SlideShare a Scribd company logo

コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform

C
Creationline,inc.

20190716 クラスメソッド×クリエーションライン共催イベント「あなたのコンテナ運用大丈夫?コンテナセキュリティの考え方と対応策」の発表資料です。 Aquaの機能を実際のデモ画面をお見せしながらご説明します。

Engineering
1 of 24
Download to read offline
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 2019年7⽉16⽇(⽕) クリエーションライン株式会社 DevOpsTeam ストラテジスト ⽇下 雄正 ソリューションアーキテクト マグルーダー健⼈
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 2
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 3
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Securityのセキュリティイメージ 4 “シフトレフト” 開発チームへの コントロール移譲 脆弱性のスキャン 承認されたイメージのみ 許可 デプロイメントの コントロール シークレット管理 未知の脆弱性や 攻撃から コンテナを守る コントロールの移譲 à インシデントの削減 à コンプライアンスの実現 4 Build Ship Runコンテナ ライフサイクル
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 5 Aqua Security コンポーネント構成 Aqua Cyber Intelligence Aqua Command Center コンテナ コンテナ コンテナ コンテナエンジン ホストOS Aqua Gateway コンテナ Aqua Enforcer コンテナレジストリ CI/CDツール Aquaサーバ クラウド/オンプレ上のホスト コンテナ Micro Enforcer CaaS/サーバレス環境 (例:fargate等) シークレット管理 SIEM/解析ツール ログ管理 Aqua Database コンテナ Micro Enforcer
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 6 Aqua Security の主な機能 No. 機能 概要 1 Image Scan (イメージスキャン) 2 Assurance Policy (イメージスキャン設定) 3 Runtime Policy (ランタイムポリシー) 4 Container Firewall (コンテナファイアウォール) 5 Secrets (シークレット管理) 6 Compliance (コンプライアンス対応) 7 Integration (外部ツール/サービス統合) 8 vShield ←New! (仮想パッチ機能) 後ほどご説明します
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 本⽇ご紹介するAqua Security の機能 7 No. 機能 説明 1 Image Scan (イメージスキャン) 2 Assurance Policy (イメージスキャン設定) 3 Runtime Policy (ランタイムポリシー) 4 Container Firewall (コンテナファイアウォール) 5 Secrets (シークレット管理) 6 Compliance (コンプライアンス対応) 7 Integration (外部ツール/サービス統合) 8 vShield ←New! (仮想パッチ機能) 後ほどご説明します
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 8
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved • AWS EC2インスタンス×2台を⽤意 • Kubernetesシングルクラスタ構成 • AquaSecurity 関連コンポーネントはPod(コンテナ)上で稼働 9 Master Worker Amazon EC2 Amazon EC2 Master Worker Aqua Command Center Aqua Enforcer Container Aqua Gateway Container Jenkins Aqua Enforcer Container JBoss nginx MySQL デモ環境イメージ
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 10 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 11 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 12 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 13 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 14 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 15 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Vulnerability Shield (vShield) とは 16 :(){ :|:& };: :(){ :|:& };: • 既知の脆弱性を狙った攻撃を検知/ブロック • コンテナイメージの内容を変更しないため、開発者の介⼊が不要 • ランタイム(コンテナ)に対して補完的に制御 ☞ 「仮想的なパッチ」です。以下の⽅法により実⾏されます。
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved (課題)コンテナイメージの脆弱性に対応するのは⼤変︕︕ 17 現実、多くの組織が既知の脆弱性が内包されたアプリ(コンテナ)を利⽤して おり、リスクを抱えている RISK CVE disclosed (Vendor Fix Available) Image updated Time to fix • イメージのアップデートは開発者にとって時間を要する • 運⽤上の制約や依存関係の理由で修正対応ができないこともある • とはいえ、脆弱なアプリを停⽌するというのは、通常は選択肢にない
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 18 Aqua vShield は以下のような脆弱性を狙った攻撃を検知/ブロック Host OS 脆弱なネットワークプロトコル、ポート、IP 攻撃に必要とする特定の機能の使⽤ 特定のファイルまたはプロセスへのアクセス 脆弱なパッケージの使⽤ この他にも、Aquaの新しい機能については、 弊社ホームページで⽇本語記事を適時Upしているのでご参照ください。
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 19
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua アーキテクチャ 20
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Life Cycle CI/CD Image Scan Assurance Policy Compliance Secrets User Access Control Runtime Protection Threat Mitigation Container Firewall Build Ship Run Registry Image Scan Host Scanning 21
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 22
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Securityに関するお問い合わせ、および本製品デモのご要望は sales@creationline.com へご連絡ください。 23 以上 ご清聴ありがとうございました
Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved

Recommended

【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ
Hibino Hisashi
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
 
Effective Data Lakes - ユースケースとデザインパターン
Effective Data Lakes - ユースケースとデザインパターンEffective Data Lakes - ユースケースとデザインパターン
Effective Data Lakes - ユースケースとデザインパターン
Noritaka Sekiyama
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
 
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway 20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
 

Recommended

【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ【JEUG】 オープンSIEMの世界へ
【JEUG】 オープンSIEMの世界へ
Hibino Hisashi
 
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS) AWS Black Belt Online Seminar AWS Key Management Service (KMS)
AWS Black Belt Online Seminar AWS Key Management Service (KMS)
Amazon Web Services Japan
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Amazon Web Services Japan
 
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
20190828 AWS Black Belt Online Seminar Amazon Aurora with PostgreSQL Compatib...
Amazon Web Services Japan
 
Effective Data Lakes - ユースケースとデザインパターン
Effective Data Lakes - ユースケースとデザインパターンEffective Data Lakes - ユースケースとデザインパターン
Effective Data Lakes - ユースケースとデザインパターン
Noritaka Sekiyama
 
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
20201028 AWS Black Belt Online Seminar Amazon CloudFront deep dive
Amazon Web Services Japan
 
20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch20190911 AWS Black Belt Online Seminar AWS Batch
20190911 AWS Black Belt Online Seminar AWS Batch
Amazon Web Services Japan
 
20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway 20190514 AWS Black Belt Online Seminar Amazon API Gateway
20190514 AWS Black Belt Online Seminar Amazon API Gateway
Amazon Web Services Japan
 
20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation 20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation
Amazon Web Services Japan
 
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオンAmazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
Amazon Web Services Japan
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation 20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
Amazon Web Services Japan
 
KubernetesでRedisを使うときの選択肢
KubernetesでRedisを使うときの選択肢KubernetesでRedisを使うときの選択肢
KubernetesでRedisを使うときの選択肢
Naoyuki Yamada
 
AWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon KinesisAWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon Kinesis
Amazon Web Services Japan
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
Amazon Web Services Japan
 
20200812 AWS Black Belt Online Seminar Amazon Macie
20200812 AWS Black Belt Online Seminar Amazon Macie20200812 AWS Black Belt Online Seminar Amazon Macie
20200812 AWS Black Belt Online Seminar Amazon Macie
Amazon Web Services Japan
 
AWSではじめるDNSSEC
AWSではじめるDNSSECAWSではじめるDNSSEC
AWSではじめるDNSSEC
Tomohiro Nakashima
 
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
Recruit Lifestyle Co., Ltd.
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
Amazon Web Services Japan
 
KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較
Yoshiyasu SAEKI
 
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
Amazon Web Services Japan
 
Istioサービスメッシュ入門
Istioサービスメッシュ入門Istioサービスメッシュ入門
Istioサービスメッシュ入門
Yoichi Kawasaki
 
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM 20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
Amazon Web Services Japan
 
Kinesis Firehoseを使ってみた
Kinesis Firehoseを使ってみたKinesis Firehoseを使ってみた
Kinesis Firehoseを使ってみた
dcubeio
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
Tomohiro Nakashima
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
 
20200714 AWS Black Belt Online Seminar Amazon Neptune
20200714 AWS Black Belt Online Seminar Amazon Neptune20200714 AWS Black Belt Online Seminar Amazon Neptune
20200714 AWS Black Belt Online Seminar Amazon Neptune
Amazon Web Services Japan
 
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
NTT DATA Technology & Innovation
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Web Services Japan
 
Sdp 201902
Sdp 201902Sdp 201902
Sdp 201902
Masahiro Morozumi
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
 

More Related Content

What's hot

What's hot (20)

20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation 20191001 AWS Black Belt Online Seminar AWS Lake Formation
20191001 AWS Black Belt Online Seminar AWS Lake Formation
 
Amazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオンAmazon Athena 初心者向けハンズオン
Amazon Athena 初心者向けハンズオン
 
20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation 20200826 AWS Black Belt Online Seminar AWS CloudFormation
20200826 AWS Black Belt Online Seminar AWS CloudFormation
 
KubernetesでRedisを使うときの選択肢
KubernetesでRedisを使うときの選択肢KubernetesでRedisを使うときの選択肢
KubernetesでRedisを使うときの選択肢
 
AWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon KinesisAWS Black Belt Online Seminar 2017 Amazon Kinesis
AWS Black Belt Online Seminar 2017 Amazon Kinesis
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
20200812 AWS Black Belt Online Seminar Amazon Macie
20200812 AWS Black Belt Online Seminar Amazon Macie20200812 AWS Black Belt Online Seminar Amazon Macie
20200812 AWS Black Belt Online Seminar Amazon Macie
 
AWSではじめるDNSSEC
AWSではじめるDNSSECAWSではじめるDNSSEC
AWSではじめるDNSSEC
 
分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方分散トレーシングAWS:X-Rayとの上手い付き合い方
分散トレーシングAWS:X-Rayとの上手い付き合い方
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
 
KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較KafkaとAWS Kinesisの比較
KafkaとAWS Kinesisの比較
 
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
20200303 AWS Black Belt Online Seminar AWS Cloud Development Kit (CDK)
 
Istioサービスメッシュ入門
Istioサービスメッシュ入門Istioサービスメッシュ入門
Istioサービスメッシュ入門
 
20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM 20190723 AWS Black Belt Online Seminar AWS CloudHSM
20190723 AWS Black Belt Online Seminar AWS CloudHSM
 
Kinesis Firehoseを使ってみた
Kinesis Firehoseを使ってみたKinesis Firehoseを使ってみた
Kinesis Firehoseを使ってみた
 
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-脆弱性ハンドリングと耐える設計 -Vulnerability Response-
脆弱性ハンドリングと耐える設計 -Vulnerability Response-
 
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
 
20200714 AWS Black Belt Online Seminar Amazon Neptune
20200714 AWS Black Belt Online Seminar Amazon Neptune20200714 AWS Black Belt Online Seminar Amazon Neptune
20200714 AWS Black Belt Online Seminar Amazon Neptune
 
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
JCBの Payment as a Service 実現にむけたゼロベースの組織変革とテクニカル・イネーブラー(NTTデータ テクノロジーカンファレンス ...
 
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデートAmazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
Amazon Game Tech Night #25 ゲーム業界向け機械学習最新状況アップデート
 

Similar to コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform

あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
オラクルエンジニア通信
 
CSCJ_Webcast_20180626_ACI.pdf
CSCJ_Webcast_20180626_ACI.pdfCSCJ_Webcast_20180626_ACI.pdf
CSCJ_Webcast_20180626_ACI.pdf
yojitanaka2
 
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
オラクルエンジニア通信
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
 
20190825_MySQL ServerだけじゃないMySQL Shellもあるんです
20190825_MySQL ServerだけじゃないMySQL Shellもあるんです20190825_MySQL ServerだけじゃないMySQL Shellもあるんです
20190825_MySQL ServerだけじゃないMySQL Shellもあるんです
Machiko Ikoma
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
グローバルセキュリティエキスパート株式会社(GSX)
 
Migrating tocloudnativeapplicationwithusingelasticapm
Migrating tocloudnativeapplicationwithusingelasticapmMigrating tocloudnativeapplicationwithusingelasticapm
Migrating tocloudnativeapplicationwithusingelasticapm
Shotaro Suzuki
 

Similar to コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform (20)

Sdp 201902
Sdp 201902Sdp 201902
Sdp 201902
 
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
あなたはどうデータを守る?クラウド・AI・自動化を使った、みえない脅威との戦い方
 
CSCJ_Webcast_20180626_ACI.pdf
CSCJ_Webcast_20180626_ACI.pdfCSCJ_Webcast_20180626_ACI.pdf
CSCJ_Webcast_20180626_ACI.pdf
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
 
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
[Modern Cloud Day Tokyo 2019] 攻撃を排除し、正しくユーザーを認証・監視、Oracle Cloudのセキュリティ・サービスの概要
 
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
セキュアなサーバーレスアーキテクチャ設計手法の概説 (v0)
 
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
 
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
セキュア・アーキテクティング入門 (クラウド) 2020年4月13日
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
 
20190825_MySQL ServerだけじゃないMySQL Shellもあるんです
20190825_MySQL ServerだけじゃないMySQL Shellもあるんです20190825_MySQL ServerだけじゃないMySQL Shellもあるんです
20190825_MySQL ServerだけじゃないMySQL Shellもあるんです
 
[CTO Night & Day 2019] Blockchain on AWS #ctonight
[CTO Night & Day 2019] Blockchain on AWS #ctonight[CTO Night & Day 2019] Blockchain on AWS #ctonight
[CTO Night & Day 2019] Blockchain on AWS #ctonight
 
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
最近のKeycloakのご紹介 ~クライアントポリシーとFAPI~
 
CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要CCSK (Certificate of Cloud Security Knowledgebase)概要
CCSK (Certificate of Cloud Security Knowledgebase)概要
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
[Oracle Innovation Summit Tokyo 2018] Fn Project: Next Generation Serverless ...
[Oracle Innovation Summit Tokyo 2018] Fn Project: Next Generation Serverless ...[Oracle Innovation Summit Tokyo 2018] Fn Project: Next Generation Serverless ...
[Oracle Innovation Summit Tokyo 2018] Fn Project: Next Generation Serverless ...
 
【Securify】Partner program.pdf
【Securify】Partner program.pdf【Securify】Partner program.pdf
【Securify】Partner program.pdf
 
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
CND(Certified Network Defender:認定ネットワークディフェンダー)のご紹介
 
AWSでアプリ開発するなら 知っておくべこと
AWSでアプリ開発するなら 知っておくべことAWSでアプリ開発するなら 知っておくべこと
AWSでアプリ開発するなら 知っておくべこと
 
Docker国内外本番環境サービス事例のご紹介
Docker国内外本番環境サービス事例のご紹介Docker国内外本番環境サービス事例のご紹介
Docker国内外本番環境サービス事例のご紹介
 
Migrating tocloudnativeapplicationwithusingelasticapm
Migrating tocloudnativeapplicationwithusingelasticapmMigrating tocloudnativeapplicationwithusingelasticapm
Migrating tocloudnativeapplicationwithusingelasticapm
 

More from Creationline,inc.

Opscode overview july2013 jp
Opscode overview july2013 jpOpscode overview july2013 jp
Opscode overview july2013 jp
Creationline,inc.
 

More from Creationline,inc. (11)

Operating kubernetes clusters and applications safely
Operating kubernetes clusters and applications safelyOperating kubernetes clusters and applications safely
Operating kubernetes clusters and applications safely
 
Mongo db world 2018
Mongo db world 2018Mongo db world 2018
Mongo db world 2018
 
MongoDB webiner01
MongoDB webiner01MongoDB webiner01
MongoDB webiner01
 
DevOpsを実践し成功に導くための ”はじめの一歩” 20171003
DevOpsを実践し成功に導くための ”はじめの一歩” 20171003DevOpsを実践し成功に導くための ”はじめの一歩” 20171003
DevOpsを実践し成功に導くための ”はじめの一歩” 20171003
 
What's New in Docker Enterprise Edition (in Japanese)
What's New in Docker Enterprise Edition (in Japanese)What's New in Docker Enterprise Edition (in Japanese)
What's New in Docker Enterprise Edition (in Japanese)
 
Docker webinar 20170616 - Modernize Traditional Apps with Docker Enterprise E...
Docker webinar 20170616 - Modernize Traditional Apps with Docker Enterprise E...Docker webinar 20170616 - Modernize Traditional Apps with Docker Enterprise E...
Docker webinar 20170616 - Modernize Traditional Apps with Docker Enterprise E...
 
Docker Community Edition & Enterprise Edition
Docker Community Edition & Enterprise EditionDocker Community Edition & Enterprise Edition
Docker Community Edition & Enterprise Edition
 
Docker webinar 20170426−01
Docker webinar 20170426−01Docker webinar 20170426−01
Docker webinar 20170426−01
 
Docker webinar 20170426−02
Docker webinar 20170426−02Docker webinar 20170426−02
Docker webinar 20170426−02
 
DevOps - Successful Patterns
DevOps - Successful PatternsDevOps - Successful Patterns
DevOps - Successful Patterns
 
Opscode overview july2013 jp
Opscode overview july2013 jpOpscode overview july2013 jp
Opscode overview july2013 jp
 

コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform

  • 1. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 2019年7⽉16⽇(⽕) クリエーションライン株式会社 DevOpsTeam ストラテジスト ⽇下 雄正 ソリューションアーキテクト マグルーダー健⼈
  • 2. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 2
  • 3. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 3
  • 4. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Securityのセキュリティイメージ 4 “シフトレフト” 開発チームへの コントロール移譲 脆弱性のスキャン 承認されたイメージのみ 許可 デプロイメントの コントロール シークレット管理 未知の脆弱性や 攻撃から コンテナを守る コントロールの移譲 à インシデントの削減 à コンプライアンスの実現 4 Build Ship Runコンテナ ライフサイクル
  • 5. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 5 Aqua Security コンポーネント構成 Aqua Cyber Intelligence Aqua Command Center コンテナ コンテナ コンテナ コンテナエンジン ホストOS Aqua Gateway コンテナ Aqua Enforcer コンテナレジストリ CI/CDツール Aquaサーバ クラウド/オンプレ上のホスト コンテナ Micro Enforcer CaaS/サーバレス環境 (例:fargate等) シークレット管理 SIEM/解析ツール ログ管理 Aqua Database コンテナ Micro Enforcer
  • 6. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 6 Aqua Security の主な機能 No. 機能 概要 1 Image Scan (イメージスキャン) 2 Assurance Policy (イメージスキャン設定) 3 Runtime Policy (ランタイムポリシー) 4 Container Firewall (コンテナファイアウォール) 5 Secrets (シークレット管理) 6 Compliance (コンプライアンス対応) 7 Integration (外部ツール/サービス統合) 8 vShield ←New! (仮想パッチ機能) 後ほどご説明します
  • 7. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 本⽇ご紹介するAqua Security の機能 7 No. 機能 説明 1 Image Scan (イメージスキャン) 2 Assurance Policy (イメージスキャン設定) 3 Runtime Policy (ランタイムポリシー) 4 Container Firewall (コンテナファイアウォール) 5 Secrets (シークレット管理) 6 Compliance (コンプライアンス対応) 7 Integration (外部ツール/サービス統合) 8 vShield ←New! (仮想パッチ機能) 後ほどご説明します
  • 8. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 8
  • 9. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved • AWS EC2インスタンス×2台を⽤意 • Kubernetesシングルクラスタ構成 • AquaSecurity 関連コンポーネントはPod(コンテナ)上で稼働 9 Master Worker Amazon EC2 Amazon EC2 Master Worker Aqua Command Center Aqua Enforcer Container Aqua Gateway Container Jenkins Aqua Enforcer Container JBoss nginx MySQL デモ環境イメージ
  • 10. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 10 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
  • 11. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 11 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
  • 12. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 12 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
  • 13. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 13 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
  • 14. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 14 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
  • 15. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Security 機能紹介 15 No. 機能 説明 1 Image Scan (イメージスキャン) イメージ内に含まれる、既知の脆弱性(CVE)やマルウェア、ハードコーディングさ れたシークレットなど、セキュリティ上のリスクを検知します。 2 Assurance Policy (イメージスキャン設定) イメージスキャンに関する細かな設定を組むことが可能です。 3 Runtime Policy (ランタイムポリシー) 実⾏中のコンテナを監視し、ポリシーにしたがってコンテナの動作を制御/制限し ます。また機械学習によりポリシーを⽣成することも可能です。 4 Container Firewall (コンテナファイアウォール) コンテナのネットワーク接続を視覚化、また、コンテナ単位で接続の許可/拒否を ルール設定できます。 5 Secrets (シークレット管理) コンテナに対して、セキュアな⽅法でパスワードやSSHキーなどのシークレットをデ リバリできます。 6 Compliance (コンプライアンス対応) リスクを⼀覧化し、対応⽅法などを含む詳細レポートを⽣成します。また、イメー ジやコンテナで発⽣した各種セキュリティイベントも収集されます。 7 Integration (外部ツール/サービス統合) Docker Hubなどのレジストリ、JenkinsなどのCI/CDツール、Splunkなどの SIEMサービスなど、さまざまな外部ツールやサービスとの統合/連携が可能です。 8 vShield ←New! (仮想パッチ機能) Runtime Policyの⼀環として、既知の脆弱性を持つ実⾏中コンテナに対して の脆弱性を狙った攻撃を検知/ブロックすることが可能です。
  • 16. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Vulnerability Shield (vShield) とは 16 :(){ :|:& };: :(){ :|:& };: • 既知の脆弱性を狙った攻撃を検知/ブロック • コンテナイメージの内容を変更しないため、開発者の介⼊が不要 • ランタイム(コンテナ)に対して補完的に制御 ☞ 「仮想的なパッチ」です。以下の⽅法により実⾏されます。
  • 17. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved (課題)コンテナイメージの脆弱性に対応するのは⼤変︕︕ 17 現実、多くの組織が既知の脆弱性が内包されたアプリ(コンテナ)を利⽤して おり、リスクを抱えている RISK CVE disclosed (Vendor Fix Available) Image updated Time to fix • イメージのアップデートは開発者にとって時間を要する • 運⽤上の制約や依存関係の理由で修正対応ができないこともある • とはいえ、脆弱なアプリを停⽌するというのは、通常は選択肢にない
  • 18. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved 18 Aqua vShield は以下のような脆弱性を狙った攻撃を検知/ブロック Host OS 脆弱なネットワークプロトコル、ポート、IP 攻撃に必要とする特定の機能の使⽤ 特定のファイルまたはプロセスへのアクセス 脆弱なパッケージの使⽤ この他にも、Aquaの新しい機能については、 弊社ホームページで⽇本語記事を適時Upしているのでご参照ください。
  • 19. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 19
  • 20. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua アーキテクチャ 20
  • 21. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Life Cycle CI/CD Image Scan Assurance Policy Compliance Secrets User Access Control Runtime Protection Threat Mitigation Container Firewall Build Ship Run Registry Image Scan Host Scanning 21
  • 22. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved アジェンダ 1.Aqua Security 概要 2.Aqua Security 機能紹介(デモ) 3.まとめ(AquaSecurityとコンテナのライフサイクル) 22
  • 23. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved Aqua Securityに関するお問い合わせ、および本製品デモのご要望は sales@creationline.com へご連絡ください。 23 以上 ご清聴ありがとうございました
  • 24. Copyright ⓒ2019 CREATIONLINE, INC. All Rights Reserved