Advertisement
Check these out next
アプリケーションコンテナのセキュリティ概説
Mar. 5, 2020•0 likes•334 views
3 likes
Be the first to like this
Show More
views
Total views
0
On Slideshare
0
From embeds
0
Number of embeds
0
Report
Technology
クラウドセキュリティアライアンス アプリケーションコンテナ/マイクロサービスWG
Health IT Consulting/Research/Writing/Mentoring at Deloitte Touche Tohmatsu LLC
Advertisement
Advertisement
Advertisement
Recommended
米国立標準技術研究所(NIST) サイバーセキュリティフレームワークの製造業適用支援関連文書の概説Eiji Sasahara, Ph.D., MBA 笹原英司
医療機器サイバーセキュリティにおけるOWASPとCSAの連携Eiji Sasahara, Ph.D., MBA 笹原英司
マイクロサービスのセキュリティ概説Eiji Sasahara, Ph.D., MBA 笹原英司
NIST SP 800-240A サービス・メッシュ・アーキテクチャを利用したセキュアなマイクロサービス・ベース・アプリケーション構築の概説Eiji Sasahara, Ph.D., MBA 笹原英司
世界のコンテナ/マイクロサービス技術動向から俯瞰する関西の2025年Eiji Sasahara, Ph.D., MBA 笹原英司
アプリケーションコンテナ/マイクロサービスのセキュリティ概説Eiji Sasahara, Ph.D., MBA 笹原英司
アプリケーションコンテナのセキュリティ概説
- Cloud Security Alliance Application Containers and Microservices WG アプリケーションコンテナのセキュリティ概説
- 2 クラウドセキュリティアライアンス アプリケーションコンテナ/マイクロサービスWGのご紹介 [目的] セキュアなアプリケーションコンテナおよびマイクロサービス利用の ためのガイダンスやベストプラクティスを発行する アプリケーションコンテナおよびマイクロサービスのセキュリティに 関する啓発活動を行う [WGリーダー] Anil Karmel(NIST SP 800-180(Draft) 筆頭著者) Andrew Wild(QTS Data Centers・CISO)
- 3 クラウドセキュリティアライアンス アプリケーションコンテナ/マイクロサービスWGの 作成ドキュメント例 「Challenges in Securing Application Containers and Microservices」 (2019年7月発行) 「Best Practices for Implementing a Secure Application Container Architecture」 (2019年7月発行) 「Best Practices in Implementing a Secure Microservices Architecture」 (2020年2月発行)
- 4 クラウドからアプリケーションコンテナ、マイクロサービスへの 移行 APIを軸とする自律サービスの疎結合型アーキテクチャへ IaaS PaaS SaaS OS ミドル ウェア アプリ ケー ション ミドル ウェア アプリ ケー ション アプリケーションコンテナ コンテナ管理 ソフトウェア APIゲートウェイ UI/ UX UI/ UX UI/ UX UI/ UX 処理A 処理B 処理C データ データ データ マイクロサービスクラウドサービス 出典:ヘルスケアクラウド研究会(2016年1月)
- 5 アプリケーションコンテナ/マイクロサービスの定義 • 米国立標準技術研究所(NIST) 「SP 800-180(Draft): NIST Definition of Microservices, Application Containers and System Virtual Machines」 (2016年2月) • アプリケーションコンテナ: 共有OS上で稼働するアプリケーションまたはそのコンポーネントとして パッケージ化し、稼働するように設計された構成物 • マイクロサービス: アプリケーション・コンポーネントのアーキテクチャを、疎結合のパターンに 分解した結果生まれる基本的要素であり、標準的な通信プロトコルや 明確に定義された API を利用して相互に通信する自己充足型サービス を構成し、いかなるベンダー、製品、技術からも独立している
- 6 コンテナ・セキュリティのガイドライン • 米国NIST 「SP 800-190: Application Container Security Guide」(2017年9月) • コンテナ技術アーキテクチャ層と構成要素 出典:NIST “SP 800-190: Application Container Security Guide”(2017年9月)
- 7 ・コンテナ技術のコアコンポーネントのリスク コンポーネント リスク イメージ ・イメージの脆弱性 ・イメージ構成の欠陥 ・組込まれたマルウェア ・組込まれた平文の秘密 ・信頼できないイメージの使用 レジストリ ・セキュアでないレジストリへの接続 ・レジストリにおける古いイメージ ・不十分な認証および権限付与の制限 オーケストレーター ・制限のない管理者のアクセス ・不正なアクセス ・分離が不十分なコンテナ内のネットワークトラフィック ・ワークロードの機微度レベルの混在 ・オーケストレーター・ノードの信頼性 出典:NIST “SP 800-190: Application Container Security Guide”(2017年9月)
- 8 ・コンテナ技術のコアコンポーネントのリスク(続き) コンポーネント リスク コンテナ ・ランタイム・ソフトウェア内の脆弱性 ・コンテナからの制限のないネットワークアクセス ・セキュアでないコンテナ・ランタイムの構成 ・アプリケーションの脆弱性 ・不正なコンテナ ホストOS ・大規模攻撃の対象領域 ・共有されたカーネル ・ホストOSコンポーネントの脆弱性 ・不適切なユーザーアクセス権限 ・ホストOSのファイルシステムの改ざん 出典:NIST “SP 800-190: Application Container Security Guide”(2017年9月)
- 9 クラウドセキュリティにおけるアプリケーションコンテナ(1) • CSA 「Security Guidance for the Critical Areas of Focus in Cloud Computing v4.0」 (2017年7月) • Domain 8:仮想化とコンテナ技術 • 8.1.4 コンテナ =移植性の高いコード実行環境 [主要コンポーネント] • 実行環境 • 統合管理とスケジューリングのコントローラ • コンテナイメージまたは実行するコードのリポジトリ
- 10 クラウドセキュリティにおけるアプリケーションコンテナ(2) • コンテナのセキュリティ要件 • 利用するコンテナプラットフォームとその下のOSのセキュリティの ための隔離機能を把握し、適切な設定を選択すること • コンテナ間の隔離の実施には物理マシンまたは仮想マシンを用い、 同一の物理/仮想ホスト上の同一のセキュリティ要件のコンテナ はグループ化すること • 配備対象となるのは、確実に、承認済みで認知済みでセキュアな コンテナのイメージかコードだけとなるようにすること • コンテナの統合化・管理およびスケジューラのソフトウェアの セキュリティを適切に設定すること • 全てのコンテナとリポジトリ管理に対して、適切なロールベースの アクセス管理と、強度の高い認証を実装すること。
- 11 アプリケーションコンテナセキュリティの課題(1) • CSA Application Containers and Microservices Working Group 「Challenges in Securing Application Containers and Microservices」(2019年7月) [構成] • 1. 序論 • 2. アプリケーションコンテナとマイクロサービスの課題 • 3. アプリケーションコンテナとマイクロサービス: ユースケースと機能 • 4. マイクロサービス
- 12 アプリケーションコンテナセキュリティの課題(2) • [主旨] • アプリケーションコンテナとマイクロサービスのアーキテクチャ は、DevOpsのようなアジャイルソフトウェア開発手法を 活用して、アプリケーションを設計、開発、展開するために 利用される • セキュリティは、これらのソフトウェア開発手法に組込まれる 必要がある • 本文書では、開発者、運用者、アーキテクトの視点を通し て、信頼性のあるセキュアなシステムのエンジニアリングに おいて、アプリケーションコンテナやマイクロサービスのセキュ リティに取組む際の課題を特定している
- 13 アプリケーションコンテナセキュリティの課題(3) • 3. アプリケーションコンテナとマイクロサービス: ユースケースと機能 • 1. 環境全体のコードプロモーション (開発、品質保証、テスト、 プロダクション) • 2. ホストのセキュア化 • 3. コンテナ - プラットフォーム/ホストの継続的モニタリング • 4. コンテナネットワーク – ホストとコンテナ間の通信 • 5. コンテナネットワーク - コンテナ間の通信 • 6. イメージの完全性とセキュリティ品質の妥当性評価 • 7. コンテナのフォレンジック • 8. コンテナを介したトラストチェーン
- 14 アプリケーションコンテナセキュリティの課題(4) • 3. (続き) • 9. コンテナのボリューム管理 • 10.コンテナの機密管理 • 11.プラットフォーム管理 – ライフサイクルイベントの通知 • 12.プラットフォーム管理 – リソース要求 • 13.プラットフォーム管理 – コンテナリソース管理 • 14.プラットフォーム管理 – コンテナリソースの拡張 • 15.プラットフォーム管理 – データのバックアップとレプリケーション • 16.プラットフォーム管理 – コンテナ管理パーシスタンス(CMP) 間のコンテナのホスト変更 • 17.コンテナの暗号化
- 15 アプリケーションコンテナセキュリティのベストプラクティス(1) • CSA Application Containers and Microservices Working Group 「Best Practices for Implementing a Secure Application Container Architecture」 (2019年7月) アプリケーションコンテナの課題解決のための推奨事項 およびベストプラクティス集 [構成] • 1. 序論 • 2. アプリケーションコンテナ • 3. アプリケーションコンテナの課題に対するリスク低減策 日本語翻訳版あり
- 16 アプリケーションコンテナセキュリティのベストプラクティス(2) • 3. アプリケーションコンテナの課題に対するリスク低減策 • 1. 環境全体のコードプロモーション (開発、品質保証、テスト、 プロダクション) • 2. ホストのセキュア化 • 3. コンテナ - プラットフォーム/ホストの継続的モニタリング • 4. コンテナネットワーク – ホストとコンテナ間の通信 • 5. コンテナネットワーク - コンテナ間の通信 • 6. イメージの完全性とセキュリティ品質の妥当性評価 • 7. コンテナのフォレンジック • 8. コンテナを介したトラストチェーン 日本語翻訳版あり
- 17 アプリケーションコンテナセキュリティのベストプラクティス(3) • 3. (続き) • 9. コンテナのボリューム管理 • 10.コンテナの機密管理 • 11.プラットフォーム管理 – ライフサイクルイベントの通知 • 12.プラットフォーム管理 – リソース要求 • 13.プラットフォーム管理 – コンテナリソース管理 • 14.プラットフォーム管理 – コンテナリソースの拡張 • 15.プラットフォーム管理 – データのバックアップとレプリケーション • 16.プラットフォーム管理 – コンテナ管理パーシスタンス(CMP) 間のコンテナのホスト変更 • 17.コンテナの暗号化 日本語翻訳版あり
Advertisement