マイクロサービスのセキュリティ概説
•
0 likes•594 views
・NIST 「SP 800-180(Draft): NIST Definition of Microservices, Application Containers and System Virtual Machines」(2016年2月) ・NIST「SP 800-204: Security Strategies for Microservices-based Application Systems」(2019年8月) ・NIST「SP 800-204A(Draft): Building Secure Microservices-based Applications Using Service-Mesh Architecture」(2020年1月) ・CSA 「Security Guidance for the Critical Areas of Focus in Cloud Computing v4.0」(2017年7月) ・CSA Application Containers and Microservices Working Group「Challenges in Securing Application Containers and Microservices」(2019年7月) ・CSA Application Containers and Microservices Working Group「Best Practices in Implementing a Secure Microservices Architecture」(2020年2月)
![2
クラウドセキュリティアライアンス
アプリケーションコンテナ/マイクロサービスWGのご紹介
[目的]
セキュアなアプリケーションコンテナおよびマイクロサービス利用の
ためのガイダンスやベストプラクティスを発行する
アプリケーションコンテナおよびマイクロサービスのセキュリティに
関する啓発活動を行う
[WGリーダー]
Anil Karmel(NIST SP 800-180(Draft) 筆頭著者)
Andrew Wild(QTS Data Centers・CISO)](data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7)
Recommended
More Related Content
What's hot
What's hot (20)
Similar to マイクロサービスのセキュリティ概説
Similar to マイクロサービスのセキュリティ概説 (20)
More from Eiji Sasahara, Ph.D., MBA 笹原英司
More from Eiji Sasahara, Ph.D., MBA 笹原英司 (20)
Recently uploaded
Recently uploaded (14)
マイクロサービスのセキュリティ概説
- 1. 2020年3月 Cloud Security Alliance Application Containers and Microservices WG マイクロサービスのセキュリティ概説
- 2. 2 クラウドセキュリティアライアンス アプリケーションコンテナ/マイクロサービスWGのご紹介 [目的] セキュアなアプリケーションコンテナおよびマイクロサービス利用の ためのガイダンスやベストプラクティスを発行する アプリケーションコンテナおよびマイクロサービスのセキュリティに 関する啓発活動を行う [WGリーダー] Anil Karmel(NIST SP 800-180(Draft) 筆頭著者) Andrew Wild(QTS Data Centers・CISO)
- 3. 3 クラウドセキュリティアライアンス アプリケーションコンテナ/マイクロサービスWGの 作成ドキュメント例 「Challenges in Securing Application Containers and Microservices」 (2019年7月発行) 「Best Practices for Implementing a Secure Application Container Architecture」 (2019年7月発行) 「Best Practices in Implementing a Secure Microservices Architecture」 (2020年2月発行)
- 5. 5 アプリケーションコンテナ/マイクロサービスの定義 • 米国立標準技術研究所(NIST) 「SP 800-180(Draft): NIST Definition of Microservices, Application Containers and System Virtual Machines」 (2016年2月) • アプリケーションコンテナ: 共有OS上で稼働するアプリケーションまたはそのコンポーネントとして パッケージ化し、稼働するように設計された構成物 • マイクロサービス: アプリケーション・コンポーネントのアーキテクチャを、疎結合のパターンに 分解した結果生まれる基本的要素であり、標準的な通信プロトコルや 明確に定義された API を利用して相互に通信する自己充足型サービス を構成し、いかなるベンダー、製品、技術からも独立している
- 6. 6 マイクロサービス・セキュリティのガイドライン • 米国NIST 「SP 800-204: Security Strategies for Microservices-based Application Systems」 (2019年8月) • マイクロサービスの設計原則 • 個々のマイクロサービスは、他のマイクロサービスから独立して、管理、 複製、スケーリング、アップグレード、展開される • 個々のマイクロサービスは、単独の機能を有し、制限された 環境(例.制限された責任を有し、他のサービスに依存する)で 稼働する • すべてのマイクロサービスは、一定の障害や復旧のために設計されるべき であり、可能な限りステートレスである必要がある • 状況管理のために、既存のトラステッドサービス(例.データベース、 キャッシュ、ディレクトリ)を再利用すべきである
- 7. 7 マイクロサービスのコア機能 • 認証とアクセス制御 • サービス・ディスカバリー • セキュリティ監視・分析 マイクロサービスのAPIゲートウェイ機能 • 最適化されたエンドポイント • リクエストやレスポンスの共有、API変換、プロトコル変換 • サーキットブレーカー • ロードバランサー • レート制限 • ブルー/グリーン・デプロイメント • カナリア・リリース
- 8. 8 • マイクロサービス運用のアーキテクチャ・フレームワーク アーキテクチャ・フレームワーク アーキテクチャ全体における役割 APIゲートウェイ ・南北・東西のトラフィックを制御するのに使用される (後者はマイクロゲートウェイを使用) ・マイクロサービスがweb/アプリケーションサーバー に展開される時、マイクロゲートウェイが導入される サービス・メッシュ ・コンテナを使用してマイクロサービスが展開される時、 純粋に東西のトラフィックのために導入されるが、マ イクロサービスがVMまたはアプリケーションサーバー にハウジングされる状況下で使用することができる 出典:NIST “SP 800-204: Security Strategies for Microservices-based Application Systems ” (2019年8月)
- 9. 9 ・マイクロサービスの脅威とセキュリティ戦略(1) 脅威 セキュリティ戦略 アイデンティティ/アクセス管理 ・認証(MS-SS-1) ・アクセス管理(MS-SS-2) サービス・ディスカバリーの メカニズム ・サービスレジストリ構成(MS-SS-3) セキュアな通信プロトコル ・セキュアな通信(MS-SS-4) セキュリティモニタリング ・セキュリティモニタリング(MS-SS-5) 遮断機能の展開 ・遮断機能の展開(MS-SS-6) ロードバランシング ・ロードバランシング(MS-SS-7) レート制限 ・レート制限(MS-SS-8) 出典:NIST “SP 800-204: Security Strategies for Microservices-based Application Systems ”(2019年8月)
- 10. 10 ・マイクロサービスの脅威とセキュリティ戦略(2) 脅威 セキュリティ戦略 完全性の保証 ・マイクロサービスの最新版の導入(MS-SS-9) ・セッション維持の取扱(MS-SS-10) ボットネット攻撃への対抗 ・資格情報の悪用やリスト型攻撃の防止(MS-SS-11) マイクロサービスのアーキテク チャ・フレームワーク ・APIゲートウェイの展開(MS-SS-12) ・サービス・メッシュの展開(MS-SS-13) 出典:NIST “SP 800-204: Security Strategies for Microservices-based Application Systems ”(2019年8月)
- 11. 11 サービス・メッシュを利用したマイクロサービスのセキュリティ(1) 米国NIST 「SP 800-204A(Draft): Building Secure Microservices-based Applications Using Service-Mesh Architecture」(2020年1月) • サービス・プロキシーに基づく手法におけるサービス・メッシュの コンポーネント向け展開ガイドラインを提供する: • サービス・プロキシー向け通信構成 • Ingressプレキシー向け構成 • 外部サービスへのアクセス向け構成 • アイデンティティ/アクセス管理向け構成 • 監視機能向け構成 • ネットワーク・レジリエンス向け構成 • オリジン間リソース共有(CORS)向け構成
- 12. 12 [構成](1) • 1. 序論 • 2. マイクロサービス・ベースのアプリケーション – 背景とセキュリティ要求事項: • 認証と権限付与の要求事項 • サービス・ディスカバリー • ネットワーク・レジリエンス技術を介した可用性の向上 • アプリケーション監視の要求事項 • 3. サービス・メッシュ – 定義と技術的背景 • サービス・メッシュのコンポーネントと機能 • Ingressコントローラー • Egressコントローラー • 通信ミドルウェアとしてのサービス・メッシュ:相違点 • サービス・メッシュ:最先端
- 13. 13 [構成](2) • 4. サービス・メッシュ展開の推奨事項(1) • サービス・プロキシー向け通信構成 • SM-DR1:サービス・プロキシーに許容されたトラフィックに関する 推奨事項 • SM-DR2:サービス・プロキシーの到達可能性に関する推奨事項 • SM-DR3:プロトコル転送機能に関する推奨事項 • SM-DR4:ユーザーの拡張可能性に関する推奨事項 • SM-DR5:プロキシー向け動的構成機能に関する推奨事項 • Ingressプレキシー向け構成 • SM-DR6:Ingressプレキシーに関する推奨事項 • 外部サービスへのアクセス向け構成 • SM-DR7:外部リソースへのアクセス制限に関する推奨事項 • SM-DR8:外部リソースへのセキュアなアクセスに関する推奨事項 • SM-DR9:Egressプロキシーに関する推奨事項
- 14. 14 [構成](3) • 4. サービス・メッシュ展開の推奨事項(2) • アイデンティティ/アクセス管理向け構成 • SM-DR10:ユニバーサル・アイデンティティ・ドメインに関する推奨事項 • SM-DR11:証明書の展開の署名に関する推奨事項 • SM-DR12:アイデンティティ証明書の更新に関する推奨事項 • SM-DR13:アイデンティティ変更におけるサービス・プロキシーの サイクル接続に関する推奨事項 • SM-DR14:アイデンティティ証明書に署名しない場合の推奨事項 • SM-DR15:セキュアなネーミングサービスに関する推奨事項 • SM-DR16:きめ細かいアイデンティティに関する推奨事項 • SM-DR17:認証ポリシーのスコープに関する推奨事項 • SM-DR18:認証トークンに関する推奨事項
- 15. 15 [構成](4) • 4. サービス・メッシュ展開の推奨事項(3) • 監視機能向け構成 • SM-DR19:イベントのロギングに関する推奨事項 • SM-DR20:リクエストのロギングに関する推奨事項 • SM-DR21:ログメッセージのコンテンツに関する推奨事項 • SM-DR22:必須指標に関する推奨事項 • SM-DR23:分散トレーシングの展開に関する推奨事項 • ネットワーク・レジリエンス向け構成 • SM-DR24:ネットワーク・レジリエンスの展開に関する推奨事項 • SM-DR25:サービス・インスタンスのヘルスチェックの展開に関する 推奨事項 • オリジン間リソース共有(CORS)向け構成 • SM-DR26:オリジン間リソース共有(CORS)に関する推奨事項
- 16. 16 クラウドセキュリティにおけるマイクロサービス(1) • CSA 「Security Guidance for the Critical Areas of Focus in Cloud Computing v4.0」 (2017年7月) • Domain 10:アプリケーションセキュリティ • 10.1.5 クラウドのアプリケーション設計と アーキテクチャへの影響 • 分離が最初から備わっていること • イミュータブル(不可変)インフラストラクチャ • マイクロサービス利用の拡大 • PaaSとサーバーレスアーキテクチャ
- 17. 17 クラウドセキュリティにおけるマイクロサービス(2) • APIのセキュリティ要件 • APIとWebサービスは特に入念に堅牢化し、認証を受けたのと 受けないのと両方の攻撃者からの攻撃を想定しておくこと。それには API向けに特別に設計された業界標準の認証手段を利用すること も含まれる。 • APIの不正利用や異常な動作を監視すること。 • APIとWebサービスは特に入念に設計とテストを行い、攻撃や テナント間の不正なまたは偶発的なアクセスを防ぐようにしなければ ならない。
- 18. 18 マイクロサービスセキュリティの課題(1) • CSA Application Containers and Microservices Working Group 「Challenges in Securing Application Containers and Microservices」(2019年7月) [構成] • 1. 序論 • 2. アプリケーションコンテナとマイクロサービスの課題 • 3. アプリケーションコンテナとマイクロサービス: ユースケースと機能 • 4. マイクロサービス
- 19. 19 マイクロサービスセキュリティの課題(2) • [主旨] • アプリケーションコンテナとマイクロサービスのアーキテクチャ は、DevOpsのようなアジャイルソフトウェア開発手法を 活用して、アプリケーションを設計、開発、展開するために 利用される • セキュリティは、これらのソフトウェア開発手法に組込まれる 必要がある • 本文書では、開発者、運用者、アーキテクトの視点を通し て、信頼性のあるセキュアなシステムのエンジニアリングに おいて、アプリケーションコンテナやマイクロサービスのセキュ リティに取組む際の課題を特定している
- 20. 20 マイクロサービスセキュリティの課題(3) • 4. マイクロサービス • 4.1 マイクロサービス:ユースケース • 4.1.1 アプリケーションのマイクロサービスへの分解 • 4.1.2 マイクロサービスアーキテクチャを利用した 新規アプリケーション開発 • 4.2 マイクロサービス:機能 • 4.2.1 マイクロサービスの完全性のバリデーション
- 21. 21 マイクロサービスセキュリティのベストプラクティス(1) • CSA Application Containers and Microservices Working Group 「Best Practices in Implementing a Secure Microservices Architecture」(2020年2月) マイクロサービスの課題解決のための推奨事項 およびベストプラクティス集 [構成] • 1. マイクロサービスアーキテクチャの概要 • サービスオリエンテッドアーキテクチャ(SOA) • モノリシックとマイクロサービスアーキテクチャの比較 • マイクロサービスの利点と課題
- 22. 22 マイクロサービスセキュリティのベストプラクティス(2) • 2. クラウドネイティブ・アプリケーション向け マイクロサービスアーキテクチャ • 全体的な脅威モデルと関連するベストプラクティス • APIのセキュア化 • マイクロサービス向けの認証とアクセス制御 • マイクロサービスアーキテクチャにおけるセキュアな展開 スタイルと戦略 • ステートフルとステートレスのマイクロサービスセキュリティ • コンテナストレージのインタフェース • ランタイムセキュリティ
- 23. 23 マイクロサービスセキュリティのベストプラクティス(3) • 3. マイクロサービスの展開とガバナンス • マイクロサービスにおけるコンテナセキュリティの ベストプラクティス • マイクロサービス検知の制御 • マイクロサービスのメッセージングパターン • マイクロサービスのガバナンス • 4. モノリシックアプリケーションの分解 • マイクロサービス:ユースケース • マイクロサービス:機能 • モノリシックアプリケーション分解のベストプラクティス