. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
Aqua Securityのセキュリティイメージ
4
“シフトレフト”
開発チームへの
コントロール移譲
脆弱性のスキャン
承認されたイメージのみ
許可
デプロイメントの
コントロール
シークレット管理
未知の脆弱性や
攻撃から
コンテナを守る
コントロールの移譲 à インシデントの削減 à コンプライアンスの実現
4
Build Ship Runコンテナ
ライフサイクル
5. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 5
Aqua Security コンポーネント構成
Aqua
Cyber Intelligence
Aqua
Command Center
コンテナ
コンテナ
コンテナ
コンテナエンジン
ホストOS
Aqua Gateway
コンテナ
Aqua Enforcer
コンテナレジストリ
CI/CDツール
Aquaサーバ
クラウド/オンプレ上のホスト
コンテナ
Micro
Enforcer
CaaS/サーバレス環境 (例:fargate等)
シークレット管理
SIEM/解析ツール
ログ管理
Aqua
Database
コンテナ
Micro
Enforcer
8. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
アジェンダ
1.Aqua Security 概要
2.Aqua Security 機能紹介(デモ)
3.まとめ(AquaSecurityとコンテナのライフサイクル)
8
9. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
• AWS EC2インスタンス×2台を⽤意
• Kubernetesシングルクラスタ構成
• AquaSecurity 関連コンポーネントはPod(コンテナ)上で稼働
9
Master Worker
Amazon
EC2
Amazon
EC2
Master Worker
Aqua
Command
Center
Aqua
Enforcer
Container
Aqua
Gateway
Container
Jenkins
Aqua
Enforcer
Container
JBoss
nginx
MySQL
デモ環境イメージ
16. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
Aqua Vulnerability Shield (vShield) とは
16
:(){ :|:& };: :(){ :|:& };:
• 既知の脆弱性を狙った攻撃を検知/ブロック
• コンテナイメージの内容を変更しないため、開発者の介⼊が不要
• ランタイム(コンテナ)に対して補完的に制御
☞ 「仮想的なパッチ」です。以下の⽅法により実⾏されます。
17. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
(課題)コンテナイメージの脆弱性に対応するのは⼤変︕︕
17
現実、多くの組織が既知の脆弱性が内包されたアプリ(コンテナ)を利⽤して
おり、リスクを抱えている
RISK
CVE disclosed (Vendor Fix Available) Image updated
Time to fix
• イメージのアップデートは開発者にとって時間を要する
• 運⽤上の制約や依存関係の理由で修正対応ができないこともある
• とはいえ、脆弱なアプリを停⽌するというのは、通常は選択肢にない
18. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 18
Aqua vShield は以下のような脆弱性を狙った攻撃を検知/ブロック
Host OS
脆弱なネットワークプロトコル、ポート、IP
攻撃に必要とする特定の機能の使⽤
特定のファイルまたはプロセスへのアクセス
脆弱なパッケージの使⽤
この他にも、Aquaの新しい機能については、
弊社ホームページで⽇本語記事を適時Upしているのでご参照ください。
19. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
アジェンダ
1.Aqua Security 概要
2.Aqua Security 機能紹介(デモ)
3.まとめ(AquaSecurityとコンテナのライフサイクル)
19
21. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
Aqua Life Cycle
CI/CD Image Scan
Assurance Policy
Compliance
Secrets
User Access Control
Runtime Protection
Threat Mitigation
Container Firewall
Build Ship Run
Registry Image Scan
Host Scanning
21
22. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
アジェンダ
1.Aqua Security 概要
2.Aqua Security 機能紹介(デモ)
3.まとめ(AquaSecurityとコンテナのライフサイクル)
22
23. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved
Aqua Securityに関するお問い合わせ、および本製品デモのご要望は
sales@creationline.com へご連絡ください。
23
以上
ご清聴ありがとうございました