SlideShare a Scribd company logo
1 of 31
Download to read offline
© JTP Co., Ltd. All Rights Reserved.
2022/11/30
コンテナセキュリティの勘所
千⽥ 泰史
JTP株式会社 技官、エバンジェリスト
© JTP Co., Ltd. All Rights Reserved.
きょうの⽬標
• コンテナとKubernetesとOpenShiftのおさらいをする
• コンテナセキュリティの範囲を知る
• コンテナセキュリティのリスクと脅威を知る
• コンテナセキュリティガイドラインを知る
• コンテナセキュリティの代表的なツールを知る
• コンテナセキュリティについて網羅的に学習する⽅法を知る
2
会社概要
© JTP Co., Ltd. All Rights Reserved.
会 社 名
本 社 所 在 地
設 ⽴ 1987年(昭和62年)10⽉31⽇
従
上 場
業
市
員
場
435名
東証JASDAQスタンダード 証券コード2488
事 業 内 容
JTP株式会社
東京都品川区北品川4-7-35 御殿⼭トラストタワー
海外ITメーカー教育・保守・運⽤等 アウトソーシング事業
海外医療機器の法規制対応・販売・保守
⼈⼯知能サービス開発
IBM Silver Business Partner
AWS アドバンスドコンサルティングパートナー
LINE 公式パートナー
SoftBank ONESHIP Partner
認 定 パ ー ト ナ ー
© JTP Co., Ltd. All Rights Reserved.
当社の強み
Cloud by default
Clould-First
Hybrid-Cloud
Cloud-Centric
Multi-Cloud
K8s & OpenShift
仮想化
2015 2018 2021~
2020
AWS祭り
ソリューションアーキテクト
・アソシエイト 100名
・プロフェッショナル 20名
コンテナ
・CKA 100名
JTPは「テクノロジードリブン」な会社です
マルチクラウド
・クラウド資格 200名
© JTP Co., Ltd. All Rights Reserved.
Data Engineering
© JTP Co., Ltd. All Rights Reserved.
6
JTP株式会社 ⼈財育成コンサルティング事業部、技官、エバンジェリスト
千⽥ 泰史 ち だ やすふ み
茅ヶ崎⽣まれ、⼤阪神⼾+茨城育ち、横浜在住、⼆児の⽗
• 講師⽣活27年 Red Hat、Microsoft、VMwareほか、ベンダー認定講師
インフラ、ネットワーク、仮想システム、コンテナ
• Ansible, K8s, OpenShift, NSX-T, OpenStack, Linux Kernel etc.
l 趣味:
l 特技:
l ⽇課:
キャンプ、読書、ゲーム、ボドゲ、料理、カラオケ、
外国語(英仏中露韓)、最近ウクライナ語を始めました
朝ラン3キロ、懸垂20回、腹筋ローラー50往復、オンライン英会話
About me
コンテナセキュリティー
• コンテナライフサイクルの安全性を保全する絶え間ない能動的な営み
• ITインフラ全体のセキュリティ項⽬のなかの部分集合
• 従来型の(コンテナ以前の)セキュリティ対策+α
• 可視化の難しさ
• 終了したコンテナの事後分析(Post-mortem analysis)の課題
• 狭義ではコンテナ実⾏環境のセキュリティー
• コンテナブレイクアウト
• 広義ではクラウドネイティブセキュリティー 今回はコチラ!!
7
© JTP Co., Ltd. All Rights Reserved.
脆弱性の例
8
© JTP Co., Ltd. All Rights Reserved.
• CVE-2022-0185
• Kernel 内 Filesystem Context脆弱性・・・バッファオーバーフローからの⾮特権ユーザーの権限昇格
• CVE-2022-0492
• cgroupsの脆弱性・・・特権への昇格、コンテナブレイクアウト
• CVE-2022-23648
• containerdの脆弱性・・・イメージ設定次第でコンテナホストの読み取り専⽤ファイルに書き込みアクセス
コンテナ技術のおさらい
• OSやインフラ環境にかかわらずアプリケーションを⼀貫して確実に実⾏することを可能にする
• コード、ランタイム、ライブラリ、設定など、サービスの実⾏に必要なすべてのものをバンドルした、
ポータブルかつスタンドアロンな実⾏可能パッケージを作成し、共有、実⾏する
• 環境を「汚さずに」ソフトウェアを利⽤することができる
• カーネルに「コンテナ機能」と呼べるような単⼀の機能が実装されて実現しているわけではない
• コンテナOSのカーネルを共有し、そのカーネルの機能によって隔離されて実⾏されるプロセスである
• 隔離の⽅式はランタイムによって異なる
アプリケーションが依存しているライブラリがあるが、
コンテナは依存関係のあるものをカプセル化して実⾏
資料
© JTP Co., Ltd. All Rights Reserved.
Kubernetes のおさらい
• Kubernetes = コンテナにとっての「OS」
• コンテナオーケストレーション基板のデファクトスタンダード
• オンプレミス、パブリッククラウド、マルチクラウド対応に対応した、クラウドネイティブアプリケーションの実⾏
基盤
資料
10
© JTP Co., Ltd. All Rights Reserved.
OpenShiftのおさらい
• Kubernetesを内包するPaaS基板
• Kubernetesの⼀(いち)ディストリビューション(Red Hat製)
• エンタープライズに最適化されたKubernetesベースのコンテナプラットフォーム
• ただでさえ便利な Kubernetes上に、Red Hat社が便利な機能を追加してくれていて、そのうえサポートまでしてく
れる!
資料
11
© JTP Co., Ltd. All Rights Reserved.
⽤語の確認
• 以下のセキュリティ3要素を維持することが⽬標
• 機密性(Confidentiality)
• 完全性(Integrity)
• 可⽤性(Availability)
• セキュリティリスク
• 脅威(Threat)
• 漏洩、改竄、破壊などの攻撃、マルウェア、エクスプロイトなど
• 脆弱性(Vulnerability)
• 脅威を誘引する⽋陥
• 不具合、設計ミス、実装ミス、バグ、設定ミス、弱点など
12
© JTP Co., Ltd. All Rights Reserved.
情報セキュリティの基本戦略
13
© JTP Co., Ltd. All Rights Reserved.
• 多層防御:Defense in Depth
• 何層にもわたってセキュリティ対策を施すこと
• 「セキュリティは破られる」という前提で、複数の⼿法を組み合わせてる
• 最⼩特権の原則:Principle of Least Privilege
• アクセス元のユーザーやプロセスに必要最低限の権限を付与し、余分な権限を与えないこと
• 攻撃対象領域の削減:Attack Surface Reduction
• 攻撃対象領域は、攻撃者によって侵害される可能性のある全てのデジタル資産を含む
• 攻撃対象領域は、攻撃者が侵⼊する起点のみならず、侵⼊後に踏み台となる機器や、重要なデータの保存場所も含む
• 攻撃者が攻撃できる余地、好きをできる限り少なくすること
© JTP Co., Ltd. All Rights Reserved.
クラウドネイティブセキュリティの “4c”モデル
https://kubernetes.io/ja/docs/concepts/security/overvi
1
e
4
w/
Cloud
Cluster
Container
Code
Clusterをデプロイするインフラ
インフラセキュリティ、ネットワークセキュリティ
クラウドごとのセキュリティ設定
Containerを動作させる基盤、オーケストレーター
クラスタレベルのリソース設定、制限
Namespace/Node/Pod/Volumeの分離、制限
APIサーバー、etcd等の制御プレーンの分離、暗号化
Codeを実⾏するコンテナおよびその実⾏環境
カーネル資源の分離、制限
コンテナに含まれるアプリケーション
セキュアコーディング、アプリケーションセキュリティ
コンテナ環境におけるセキュリティモデルの1つ
クラウドネイティブセキュリティの “4c”モデル
ー
コンテナ環境におけるセキュリティモデルの1つ
Code コンテナに含まれるアプリケーション
セキュアコーディング、アプリケーションセキュリティ
Container Codeを実⾏するコンテナおよびその実⾏環境
カーネル資源の分離、制限
Cluster Containerを動作させる基盤、オーケストレータ
クラスタレベルのリソース設定、制限
Namespace/Node/Pod/Volumeの分離、制限
APIサーバー、etcd等の制御プレーンの分離、暗号化
Cloud Clusterをデプロイするインフラ
インフラセキュリティ、ネットワークセキュリティ
クラウドごとのセキュリティ設定
© JTP Co., Ltd. All Rights Reserved.
https://kubernetes.io/ja/docs/concepts/security/overvi15
ew/
• Cloud
• クラウドプロバイダー各社のセキュリティベストプラクティス
• 物理セキュリティ
• ネットワーク、物理サーバー
• Cluster
• Kubernetesセキュリティベストプラクティス
• Namespace / Node / Pod セキュリティ、分離、アクセス制限
• APIサーバー、etcd等コントロールプレーンセキュリティ設定
• Container
• コンテナイメージ署名
• コンテナ脆弱性スキャン
• コンテナランタイム制御
• Code
• コード解析
• ライブラリーの脆弱性チェック
• 通信ポートの公開制限、TLS
© JTP Co., Ltd. All Rights Reserved.
• Cloud
• クラウドプロバイダー各社のセキュリティベストプラクティス
• 物理セキュリティ
• ネットワーク、物理サーバー
• Cluster
• Kubernetesセキュリティベストプラクティス
• Namespace / Node / Pod セキュリティ、分離、アクセス制限
• APIサーバー、etcd等コントロールプレーンセキュリティ設定
• Container
• コンテナイメージ署名
• コンテナ脆弱性スキャン
• コンテナランタイム制御
• Code
• コード解析
• ライブラリーの脆弱性チェック
C
l
o
u
d
• 通信ポートの公開制限、TLS
クラウドネイティブセキュリティの “4c”モデル
特に注⽬する部分
コンテナセキュリティのガイドライン NIST 800-SP190
コンテナ
Build
Push
Run
Pull
イメージ
イメージ
コンテナ
イメージ
コンテナ
イメージ
コンテナ
イメージ
• National Institute of Standards and Technology(⽶国⽴標準技術研究所)発⾏
• NIST 800-SP190は「Application Container Security Guide」
• 原⽂ https://csrc.nist.gov/publications/detail/sp/800-190/final
• IPAによる和訳 https://www.ipa.go.jp/security/publications/nist/
• コンテナ環境に特有のリスクとその対策について記述
コンテナレジストリー
開発者
オーケストレーター
開発・テスト環境 プロダクション環境
ホストOS
ホストOS
インフラ
インフラ
管理者
17
© JTP Co., Ltd. All Rights Reserved.
イメージ イメージ イメージ
NIST 800-SP190 に⽰されている潜在的リスク
コンテナレジストリー
コンテナ
Build
Push
Run
Pull
イメージ
イメージ イメージ イメージ
コンテナ コンテナ コンテナ
イメージ
イメージ イメージ イメージ
・3.1節:イメージリスク
・3.2節:レジストリリスク
・3.3節:オーケストレーターリスク
・3.4節:コンテナリスク
・3.5節:ホストOSリスク
コンテナ環境のあらゆるところにリスクがある!
開発者
オーケストレーター
開発・テスト環境 プロダクション環境
ホストOS
ホストOS
インフラ
インフラ
管理者
18
© JTP Co., Ltd. All Rights Reserved.
NIST 800-SP190 に⽰されている潜在的リスク
・3.1節:イメージリスク
・3.2節:レジストリリスク コンテナ環境のあらゆるところにリスクがある
!
・3.3節:オーケストレーターリスク
・3.4節:コンテナリスク
・3.5節:ホストOSリスク
コンテナレジストリー
Push
イメージ イメージ イメージ Pull
コンテナ コンテナ コンテナ コンテナ
Build Run
イメージ
イメージ イメージ イメージ イメージ
開発者
オーケストレーター
開発・テスト環境
ホストOS ホストOS プロダクション環境
インフラ インフラ
管理者
© JTP Co., Ltd. All Rights Reserved. 19
サプライチェーン攻撃への対策
前提は「信頼できるコンテナイメージ」
そのための考え⽅:
Secure By Design
DevSecOps
シフトレフト(Shift-Left)
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/security-by-design.html
https://www.sqat.jp/tamatebako/7205/
© JTP Co., Ltd. All Rights Reserved.
リスクへの対策
項⽬ リスクの例 対策
イメージ 脆弱性を含むイメージ
悪意のあるイメージ
信頼できないイメージ
イメージ内の機密情報
悪⽤されやすいソフトウェア(開発ツール等)
不正な(指定外の)イメージ
脆弱性スキャン
機密データの分離
署名付きイメージ
パブリックレジストリ禁⽌
不要なパッケージの除去/加算アプローチの採⽤
開発プロセスへのセキュリティ組み込み
ベースイメージ、パッケージの継続的な更新
SBoMの利⽤
レジストリ 通信傍受
脆弱性を含むイメージ
不適切なアクセス権
TLS暗号化
脆弱性スキャン機能のあるレジストリの利⽤
アカウント管理の徹底
コンテナ 特権コンテナの利⽤
マルウェアの組み込み、実⾏
ランタイム脆弱性によるコンテナブレイクアウト
特権コンテナの実⾏禁⽌(seccomp / Capabilities / LSM )
rootfsファイルシステムの保護
隔離レベルの異なる適切なコンテナランタイムの選択
(runC, kata containers, gVisor, etc.)
オーケストレーター デフォルト設定のまま本番環境を運⽤
設定ミス
機密情報のトラフィック
適切な設定
適切な運⽤・管理
監視
APIアクセス、アカウント、権限の制限
通信の制限、フィルタリング(netpol / FW / TLS )
ホストOS OSの脆弱性
OSのバグ
リソース不⾜
コンテナ⽤OSを利⽤(汎⽤ではなく)
Closedなネットワークへの配置
マネージドサービスの利⽤
CIS benchmarkなどの適⽤
20
SBoM (Software Bill of Materials): ソフトウェアの「部品表」
© JTP Co., Ltd. All Rights Reserved.
攻撃⼿法を知る・・・MITRE ATT&CK
• MITRE (マイター)は、情報セキュリティ研究の⾮営利団体
https://attack.mitre.org/
• 情報セキュリティの脅威となる攻撃の⼿⼝(Techniques)を観察、収集し、集計し、ナレッジベース化
• ATT&CK = Adversarial Tactics, Techniques, and Common Knowledge
参考:共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)ID を採番しているのもこの MITREである
https://cve.mitre.org/
• コンテナセキュリティを対象として、⽶国Microsoft社が纏め直したものが ”for K8s” → 次⾴
https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/ (初版)
https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-
matrix-for-kubernetes/ (改訂版)
• 攻撃者が取る⾏動に着⽬し、⼿⼝を分類したもの
• 昨今、どのような攻撃が来ているのかが分かる
参考:同様のものとして、Cyber Kill Chainがある
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
21
攻撃⼿法を知る・・・MITRE ATT&CK for K8s
• MITRE (マイター)は、情報セキュリティ研究の⾮営利団体
• 情報セキュリティの脅威となる攻撃の⼿⼝(Techniques)を観察、収集し、集計し、ナレッジベース化している
• ATT&CK = Adversarial Tactics, Techniques, and Common Knowledge
• これを元に、⽶国Microsoft社は、コンテナセキュリティを主眼として纏め直したものが上記のもの
• https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/ (初版)
• https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-
matrix-for-kubernetes/ (改訂版)
© JTP Co., Ltd. All Rights Reserved. 22
https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/
ガイドラインあれこれ
先に紹介した NIST 800-SP190 / MITRE ATT&CK に加えて、以下のものも読んでみましょう
• CIS Benchmarks https://www.cisecurity.org/benchmark
• ⽶国Center for Internet Securityが作成し、公開しているセキュリティベストプラクティス集
• さまざまプラットフォーム、OSのためのバージョンがあり、K8s版を CIS Kubernetes Benchmarkと
いう https://www.cisecurity.org/benchmark/kubernetes
• OSSのみならず、クラウド各社マネージドサービス向けのベンチマークもある
• OWASP cheat sheets https://cheatsheetseries.owasp.org/
• ⽶国Open Web Application Security Projectが作成し、公開しているセキュリティベストプラクティス集
• OWASP Top 10 https://owasp.org/Top10/ja/
• 同団体が発⾏している、Webアプリケーションセキュリティについてのリスク集
• OWASP K8s Top 10 https://owasp.org/www-project-kubernetes-top-ten/
• NSA CISA Kubernetes Hardening Guide
• https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF
• ⽶国National Security AgencyおよびCybersecurity and Infrastructure Security Agencyが発⾏するガイダンス
• 主に、国家安全保障システムに携わるシステム管理者や開発者が対象
• Kubernetes本家
• https://kubernetes.io/ja/docs/concepts/security/overview/
• https://kubernetes.io/ja/docs/concepts/security/pod-security-standards/
• https://kubernetes.io/blog/2021/10/05/nsa-cisa-kubernetes-hardening-guidance/
23
© JTP Co., Ltd. All Rights Reserved.
代表的なツール
まだまだあります。知りたいときは・・・→(次⾴)
24
© JTP Co., Ltd. All Rights Reserved.
CNCF Landscape
https://l.cncf.io
Security & compliance は
このへんにあります
25
© JTP Co., Ltd. All Rights Reserved.
コンテナセキュリティの認定資格
• Linux Foundation 主催の認定資格
• CKA: Certified Kubernetes Administrator
• CKAD: Certified Kubernetes Application Developer
• CKS: Certified Kubernetes Security Specialist
© JTP Co., Ltd. All Rights Reserveh
d.ttps://training.linuxfoundation.org/ja/certification/certified-kubernetes-security-sp2
e
6 cialist/
CKS試験の概要
27
© JTP Co., Ltd. All Rights Reserved.
項⽬ 内容
試験時間 120分間
問題数 20問程度
合格ライン 67%
受験の条件 有効期間内のCKA認定
形式 パフォーマンスベース(監視下でのオンライン、ハンズオン)
有効期間 2年間
受験料 $395 (たまにセールあり)
CKS試験の出題範囲と出題割合
• クラスター設定(10%)
• ネットワーク セキュリティ ポリシーを使⽤してクラスタ レベルのアクセスを制限する
• CISベンチマークを使⽤して、Kubernetesコンポーネントのセキュリティ構成を確認する(etcd、kubelet、kubedns、kubeapi)
• セキュリティ制御によりIngressオブジェクトを適切に設定する
• ノードのメタデータとエンドポイントを保護する
• GUI要素の使⽤とアクセスを最⼩化する
• デプロイ前にプラットフォーム バイナリを確認する
• クラスター強化(15%)
• Kubernetes APIへのアクセスを制限する
• ロール ベース アクセス コントロールを使⽤して、露出を最⼩限に抑える
• サービスアカウントを使⽤する際の注意事項を実践する(新しく作成したサービスアカウントについてのデフォルト禁⽌や権限の
最⼩化など)
• Kubernetesを頻繁に更新する
• システムの強化(15%)
• ホストOSのフットプリントを最⼩化する(攻撃対象を減らす)IAMロールを最⼩限に抑える
ネットワークへの外部アクセスを最⼩限に抑える AppArmor、seccompなどのカーネル強化ツールを適切に使⽤する
詳細:https://github.com/cncf/curriculum
28
© JTP Co., Ltd. All Rights Reserved.
CKS試験の出題範囲と出題割合
• マイクロサービスの脆弱性を最⼩限に抑える(20%)
• 適切な OS レベルのセキュリティ ドメインをセットアップする
• Kubernetesシークレットを管理する
• マルチテナント環境(gvisor、kataコンテナなど)でコンテナ ランタイム サンドボックスを使⽤する
• mTLSを使⽤してPod間の暗号化を⾏う
• サプライチェーンのセキュリティ(20%)
• 基本画像のフットプリントを最⼩化する
• サプライチェーンを保護する:許可されたレジストリをホワイトリストに登録し、画像に署名して検証する
• ユーザー ワークロード(Kubernetesリソース、Dockerファイルなど)の静的分析を使⽤する
• 既知の脆弱性に関する画像をスキャンする
• モニタリング、ロギング、ランタイムセキュリティ(20%)
• ホストおよびコンテナ レベルでsyscallプロセスやファイルのアクティビティについて⾏動分析し、悪意のあるアクティビティを
検出する
• 物理インフラ、アプリ、ネットワーク、データ、ユーザー、およびワークロード内の脅威を検出する
• 発⽣場所や発⽣⽅法を問わず、あらゆるフェーズの攻撃を検出する
• 詳細な分析調査を⾏い、環境内に存在する悪役を特定する
• 実⾏時のコンテナの不変性を確保する
• 監査ログを使⽤してアクセスを監視する
詳細:https://github.com/cncf/curriculum
29
© JTP Co., Ltd. All Rights Reserved.
きょうのまとめ
30
© JTP Co., Ltd. All Rights Reserved.
• コンテナとKubernetesとOpenShiftのおさらいをする
• コンテナセキュリティの範囲を知る
• コンテナセキュリティのリスクと脅威を知る
• コンテナセキュリティガイドラインを知る
• コンテナセキュリティの代表的なツールを知る
• コンテナセキュリティについて網羅的に学習する⽅法を知る
Thank you.
© JTP Co., Ltd. All Rights Reserved.
2019.5 早朝 静岡県 ふもとっぱらキャンプ場から望む富⼠⼭
またお⽬にかかりましょう

More Related Content

Similar to 1-コンテナセキュリティの勘所

Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...Masahiko Sawada
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Tomohiko Yamakawa
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナMasaaki Nabeshima
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)Nobukazu Yoshioka
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性Asuka Nakajima
 
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料オラクルエンジニア通信
 
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジーDBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジーMasaya Ishikawa
 
HeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical PreviewHeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical PreviewYuji Kubota
 
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPリスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPRWSJapan
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝Fumitaka Takeuchi
 
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料OpenID Foundation Japan
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築  [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築  [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]Takeshi Takahashi
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編Yurika Kakiuchi
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Yurika Kakiuchi
 

Similar to 1-コンテナセキュリティの勘所 (20)

CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
CND(認定ネットワークディフェンダー / Certified Network Defender)公式トレーニングのご紹介
 
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
【セミナー講演資料】CND(認定ネットワークディフェンダー)公式トレーニング紹介
 
Certified network defender
Certified network defenderCertified network defender
Certified network defender
 
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...Database Encryption and Key Management for PostgreSQL - Principles and Consid...
Database Encryption and Key Management for PostgreSQL - Principles and Consid...
 
Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517Yamakawa@shirahama v4.0 20120517
Yamakawa@shirahama v4.0 20120517
 
セキュリティ管理 入門セミナ
セキュリティ管理 入門セミナセキュリティ管理 入門セミナ
セキュリティ管理 入門セミナ
 
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
Internet Week 2020:C12 脅威インテリジェンスの実践的活用法
 
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
セキュリティの知識を共有するセキュリティパターン(2018/6/15)セキュリティの知識を共有するセキュリティパターン(2018/6/15)
セキュリティの知識を共有する セキュリティパターン(2018/6/15)
 
Atomsystem
AtomsystemAtomsystem
Atomsystem
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
 
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
OCHaCafe #4 Hyperledger Fabric アプリケーション設計入門ガイドでしゃべった内容+おまけ資料
 
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジーDBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
DBTS2015 Tokyo DBAが知っておくべき最新テクノロジー
 
HeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical PreviewHeapStats: Introduction and Technical Preview
HeapStats: Introduction and Technical Preview
 
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPリスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
 
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
標的型攻撃にいかに立ち向かうか~巧妙化する脅威に組織がとるべき対策とは~竹内 文孝
 
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
OpenID BizDay #9 - 松尾真一郎氏 プレゼン資料
 
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築  [ISOC-JP workshop, 2016/05/20]セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築  [ISOC-JP workshop, 2016/05/20]
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策Active Directory 侵害と推奨対策
Active Directory 侵害と推奨対策
 

Recently uploaded

[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略Ryo Sasaki
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Danieldanielhu54
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...Toru Tamaki
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdftaisei2219
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムsugiuralab
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNetToru Tamaki
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Yuma Ohgami
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A surveyToru Tamaki
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する       2024/04/19 の勉強会で発表されたものですSOPを理解する       2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものですiPride Co., Ltd.
 

Recently uploaded (9)

[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
[DevOpsDays Tokyo 2024] 〜デジタルとアナログのはざまに〜 スマートビルディング爆速開発を支える 自動化テスト戦略
 
Postman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By DanielPostman LT Fukuoka_Quick Prototype_By Daniel
Postman LT Fukuoka_Quick Prototype_By Daniel
 
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
論文紹介:Content-Aware Token Sharing for Efficient Semantic Segmentation With Vis...
 
TSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdfTSAL operation mechanism and circuit diagram.pdf
TSAL operation mechanism and circuit diagram.pdf
 
スマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システムスマートフォンを用いた新生児あやし動作の教示システム
スマートフォンを用いた新生児あやし動作の教示システム
 
論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet論文紹介:Automated Classification of Model Errors on ImageNet
論文紹介:Automated Classification of Model Errors on ImageNet
 
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
Open Source UN-Conference 2024 Kawagoe - 独自OS「DaisyOS GB」の紹介
 
論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey論文紹介:Semantic segmentation using Vision Transformers: A survey
論文紹介:Semantic segmentation using Vision Transformers: A survey
 
SOPを理解する 2024/04/19 の勉強会で発表されたものです
SOPを理解する       2024/04/19 の勉強会で発表されたものですSOPを理解する       2024/04/19 の勉強会で発表されたものです
SOPを理解する 2024/04/19 の勉強会で発表されたものです
 

1-コンテナセキュリティの勘所

  • 1. © JTP Co., Ltd. All Rights Reserved. 2022/11/30 コンテナセキュリティの勘所 千⽥ 泰史 JTP株式会社 技官、エバンジェリスト
  • 2. © JTP Co., Ltd. All Rights Reserved. きょうの⽬標 • コンテナとKubernetesとOpenShiftのおさらいをする • コンテナセキュリティの範囲を知る • コンテナセキュリティのリスクと脅威を知る • コンテナセキュリティガイドラインを知る • コンテナセキュリティの代表的なツールを知る • コンテナセキュリティについて網羅的に学習する⽅法を知る 2
  • 3. 会社概要 © JTP Co., Ltd. All Rights Reserved.
  • 4. 会 社 名 本 社 所 在 地 設 ⽴ 1987年(昭和62年)10⽉31⽇ 従 上 場 業 市 員 場 435名 東証JASDAQスタンダード 証券コード2488 事 業 内 容 JTP株式会社 東京都品川区北品川4-7-35 御殿⼭トラストタワー 海外ITメーカー教育・保守・運⽤等 アウトソーシング事業 海外医療機器の法規制対応・販売・保守 ⼈⼯知能サービス開発 IBM Silver Business Partner AWS アドバンスドコンサルティングパートナー LINE 公式パートナー SoftBank ONESHIP Partner 認 定 パ ー ト ナ ー © JTP Co., Ltd. All Rights Reserved.
  • 5. 当社の強み Cloud by default Clould-First Hybrid-Cloud Cloud-Centric Multi-Cloud K8s & OpenShift 仮想化 2015 2018 2021~ 2020 AWS祭り ソリューションアーキテクト ・アソシエイト 100名 ・プロフェッショナル 20名 コンテナ ・CKA 100名 JTPは「テクノロジードリブン」な会社です マルチクラウド ・クラウド資格 200名 © JTP Co., Ltd. All Rights Reserved. Data Engineering
  • 6. © JTP Co., Ltd. All Rights Reserved. 6 JTP株式会社 ⼈財育成コンサルティング事業部、技官、エバンジェリスト 千⽥ 泰史 ち だ やすふ み 茅ヶ崎⽣まれ、⼤阪神⼾+茨城育ち、横浜在住、⼆児の⽗ • 講師⽣活27年 Red Hat、Microsoft、VMwareほか、ベンダー認定講師 インフラ、ネットワーク、仮想システム、コンテナ • Ansible, K8s, OpenShift, NSX-T, OpenStack, Linux Kernel etc. l 趣味: l 特技: l ⽇課: キャンプ、読書、ゲーム、ボドゲ、料理、カラオケ、 外国語(英仏中露韓)、最近ウクライナ語を始めました 朝ラン3キロ、懸垂20回、腹筋ローラー50往復、オンライン英会話 About me
  • 7. コンテナセキュリティー • コンテナライフサイクルの安全性を保全する絶え間ない能動的な営み • ITインフラ全体のセキュリティ項⽬のなかの部分集合 • 従来型の(コンテナ以前の)セキュリティ対策+α • 可視化の難しさ • 終了したコンテナの事後分析(Post-mortem analysis)の課題 • 狭義ではコンテナ実⾏環境のセキュリティー • コンテナブレイクアウト • 広義ではクラウドネイティブセキュリティー 今回はコチラ!! 7 © JTP Co., Ltd. All Rights Reserved.
  • 8. 脆弱性の例 8 © JTP Co., Ltd. All Rights Reserved. • CVE-2022-0185 • Kernel 内 Filesystem Context脆弱性・・・バッファオーバーフローからの⾮特権ユーザーの権限昇格 • CVE-2022-0492 • cgroupsの脆弱性・・・特権への昇格、コンテナブレイクアウト • CVE-2022-23648 • containerdの脆弱性・・・イメージ設定次第でコンテナホストの読み取り専⽤ファイルに書き込みアクセス
  • 9. コンテナ技術のおさらい • OSやインフラ環境にかかわらずアプリケーションを⼀貫して確実に実⾏することを可能にする • コード、ランタイム、ライブラリ、設定など、サービスの実⾏に必要なすべてのものをバンドルした、 ポータブルかつスタンドアロンな実⾏可能パッケージを作成し、共有、実⾏する • 環境を「汚さずに」ソフトウェアを利⽤することができる • カーネルに「コンテナ機能」と呼べるような単⼀の機能が実装されて実現しているわけではない • コンテナOSのカーネルを共有し、そのカーネルの機能によって隔離されて実⾏されるプロセスである • 隔離の⽅式はランタイムによって異なる アプリケーションが依存しているライブラリがあるが、 コンテナは依存関係のあるものをカプセル化して実⾏ 資料 © JTP Co., Ltd. All Rights Reserved.
  • 10. Kubernetes のおさらい • Kubernetes = コンテナにとっての「OS」 • コンテナオーケストレーション基板のデファクトスタンダード • オンプレミス、パブリッククラウド、マルチクラウド対応に対応した、クラウドネイティブアプリケーションの実⾏ 基盤 資料 10 © JTP Co., Ltd. All Rights Reserved.
  • 11. OpenShiftのおさらい • Kubernetesを内包するPaaS基板 • Kubernetesの⼀(いち)ディストリビューション(Red Hat製) • エンタープライズに最適化されたKubernetesベースのコンテナプラットフォーム • ただでさえ便利な Kubernetes上に、Red Hat社が便利な機能を追加してくれていて、そのうえサポートまでしてく れる! 資料 11 © JTP Co., Ltd. All Rights Reserved.
  • 12. ⽤語の確認 • 以下のセキュリティ3要素を維持することが⽬標 • 機密性(Confidentiality) • 完全性(Integrity) • 可⽤性(Availability) • セキュリティリスク • 脅威(Threat) • 漏洩、改竄、破壊などの攻撃、マルウェア、エクスプロイトなど • 脆弱性(Vulnerability) • 脅威を誘引する⽋陥 • 不具合、設計ミス、実装ミス、バグ、設定ミス、弱点など 12 © JTP Co., Ltd. All Rights Reserved.
  • 13. 情報セキュリティの基本戦略 13 © JTP Co., Ltd. All Rights Reserved. • 多層防御:Defense in Depth • 何層にもわたってセキュリティ対策を施すこと • 「セキュリティは破られる」という前提で、複数の⼿法を組み合わせてる • 最⼩特権の原則:Principle of Least Privilege • アクセス元のユーザーやプロセスに必要最低限の権限を付与し、余分な権限を与えないこと • 攻撃対象領域の削減:Attack Surface Reduction • 攻撃対象領域は、攻撃者によって侵害される可能性のある全てのデジタル資産を含む • 攻撃対象領域は、攻撃者が侵⼊する起点のみならず、侵⼊後に踏み台となる機器や、重要なデータの保存場所も含む • 攻撃者が攻撃できる余地、好きをできる限り少なくすること
  • 14. © JTP Co., Ltd. All Rights Reserved. クラウドネイティブセキュリティの “4c”モデル https://kubernetes.io/ja/docs/concepts/security/overvi 1 e 4 w/ Cloud Cluster Container Code Clusterをデプロイするインフラ インフラセキュリティ、ネットワークセキュリティ クラウドごとのセキュリティ設定 Containerを動作させる基盤、オーケストレーター クラスタレベルのリソース設定、制限 Namespace/Node/Pod/Volumeの分離、制限 APIサーバー、etcd等の制御プレーンの分離、暗号化 Codeを実⾏するコンテナおよびその実⾏環境 カーネル資源の分離、制限 コンテナに含まれるアプリケーション セキュアコーディング、アプリケーションセキュリティ コンテナ環境におけるセキュリティモデルの1つ
  • 15. クラウドネイティブセキュリティの “4c”モデル ー コンテナ環境におけるセキュリティモデルの1つ Code コンテナに含まれるアプリケーション セキュアコーディング、アプリケーションセキュリティ Container Codeを実⾏するコンテナおよびその実⾏環境 カーネル資源の分離、制限 Cluster Containerを動作させる基盤、オーケストレータ クラスタレベルのリソース設定、制限 Namespace/Node/Pod/Volumeの分離、制限 APIサーバー、etcd等の制御プレーンの分離、暗号化 Cloud Clusterをデプロイするインフラ インフラセキュリティ、ネットワークセキュリティ クラウドごとのセキュリティ設定 © JTP Co., Ltd. All Rights Reserved. https://kubernetes.io/ja/docs/concepts/security/overvi15 ew/ • Cloud • クラウドプロバイダー各社のセキュリティベストプラクティス • 物理セキュリティ • ネットワーク、物理サーバー • Cluster • Kubernetesセキュリティベストプラクティス • Namespace / Node / Pod セキュリティ、分離、アクセス制限 • APIサーバー、etcd等コントロールプレーンセキュリティ設定 • Container • コンテナイメージ署名 • コンテナ脆弱性スキャン • コンテナランタイム制御 • Code • コード解析 • ライブラリーの脆弱性チェック • 通信ポートの公開制限、TLS
  • 16. © JTP Co., Ltd. All Rights Reserved. • Cloud • クラウドプロバイダー各社のセキュリティベストプラクティス • 物理セキュリティ • ネットワーク、物理サーバー • Cluster • Kubernetesセキュリティベストプラクティス • Namespace / Node / Pod セキュリティ、分離、アクセス制限 • APIサーバー、etcd等コントロールプレーンセキュリティ設定 • Container • コンテナイメージ署名 • コンテナ脆弱性スキャン • コンテナランタイム制御 • Code • コード解析 • ライブラリーの脆弱性チェック C l o u d • 通信ポートの公開制限、TLS クラウドネイティブセキュリティの “4c”モデル 特に注⽬する部分
  • 17. コンテナセキュリティのガイドライン NIST 800-SP190 コンテナ Build Push Run Pull イメージ イメージ コンテナ イメージ コンテナ イメージ コンテナ イメージ • National Institute of Standards and Technology(⽶国⽴標準技術研究所)発⾏ • NIST 800-SP190は「Application Container Security Guide」 • 原⽂ https://csrc.nist.gov/publications/detail/sp/800-190/final • IPAによる和訳 https://www.ipa.go.jp/security/publications/nist/ • コンテナ環境に特有のリスクとその対策について記述 コンテナレジストリー 開発者 オーケストレーター 開発・テスト環境 プロダクション環境 ホストOS ホストOS インフラ インフラ 管理者 17 © JTP Co., Ltd. All Rights Reserved. イメージ イメージ イメージ
  • 18. NIST 800-SP190 に⽰されている潜在的リスク コンテナレジストリー コンテナ Build Push Run Pull イメージ イメージ イメージ イメージ コンテナ コンテナ コンテナ イメージ イメージ イメージ イメージ ・3.1節:イメージリスク ・3.2節:レジストリリスク ・3.3節:オーケストレーターリスク ・3.4節:コンテナリスク ・3.5節:ホストOSリスク コンテナ環境のあらゆるところにリスクがある! 開発者 オーケストレーター 開発・テスト環境 プロダクション環境 ホストOS ホストOS インフラ インフラ 管理者 18 © JTP Co., Ltd. All Rights Reserved.
  • 19. NIST 800-SP190 に⽰されている潜在的リスク ・3.1節:イメージリスク ・3.2節:レジストリリスク コンテナ環境のあらゆるところにリスクがある ! ・3.3節:オーケストレーターリスク ・3.4節:コンテナリスク ・3.5節:ホストOSリスク コンテナレジストリー Push イメージ イメージ イメージ Pull コンテナ コンテナ コンテナ コンテナ Build Run イメージ イメージ イメージ イメージ イメージ 開発者 オーケストレーター 開発・テスト環境 ホストOS ホストOS プロダクション環境 インフラ インフラ 管理者 © JTP Co., Ltd. All Rights Reserved. 19 サプライチェーン攻撃への対策 前提は「信頼できるコンテナイメージ」 そのための考え⽅: Secure By Design DevSecOps シフトレフト(Shift-Left) https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/security-by-design.html https://www.sqat.jp/tamatebako/7205/
  • 20. © JTP Co., Ltd. All Rights Reserved. リスクへの対策 項⽬ リスクの例 対策 イメージ 脆弱性を含むイメージ 悪意のあるイメージ 信頼できないイメージ イメージ内の機密情報 悪⽤されやすいソフトウェア(開発ツール等) 不正な(指定外の)イメージ 脆弱性スキャン 機密データの分離 署名付きイメージ パブリックレジストリ禁⽌ 不要なパッケージの除去/加算アプローチの採⽤ 開発プロセスへのセキュリティ組み込み ベースイメージ、パッケージの継続的な更新 SBoMの利⽤ レジストリ 通信傍受 脆弱性を含むイメージ 不適切なアクセス権 TLS暗号化 脆弱性スキャン機能のあるレジストリの利⽤ アカウント管理の徹底 コンテナ 特権コンテナの利⽤ マルウェアの組み込み、実⾏ ランタイム脆弱性によるコンテナブレイクアウト 特権コンテナの実⾏禁⽌(seccomp / Capabilities / LSM ) rootfsファイルシステムの保護 隔離レベルの異なる適切なコンテナランタイムの選択 (runC, kata containers, gVisor, etc.) オーケストレーター デフォルト設定のまま本番環境を運⽤ 設定ミス 機密情報のトラフィック 適切な設定 適切な運⽤・管理 監視 APIアクセス、アカウント、権限の制限 通信の制限、フィルタリング(netpol / FW / TLS ) ホストOS OSの脆弱性 OSのバグ リソース不⾜ コンテナ⽤OSを利⽤(汎⽤ではなく) Closedなネットワークへの配置 マネージドサービスの利⽤ CIS benchmarkなどの適⽤ 20 SBoM (Software Bill of Materials): ソフトウェアの「部品表」
  • 21. © JTP Co., Ltd. All Rights Reserved. 攻撃⼿法を知る・・・MITRE ATT&CK • MITRE (マイター)は、情報セキュリティ研究の⾮営利団体 https://attack.mitre.org/ • 情報セキュリティの脅威となる攻撃の⼿⼝(Techniques)を観察、収集し、集計し、ナレッジベース化 • ATT&CK = Adversarial Tactics, Techniques, and Common Knowledge 参考:共通脆弱性識別子(CVE: Common Vulnerabilities and Exposures)ID を採番しているのもこの MITREである https://cve.mitre.org/ • コンテナセキュリティを対象として、⽶国Microsoft社が纏め直したものが ”for K8s” → 次⾴ https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/ (初版) https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat- matrix-for-kubernetes/ (改訂版) • 攻撃者が取る⾏動に着⽬し、⼿⼝を分類したもの • 昨今、どのような攻撃が来ているのかが分かる 参考:同様のものとして、Cyber Kill Chainがある https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html 21
  • 22. 攻撃⼿法を知る・・・MITRE ATT&CK for K8s • MITRE (マイター)は、情報セキュリティ研究の⾮営利団体 • 情報セキュリティの脅威となる攻撃の⼿⼝(Techniques)を観察、収集し、集計し、ナレッジベース化している • ATT&CK = Adversarial Tactics, Techniques, and Common Knowledge • これを元に、⽶国Microsoft社は、コンテナセキュリティを主眼として纏め直したものが上記のもの • https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/ (初版) • https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat- matrix-for-kubernetes/ (改訂版) © JTP Co., Ltd. All Rights Reserved. 22 https://www.microsoft.com/en-us/security/blog/2021/03/23/secure-containerized-environments-with-updated-threat-matrix-for-kubernetes/
  • 23. ガイドラインあれこれ 先に紹介した NIST 800-SP190 / MITRE ATT&CK に加えて、以下のものも読んでみましょう • CIS Benchmarks https://www.cisecurity.org/benchmark • ⽶国Center for Internet Securityが作成し、公開しているセキュリティベストプラクティス集 • さまざまプラットフォーム、OSのためのバージョンがあり、K8s版を CIS Kubernetes Benchmarkと いう https://www.cisecurity.org/benchmark/kubernetes • OSSのみならず、クラウド各社マネージドサービス向けのベンチマークもある • OWASP cheat sheets https://cheatsheetseries.owasp.org/ • ⽶国Open Web Application Security Projectが作成し、公開しているセキュリティベストプラクティス集 • OWASP Top 10 https://owasp.org/Top10/ja/ • 同団体が発⾏している、Webアプリケーションセキュリティについてのリスク集 • OWASP K8s Top 10 https://owasp.org/www-project-kubernetes-top-ten/ • NSA CISA Kubernetes Hardening Guide • https://media.defense.gov/2022/Aug/29/2003066362/-1/-1/0/CTR_KUBERNETES_HARDENING_GUIDANCE_1.2_20220829.PDF • ⽶国National Security AgencyおよびCybersecurity and Infrastructure Security Agencyが発⾏するガイダンス • 主に、国家安全保障システムに携わるシステム管理者や開発者が対象 • Kubernetes本家 • https://kubernetes.io/ja/docs/concepts/security/overview/ • https://kubernetes.io/ja/docs/concepts/security/pod-security-standards/ • https://kubernetes.io/blog/2021/10/05/nsa-cisa-kubernetes-hardening-guidance/ 23 © JTP Co., Ltd. All Rights Reserved.
  • 25. CNCF Landscape https://l.cncf.io Security & compliance は このへんにあります 25 © JTP Co., Ltd. All Rights Reserved.
  • 26. コンテナセキュリティの認定資格 • Linux Foundation 主催の認定資格 • CKA: Certified Kubernetes Administrator • CKAD: Certified Kubernetes Application Developer • CKS: Certified Kubernetes Security Specialist © JTP Co., Ltd. All Rights Reserveh d.ttps://training.linuxfoundation.org/ja/certification/certified-kubernetes-security-sp2 e 6 cialist/
  • 27. CKS試験の概要 27 © JTP Co., Ltd. All Rights Reserved. 項⽬ 内容 試験時間 120分間 問題数 20問程度 合格ライン 67% 受験の条件 有効期間内のCKA認定 形式 パフォーマンスベース(監視下でのオンライン、ハンズオン) 有効期間 2年間 受験料 $395 (たまにセールあり)
  • 28. CKS試験の出題範囲と出題割合 • クラスター設定(10%) • ネットワーク セキュリティ ポリシーを使⽤してクラスタ レベルのアクセスを制限する • CISベンチマークを使⽤して、Kubernetesコンポーネントのセキュリティ構成を確認する(etcd、kubelet、kubedns、kubeapi) • セキュリティ制御によりIngressオブジェクトを適切に設定する • ノードのメタデータとエンドポイントを保護する • GUI要素の使⽤とアクセスを最⼩化する • デプロイ前にプラットフォーム バイナリを確認する • クラスター強化(15%) • Kubernetes APIへのアクセスを制限する • ロール ベース アクセス コントロールを使⽤して、露出を最⼩限に抑える • サービスアカウントを使⽤する際の注意事項を実践する(新しく作成したサービスアカウントについてのデフォルト禁⽌や権限の 最⼩化など) • Kubernetesを頻繁に更新する • システムの強化(15%) • ホストOSのフットプリントを最⼩化する(攻撃対象を減らす)IAMロールを最⼩限に抑える ネットワークへの外部アクセスを最⼩限に抑える AppArmor、seccompなどのカーネル強化ツールを適切に使⽤する 詳細:https://github.com/cncf/curriculum 28 © JTP Co., Ltd. All Rights Reserved.
  • 29. CKS試験の出題範囲と出題割合 • マイクロサービスの脆弱性を最⼩限に抑える(20%) • 適切な OS レベルのセキュリティ ドメインをセットアップする • Kubernetesシークレットを管理する • マルチテナント環境(gvisor、kataコンテナなど)でコンテナ ランタイム サンドボックスを使⽤する • mTLSを使⽤してPod間の暗号化を⾏う • サプライチェーンのセキュリティ(20%) • 基本画像のフットプリントを最⼩化する • サプライチェーンを保護する:許可されたレジストリをホワイトリストに登録し、画像に署名して検証する • ユーザー ワークロード(Kubernetesリソース、Dockerファイルなど)の静的分析を使⽤する • 既知の脆弱性に関する画像をスキャンする • モニタリング、ロギング、ランタイムセキュリティ(20%) • ホストおよびコンテナ レベルでsyscallプロセスやファイルのアクティビティについて⾏動分析し、悪意のあるアクティビティを 検出する • 物理インフラ、アプリ、ネットワーク、データ、ユーザー、およびワークロード内の脅威を検出する • 発⽣場所や発⽣⽅法を問わず、あらゆるフェーズの攻撃を検出する • 詳細な分析調査を⾏い、環境内に存在する悪役を特定する • 実⾏時のコンテナの不変性を確保する • 監査ログを使⽤してアクセスを監視する 詳細:https://github.com/cncf/curriculum 29 © JTP Co., Ltd. All Rights Reserved.
  • 30. きょうのまとめ 30 © JTP Co., Ltd. All Rights Reserved. • コンテナとKubernetesとOpenShiftのおさらいをする • コンテナセキュリティの範囲を知る • コンテナセキュリティのリスクと脅威を知る • コンテナセキュリティガイドラインを知る • コンテナセキュリティの代表的なツールを知る • コンテナセキュリティについて網羅的に学習する⽅法を知る
  • 31. Thank you. © JTP Co., Ltd. All Rights Reserved. 2019.5 早朝 静岡県 ふもとっぱらキャンプ場から望む富⼠⼭ またお⽬にかかりましょう