SlideShare a Scribd company logo

Vault の鍵管理機構

K
Katsuya Yamaguchi

HashiTalks: Japan 2020

Technology
1 of 52
Download to read offline
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 2020年7月1日 Yahoo! JAPAN Katsuya Yamaguchi HashiTalks: Japan 2020 Vault の鍵管理機構
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 自己紹介 • Katsuya Yamaguchi • Yahoo! Japan 入社4年目 (2017年~) 所属: テクノロジーグループシステム統括本部 セキュリティコア&コアテクノロジー本部 コアテクノロジー部 Data Protection Technology • Golang, Java, C/C++, Rust .. • ハードウェアや電子回路、VR なども好き ※自分が写っている写真がなかったので github のアイコンを載せておきます github.com/katyamag 今回のデモで使うツールも↑にあります 2
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 何をしている人? 社内で使われる技術、特にセキュリティ分野 のデータ保護領域に関しての実装をする • 社内用の Key Management Service, Secret Management Service の展開 • クライアントのためのライブラリの開発、提供 • PaaS, FaaS, CaaS などのプラットフォームに適した 鍵管理プロダクトの開発など 3
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 一般的な Vault の使用例 Vault はセンシティブなデータの管理や暗号鍵の管理など、 セキュリティ用途の中核として使われる 4
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. システムを運用すること システムを開発し、運用することは様々な知識の積み重ね 経験・知見 セキュリティ システムの理解× × • サービス展開経験 • 開発経験 • 運用、保守経験 etc.. • 認証認可 • 暗号理論 • ネットワークの知識 etc.. • プログラム言語の特性 • サービスの性質 • フレームワーク etc.. どれか一つでも欠けることはシステムの信頼性を損なってしまう 5
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. システムを運用すること システムを開発し、運用することは様々な知識の積み重ね 経験・知見 システムの理解セキュリティ× × • サービス展開経験 • 開発経験 • 運用、保守経験 etc.. • プログラム言語の特性 • サービスの性質 • フレームワーク etc.. • 認証認可 • 暗号理論 • ネットワークの知識 etc.. どれか一つでも欠けることはシステムの信頼性を損なってし まう恐れがある Vault 自身の理解も重要 6
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本発表のモチベーション 「ツールをただ使うのではなく、 きちんと理解した上で使いたい」 ※画像素材提供:アフロ 7
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本発表のモチベーション 「ツールをただ使うのではなく、 きちんと理解した上で使いたい」 ※画像素材提供:アフロ 8 どう使ったら危ないか
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本発表のモチベーション 「ツールをただ使うのではなく、 きちんと理解した上で使いたい」 ※画像素材提供:アフロ Vault がどういった原理で動き、 内部で何をしているのか ちゃんと整理できていますか? 9
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本発表のモチベーション 「ツールをただ使うのではなく、 きちんと理解した上で使いたい」 ※画像素材提供:アフロ Vault の管理を おざなりにしていませんか? 10
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本日の登壇内容のゴール ゴール: • Vault の鍵管理機構をいくつかのデモによって詳細に 理解できる • Vault をどう管理すべきかを改めて考えるきっかけに つながる ターゲット: • これから Vault を使おうと考えている方 • 今 Vault を運用している方 11
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 内容に関して 本日お話すること: • Vault に関する鍵に関して • Vault が管理するデータの構造に関して 本日お話しないこと: • Vault の各種機能の詳細 • 暗号化アルゴリズムの仕様・詳細 12
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Agenda ▪ Vault 内外の鍵管理 ▪ Encryption key の原理(デモ) ▪ Master key の原理(デモ) ▪ まとめ 13
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault 内外の鍵管理
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 用語の整理 ▪ 鍵 o データまたは鍵そのものの暗号化、復号に使用する モノ ▪ シークレット o Vault が管理するモノの総称 ▪ 鍵管理 o 上記「鍵」を安全に保持するための方法 o システム(仕組み)、セキュリティポリシーなど 15
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault 内部の鍵 Master key: Encryption key を暗号化・復号する Encryption key: Vault が管理するシークレットを暗号化・復号する これらの鍵はメモリ上でのみ展開されている Master key Encryption key encrypted Vault 内で管理される鍵 https://www.vaultproject.io/docs/concepts/seal#shamir-seals 16
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault のシークレット管理 https://www.vaultproject.io/docs/configuration/storage • Vault 外で保持されるシークレットは全て暗号化されている • シークレットは Vault がストレージから読み出すときに復号 される Storage Backend (encrypted) Encryption key 17
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. ストレージの中身 Encryption key によって暗号化されているため判別不可能 18
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault 外の鍵 key shares: Master key を復号するために使う鍵を シャミアの秘密分散法によって分割したもの Master key Encryption key encrypted Vault 内で管理される鍵 key shares encrypted https://www.vaultproject.io/docs/concepts/seal#shamir-seals 19
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault 外の鍵 key shares: Master key を復号するために使う鍵を シャミアの秘密分散法によって分割したもの Master key Encryption key encrypted Vault 内で管理される鍵 key shares encrypted https://www.vaultproject.io/docs/concepts/seal#shamir-seals 再構成にはしきい値分の key shares が必要 20
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Enterprise + HSM HSM 内で管理している鍵によって Master key を暗号化・復号する key shares を管理しないメリットがある(-> 物理的な保護の恩恵) https://www.vaultproject.io/docs/concepts/seal#auto-unseal HSM Master key Encryption key encrypted Vault 内で管理される鍵 encrypted 21
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 鍵管理責任の界面 運用者が責任を持つ Master key Encryption key encrypted key shares encrypted Vault が責任を持つ Vault 内外で鍵管理の責任は分かれている 22
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 鍵管理責任の界面:改 運用者が責任を持つ Master key Encryption key encrypted key shares encrypted Vault が責任を持つ Vault 内外で鍵管理の責任は分かれているが、Vault を実行する環境も運用者 の責任である 23
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 鍵管理は 運用者の責任が果たせないと崩壊していく Vault の仕組みを知り、デモによって理解していきましょう 24
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Encryption key の原理
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Keyring Encryption key: Vault が管理するシークレットを暗号化・復号 する鍵 Encryption key はいくつかの鍵で構成される鍵束である https://www.vaultproject.io/docs/concepts/seal#shamir-seals Master key Encryption keyring encrypted Vault 内で管理される鍵 26
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Term と activeTerm Term: 1 Term: 2 Term: 3 Term: 4 ( activeTerm ) • keyring 内では暗号化に使う鍵を Term (個々の鍵につけられる バージョン情報のようなもの) • activeTerm はシークレットの暗号化の際に常に優先的に使われ る鍵の Term を表す https://github.com/hashicorp/vault/blob/v1.4.2/vault/keyring.go#L21-L25 https://github.com/hashicorp/vault/blob/v1.4.2/vault/keyring.go#L34-L39 Latest key keyring 27
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Term と activeTerm Term: 1 Term: 2 Term: 3 Term: 4 • keyring 内の Term は rotate コマンドによって追加されていく • 生成された鍵はインクリメンタルに Term が割り当てられ、そ の鍵が activeTerm となる Term: 5 ( activeTerm ) keyring vault rotate 28
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 原理から考えると Encryption key があればシークレットの復号可能 Master key Encryption keyring encrypted Storage Backend (encrypted) 29
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 原理から考えると Encryption key があればシークレットの復号が可能なはず 30 Master key Encryption keyring encrypted
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. なので、 少しだけ悪さをします
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Demo: 暗号化されたシークレット を復号してみる
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 復号に失敗した理由
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Term とシークレット • シークレットは Term をデータ構造に持っている • 鍵が違うと当然復号もできない Term: 4 ( activeTerm )Encrypted with: Term: 3Encrypted with: Term: 1Encrypted with: 34
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. ここまでのまとめ • Encryption key は鍵束 ( keyring ) の構造である • Encryption key は Vault が持つシークレットの暗号化、復 号に用いられる • それぞれの鍵には Term という情報を持ち、常に新しい鍵 ( activeTerm ) が使われる • Encryption key が盗まれるとシークレットの復号が可能で あるが、シークレット自身が知る Term の鍵でないと復号で きないことを確認した 35
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Master key の原理
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. もう一歩進んでみる Master key Encryption keyring encrypted Master key があれば全てのシークレットの復号可能 37
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. もう一歩進んでみる Master key Encryption keyring encrypted keyring (暗号化されている) もストレージに存在 => Master key によって復号 => シークレットを復号 38
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 再び、 悪さをしてみる
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 前提条件の設定 key share がしきい値まで知られている Master key Encryption key encrypted Vault 内で管理される鍵 key shares encrypted 40
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. デモ内容解説 デバッグ用ツール( lldb ) でプロセスに attach する Master key 実行中の Vault のメモリから Master key を取得 41
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. デモ内容解説 Master key を使い Encryption key ( keyring ) を復号 Master key Encrypted keyring file decrypt 42
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. デモ内容解説 Master key Encryption key を使いデータを復号してみる keyring 43
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Demo2: Vault から新鮮な Master key を取ってみる
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. ここまでのまとめ • Master key は Encryption key を暗号化・復号するもの • Encryption key は暗号化された状態でストレージに存在 • Master key が流出すると、ストレージの全情報を復号で きる • Master key 流出の時点で鍵管理は崩壊 • (実は他にも Master key を取る方法があったり) 45
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. まとめ
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Demo1,2 で果たされなかった責任 運用者が責任を持つ ❌ Master key Encryption key encrypted key shares encrypted Vault が責任を持つ 実行環境で様々な操作ができてしまうような環境であったこと、 key shares の管理問題 47
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. どのようにして守るか 例) • 物理的、ネットワーク的に隔離さ れた場所からのみオペレーション 可能とする • 作業を最低でも2人で行う Vault が管理するシークレットの機密性に伴って アクセスを厳格にする シークレットの機密性と、動作するプラットフォームを考慮し最適なセ キュリティポリシーを策定(難しい) 48
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. まずやるべきは Vault production hardening は必読 今回の発表からこうすべき理由はなぜなのか、といったこ とがよりはっきりわかるかと思います 49
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. あなたの管理する Vault は大丈夫ですか? 見直すべきところはありませんか? 50
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. END
Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Reference • https://github.com/hashicorp/vault • https://medium.com/hashicorp-engineering/how-id-attack-your-hashicorp- vault-and-how-you-can-prevent-me-system-hardening-ce151454e26b • https://www.hashicorp.com/resources/building-a-repeatable-and- hardened-vault-poc/ • https://www.vaultproject.io/docs/internals/security • https://learn.hashicorp.com/vault/operations/production-hardening 52

Recommended

何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?
Kyohei Komatsu
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 
見終わったらすぐできる! VMware & Nutanix ユーザーのためのTerraform Cloud
見終わったらすぐできる! VMware & Nutanix ユーザーのためのTerraform Cloud見終わったらすぐできる! VMware & Nutanix ユーザーのためのTerraform Cloud
見終わったらすぐできる! VMware & Nutanix ユーザーのためのTerraform Cloud
Wataru Unno
 
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Aurora - Auroraの止まらない進化とその中身Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Web Services Japan
 
Kubernetesによる機械学習基盤への挑戦
Kubernetesによる機械学習基盤への挑戦Kubernetesによる機械学習基盤への挑戦
Kubernetesによる機械学習基盤への挑戦
Preferred Networks
 
root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす
Akihiro Suda
 
HashiCorp Vault 紹介
HashiCorp Vault 紹介HashiCorp Vault 紹介
HashiCorp Vault 紹介
hashicorpjp
 

Recommended

何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?何故 Okta を選んだか? 導入して体感したメリットとは?
何故 Okta を選んだか? 導入して体感したメリットとは?
Kyohei Komatsu
 
フロー技術によるネットワーク管理
フロー技術によるネットワーク管理フロー技術によるネットワーク管理
フロー技術によるネットワーク管理
Motonori Shindo
 
NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話NGINXをBFF (Backend for Frontend)として利用した話
NGINXをBFF (Backend for Frontend)として利用した話
Hitachi, Ltd. OSS Solution Center.
 
見終わったらすぐできる! VMware & Nutanix ユーザーのためのTerraform Cloud
見終わったらすぐできる! VMware & Nutanix ユーザーのためのTerraform Cloud見終わったらすぐできる! VMware & Nutanix ユーザーのためのTerraform Cloud
見終わったらすぐできる! VMware & Nutanix ユーザーのためのTerraform Cloud
Wataru Unno
 
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Aurora - Auroraの止まらない進化とその中身Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Aurora - Auroraの止まらない進化とその中身
Amazon Web Services Japan
 
Kubernetesによる機械学習基盤への挑戦
Kubernetesによる機械学習基盤への挑戦Kubernetesによる機械学習基盤への挑戦
Kubernetesによる機械学習基盤への挑戦
Preferred Networks
 
root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす
Akihiro Suda
 
HashiCorp Vault 紹介
HashiCorp Vault 紹介HashiCorp Vault 紹介
HashiCorp Vault 紹介
hashicorpjp
 
KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
Hitachi, Ltd. OSS Solution Center.
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
 
Microsoft Project Online 活用ガイド
Microsoft Project Online 活用ガイドMicrosoft Project Online 活用ガイド
Microsoft Project Online 活用ガイド
kumo2010
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
 
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
Yahoo!デベロッパーネットワーク
 
Oracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけてOracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけて
Yoichi Sai
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能
Kohei Tokunaga
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
 
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
AdvancedTechNight
 
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
NTT DATA Technology & Innovation
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
briscola-tokyo
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
CyberAgentのPrivateCloudeを支えるStorage基盤
CyberAgentのPrivateCloudeを支えるStorage基盤CyberAgentのPrivateCloudeを支えるStorage基盤
CyberAgentのPrivateCloudeを支えるStorage基盤
Hiroki Chinen
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
NTT DATA Technology & Innovation
 
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
Google Cloud Platform - Japan
 
AWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory ServiceAWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory Service
Amazon Web Services Japan
 
Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版
Masahito Zembutsu
 
Oracle Analytics Cloud のご紹介【2021年3月版】
Oracle Analytics Cloud のご紹介【2021年3月版】Oracle Analytics Cloud のご紹介【2021年3月版】
Oracle Analytics Cloud のご紹介【2021年3月版】
オラクルエンジニア通信
 
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
Google Cloud Platform - Japan
 
Terraform with Bitbucket pipeline
Terraform with Bitbucket pipelineTerraform with Bitbucket pipeline
Terraform with Bitbucket pipeline
Masatomo Ito
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
 

More Related Content

What's hot

KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
Hitachi, Ltd. OSS Solution Center.
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
Amazon Web Services Japan
 
Microsoft Project Online 活用ガイド
Microsoft Project Online 活用ガイドMicrosoft Project Online 活用ガイド
Microsoft Project Online 活用ガイド
kumo2010
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
Amazon Web Services Japan
 
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
Yahoo!デベロッパーネットワーク
 
Oracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけてOracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけて
Yoichi Sai
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能
Kohei Tokunaga
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
Akihiro Suda
 
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
AdvancedTechNight
 
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
NTT DATA Technology & Innovation
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
briscola-tokyo
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
 
CyberAgentのPrivateCloudeを支えるStorage基盤
CyberAgentのPrivateCloudeを支えるStorage基盤CyberAgentのPrivateCloudeを支えるStorage基盤
CyberAgentのPrivateCloudeを支えるStorage基盤
Hiroki Chinen
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
Akihiro Suda
 
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
NTT DATA Technology & Innovation
 
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
Google Cloud Platform - Japan
 
AWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory ServiceAWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory Service
Amazon Web Services Japan
 
Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版
Masahito Zembutsu
 
Oracle Analytics Cloud のご紹介【2021年3月版】
Oracle Analytics Cloud のご紹介【2021年3月版】Oracle Analytics Cloud のご紹介【2021年3月版】
Oracle Analytics Cloud のご紹介【2021年3月版】
オラクルエンジニア通信
 
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
Google Cloud Platform - Japan
 

What's hot (20)

KubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdfKubeConRecap_nakamura.pdf
KubeConRecap_nakamura.pdf
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
 
Microsoft Project Online 活用ガイド
Microsoft Project Online 活用ガイドMicrosoft Project Online 活用ガイド
Microsoft Project Online 活用ガイド
 
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
ゲームアーキテクチャパターン (Aurora Serverless / DynamoDB)
 
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
「仮想マシンからの移⾏先としてPaaSとKaaS、どちらを選ぶか? #ヤフー名古屋」
 
Oracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけてOracleからamazon auroraへの移行にむけて
Oracleからamazon auroraへの移行にむけて
 
BuildKitの概要と最近の機能
BuildKitの概要と最近の機能BuildKitの概要と最近の機能
BuildKitの概要と最近の機能
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルド
 
単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介単なるキャッシュじゃないよ!?infinispanの紹介
単なるキャッシュじゃないよ!?infinispanの紹介
 
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
Knative Eventing 入門(Kubernetes Novice Tokyo #11 発表資料)
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
 
CyberAgentのPrivateCloudeを支えるStorage基盤
CyberAgentのPrivateCloudeを支えるStorage基盤CyberAgentのPrivateCloudeを支えるStorage基盤
CyberAgentのPrivateCloudeを支えるStorage基盤
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行
 
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
Anthos を使ったエンタープライズ向けクラスタの設計とアップグレード戦略のススメ(CloudNative Days Tokyo 2021 発表資料)
 
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
 
AWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory ServiceAWS Black Belt Techシリーズ AWS Directory Service
AWS Black Belt Techシリーズ AWS Directory Service
 
Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版Dockerfileを改善するためのBest Practice 2019年版
Dockerfileを改善するためのBest Practice 2019年版
 
Oracle Analytics Cloud のご紹介【2021年3月版】
Oracle Analytics Cloud のご紹介【2021年3月版】Oracle Analytics Cloud のご紹介【2021年3月版】
Oracle Analytics Cloud のご紹介【2021年3月版】
 
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
[Cloud OnAir] BigQuery の仕組みからベストプラクティスまでのご紹介 2018年9月6日 放送
 

Similar to Vault の鍵管理機構

Terraform with Bitbucket pipeline
Terraform with Bitbucket pipelineTerraform with Bitbucket pipeline
Terraform with Bitbucket pipeline
Masatomo Ito
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
Katsuya Yamaguchi
 
Hyperledgerのチュートリアルで理解する基幹システム向けブロックチェーンハンズオン
Hyperledgerのチュートリアルで理解する基幹システム向けブロックチェーンハンズオンHyperledgerのチュートリアルで理解する基幹システム向けブロックチェーンハンズオン
Hyperledgerのチュートリアルで理解する基幹システム向けブロックチェーンハンズオン
健一 茂木
 
de:code 2019 Azure IoT Hub クラウド側の最新機能:デモも交えてご紹介
de:code 2019 Azure IoT Hub クラウド側の最新機能:デモも交えてご紹介de:code 2019 Azure IoT Hub クラウド側の最新機能:デモも交えてご紹介
de:code 2019 Azure IoT Hub クラウド側の最新機能:デモも交えてご紹介
Masaru Takahashi
 
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
Toru Yamaguchi
 
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
MITSUNARI Shigeo
 
Nifty cloud jtf2014ハンズオン資料
Nifty cloud jtf2014ハンズオン資料Nifty cloud jtf2014ハンズオン資料
Nifty cloud jtf2014ハンズオン資料亮介 山口
 
TripleO Deep Dive 1.1
TripleO Deep Dive 1.1TripleO Deep Dive 1.1
TripleO Deep Dive 1.1
Takashi Kajinami
 
Kubernetes Cluster Adminやってました #con_rider
Kubernetes Cluster Adminやってました #con_riderKubernetes Cluster Adminやってました #con_rider
Kubernetes Cluster Adminやってました #con_rider
Yahoo!デベロッパーネットワーク
 
【de:code 2020】 セキュアなソフトウェアを実現する、GitHub のコード解析のご紹介
【de:code 2020】 セキュアなソフトウェアを実現する、GitHub のコード解析のご紹介【de:code 2020】 セキュアなソフトウェアを実現する、GitHub のコード解析のご紹介
【de:code 2020】 セキュアなソフトウェアを実現する、GitHub のコード解析のご紹介
日本マイクロソフト株式会社
 
エンジニアという職業について
エンジニアという職業についてエンジニアという職業について
エンジニアという職業について
Hisatoshi Kikumoto
 
ドリコムのインフラCI
ドリコムのインフラCIドリコムのインフラCI
ドリコムのインフラCI
Go Sueyoshi (a.k.a sue445)
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
Isao Takaesu
 
YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略
Yahoo!デベロッパーネットワーク
 
社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット
Katsuya Yamaguchi
 
Secure element for IoT device
Secure element for IoT deviceSecure element for IoT device
Secure element for IoT device
Kentaro Mitsuyasu
 
LoRaWANとAzure IoT Hub接続ハンズオン
LoRaWANとAzure IoT Hub接続ハンズオンLoRaWANとAzure IoT Hub接続ハンズオン
LoRaWANとAzure IoT Hub接続ハンズオン
Tomokazu Kizawa
 
Lambda: A Peek Under The Hood [Java Day Tokyo 2015 6-3]
Lambda: A Peek Under The Hood [Java Day Tokyo 2015 6-3]Lambda: A Peek Under The Hood [Java Day Tokyo 2015 6-3]
Lambda: A Peek Under The Hood [Java Day Tokyo 2015 6-3]
David Buck
 
Play framework 2.0のおすすめと1.2からのアップグレード
Play framework 2.0のおすすめと1.2からのアップグレードPlay framework 2.0のおすすめと1.2からのアップグレード
Play framework 2.0のおすすめと1.2からのアップグレード
Kazuhiro Hara
 
Unityゲームにオンラインランキングとゴースト機能を追加しよう!
Unityゲームにオンラインランキングとゴースト機能を追加しよう!Unityゲームにオンラインランキングとゴースト機能を追加しよう!
Unityゲームにオンラインランキングとゴースト機能を追加しよう!
史識 川原
 

Similar to Vault の鍵管理機構 (20)

Terraform with Bitbucket pipeline
Terraform with Bitbucket pipelineTerraform with Bitbucket pipeline
Terraform with Bitbucket pipeline
 
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
CSI Driverを開発し自社プライベートクラウドにより適した安全なKubernetes Secrets管理を実現した話
 
Hyperledgerのチュートリアルで理解する基幹システム向けブロックチェーンハンズオン
Hyperledgerのチュートリアルで理解する基幹システム向けブロックチェーンハンズオンHyperledgerのチュートリアルで理解する基幹システム向けブロックチェーンハンズオン
Hyperledgerのチュートリアルで理解する基幹システム向けブロックチェーンハンズオン
 
de:code 2019 Azure IoT Hub クラウド側の最新機能:デモも交えてご紹介
de:code 2019 Azure IoT Hub クラウド側の最新機能:デモも交えてご紹介de:code 2019 Azure IoT Hub クラウド側の最新機能:デモも交えてご紹介
de:code 2019 Azure IoT Hub クラウド側の最新機能:デモも交えてご紹介
 
技術選択とアーキテクトの役割
技術選択とアーキテクトの役割技術選択とアーキテクトの役割
技術選択とアーキテクトの役割
 
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
 
Nifty cloud jtf2014ハンズオン資料
Nifty cloud jtf2014ハンズオン資料Nifty cloud jtf2014ハンズオン資料
Nifty cloud jtf2014ハンズオン資料
 
TripleO Deep Dive 1.1
TripleO Deep Dive 1.1TripleO Deep Dive 1.1
TripleO Deep Dive 1.1
 
Kubernetes Cluster Adminやってました #con_rider
Kubernetes Cluster Adminやってました #con_riderKubernetes Cluster Adminやってました #con_rider
Kubernetes Cluster Adminやってました #con_rider
 
【de:code 2020】 セキュアなソフトウェアを実現する、GitHub のコード解析のご紹介
【de:code 2020】 セキュアなソフトウェアを実現する、GitHub のコード解析のご紹介【de:code 2020】 セキュアなソフトウェアを実現する、GitHub のコード解析のご紹介
【de:code 2020】 セキュアなソフトウェアを実現する、GitHub のコード解析のご紹介
 
エンジニアという職業について
エンジニアという職業についてエンジニアという職業について
エンジニアという職業について
 
ドリコムのインフラCI
ドリコムのインフラCIドリコムのインフラCI
ドリコムのインフラCI
 
OSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツールOSSで作る機械学習を用いたペネトレーションテストツール
OSSで作る機械学習を用いたペネトレーションテストツール
 
YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略YJTC18 A-1 大規模サーバの戦略
YJTC18 A-1 大規模サーバの戦略
 
社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット社内認証基盤用のVault Pluginを作るメリット
社内認証基盤用のVault Pluginを作るメリット
 
Secure element for IoT device
Secure element for IoT deviceSecure element for IoT device
Secure element for IoT device
 
LoRaWANとAzure IoT Hub接続ハンズオン
LoRaWANとAzure IoT Hub接続ハンズオンLoRaWANとAzure IoT Hub接続ハンズオン
LoRaWANとAzure IoT Hub接続ハンズオン
 
Lambda: A Peek Under The Hood [Java Day Tokyo 2015 6-3]
Lambda: A Peek Under The Hood [Java Day Tokyo 2015 6-3]Lambda: A Peek Under The Hood [Java Day Tokyo 2015 6-3]
Lambda: A Peek Under The Hood [Java Day Tokyo 2015 6-3]
 
Play framework 2.0のおすすめと1.2からのアップグレード
Play framework 2.0のおすすめと1.2からのアップグレードPlay framework 2.0のおすすめと1.2からのアップグレード
Play framework 2.0のおすすめと1.2からのアップグレード
 
Unityゲームにオンラインランキングとゴースト機能を追加しよう!
Unityゲームにオンラインランキングとゴースト機能を追加しよう!Unityゲームにオンラインランキングとゴースト機能を追加しよう!
Unityゲームにオンラインランキングとゴースト機能を追加しよう!
 

Recently uploaded

FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
atsushi061452
 
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance
 
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
Toru Tamaki
 
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
yassun7010
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance
 
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
harmonylab
 
CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料
Yuuitirou528 default
 
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
Fukuoka Institute of Technology
 
【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow
Sony - Neural Network Libraries
 
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
Matsushita Laboratory
 
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
CRI Japan, Inc.
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
iPride Co., Ltd.
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
NTT DATA Technology & Innovation
 

Recently uploaded (16)

FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdfFIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
FIDO Alliance Osaka Seminar: PlayStation Passkey Deployment Case Study.pdf
 
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
論文紹介: Offline Q-Learning on diverse Multi-Task data both scales and generalizes
 
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdfFIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
FIDO Alliance Osaka Seminar: NEC & Yubico Panel.pdf
 
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
 
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
2024年度_サイバーエージェント_新卒研修「データベースの歴史」.pptx
 
FIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdfFIDO Alliance Osaka Seminar: CloudGate.pdf
FIDO Alliance Osaka Seminar: CloudGate.pdf
 
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
【DLゼミ】XFeat: Accelerated Features for Lightweight Image Matching
 
CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料
 
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
単腕マニピュレータによる 複数物体の同時組み立ての 基礎的考察 / Basic Approach to Robotic Assembly of Multi...
 
【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow【AI論文解説】Consistency ModelとRectified Flow
【AI論文解説】Consistency ModelとRectified Flow
 
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
 
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdfFIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
FIDO Alliance Osaka Seminar: LY-DOCOMO-KDDI-Mercari Panel.pdf
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
 
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
MPAなWebフレームワーク、Astroの紹介 (その2) 2024/05/24の勉強会で発表されたものです。
 
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdfFIDO Alliance Osaka Seminar: Welcome Slides.pdf
FIDO Alliance Osaka Seminar: Welcome Slides.pdf
 
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
YugabyteDB適用に向けた取り組みと隠れた魅力 (DSS Asia 2024 発表資料)
 

Vault の鍵管理機構

  • 1. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 2020年7月1日 Yahoo! JAPAN Katsuya Yamaguchi HashiTalks: Japan 2020 Vault の鍵管理機構
  • 2. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 自己紹介 • Katsuya Yamaguchi • Yahoo! Japan 入社4年目 (2017年~) 所属: テクノロジーグループシステム統括本部 セキュリティコア&コアテクノロジー本部 コアテクノロジー部 Data Protection Technology • Golang, Java, C/C++, Rust .. • ハードウェアや電子回路、VR なども好き ※自分が写っている写真がなかったので github のアイコンを載せておきます github.com/katyamag 今回のデモで使うツールも↑にあります 2
  • 3. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 何をしている人? 社内で使われる技術、特にセキュリティ分野 のデータ保護領域に関しての実装をする • 社内用の Key Management Service, Secret Management Service の展開 • クライアントのためのライブラリの開発、提供 • PaaS, FaaS, CaaS などのプラットフォームに適した 鍵管理プロダクトの開発など 3
  • 4. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 一般的な Vault の使用例 Vault はセンシティブなデータの管理や暗号鍵の管理など、 セキュリティ用途の中核として使われる 4
  • 5. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. システムを運用すること システムを開発し、運用することは様々な知識の積み重ね 経験・知見 セキュリティ システムの理解× × • サービス展開経験 • 開発経験 • 運用、保守経験 etc.. • 認証認可 • 暗号理論 • ネットワークの知識 etc.. • プログラム言語の特性 • サービスの性質 • フレームワーク etc.. どれか一つでも欠けることはシステムの信頼性を損なってしまう 5
  • 6. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. システムを運用すること システムを開発し、運用することは様々な知識の積み重ね 経験・知見 システムの理解セキュリティ× × • サービス展開経験 • 開発経験 • 運用、保守経験 etc.. • プログラム言語の特性 • サービスの性質 • フレームワーク etc.. • 認証認可 • 暗号理論 • ネットワークの知識 etc.. どれか一つでも欠けることはシステムの信頼性を損なってし まう恐れがある Vault 自身の理解も重要 6
  • 7. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本発表のモチベーション 「ツールをただ使うのではなく、 きちんと理解した上で使いたい」 ※画像素材提供:アフロ 7
  • 8. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本発表のモチベーション 「ツールをただ使うのではなく、 きちんと理解した上で使いたい」 ※画像素材提供:アフロ 8 どう使ったら危ないか
  • 9. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本発表のモチベーション 「ツールをただ使うのではなく、 きちんと理解した上で使いたい」 ※画像素材提供:アフロ Vault がどういった原理で動き、 内部で何をしているのか ちゃんと整理できていますか? 9
  • 10. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本発表のモチベーション 「ツールをただ使うのではなく、 きちんと理解した上で使いたい」 ※画像素材提供:アフロ Vault の管理を おざなりにしていませんか? 10
  • 11. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 本日の登壇内容のゴール ゴール: • Vault の鍵管理機構をいくつかのデモによって詳細に 理解できる • Vault をどう管理すべきかを改めて考えるきっかけに つながる ターゲット: • これから Vault を使おうと考えている方 • 今 Vault を運用している方 11
  • 12. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 内容に関して 本日お話すること: • Vault に関する鍵に関して • Vault が管理するデータの構造に関して 本日お話しないこと: • Vault の各種機能の詳細 • 暗号化アルゴリズムの仕様・詳細 12
  • 13. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Agenda ▪ Vault 内外の鍵管理 ▪ Encryption key の原理(デモ) ▪ Master key の原理(デモ) ▪ まとめ 13
  • 14. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault 内外の鍵管理
  • 15. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 用語の整理 ▪ 鍵 o データまたは鍵そのものの暗号化、復号に使用する モノ ▪ シークレット o Vault が管理するモノの総称 ▪ 鍵管理 o 上記「鍵」を安全に保持するための方法 o システム(仕組み)、セキュリティポリシーなど 15
  • 16. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault 内部の鍵 Master key: Encryption key を暗号化・復号する Encryption key: Vault が管理するシークレットを暗号化・復号する これらの鍵はメモリ上でのみ展開されている Master key Encryption key encrypted Vault 内で管理される鍵 https://www.vaultproject.io/docs/concepts/seal#shamir-seals 16
  • 17. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault のシークレット管理 https://www.vaultproject.io/docs/configuration/storage • Vault 外で保持されるシークレットは全て暗号化されている • シークレットは Vault がストレージから読み出すときに復号 される Storage Backend (encrypted) Encryption key 17
  • 18. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. ストレージの中身 Encryption key によって暗号化されているため判別不可能 18
  • 19. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault 外の鍵 key shares: Master key を復号するために使う鍵を シャミアの秘密分散法によって分割したもの Master key Encryption key encrypted Vault 内で管理される鍵 key shares encrypted https://www.vaultproject.io/docs/concepts/seal#shamir-seals 19
  • 20. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Vault 外の鍵 key shares: Master key を復号するために使う鍵を シャミアの秘密分散法によって分割したもの Master key Encryption key encrypted Vault 内で管理される鍵 key shares encrypted https://www.vaultproject.io/docs/concepts/seal#shamir-seals 再構成にはしきい値分の key shares が必要 20
  • 21. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Enterprise + HSM HSM 内で管理している鍵によって Master key を暗号化・復号する key shares を管理しないメリットがある(-> 物理的な保護の恩恵) https://www.vaultproject.io/docs/concepts/seal#auto-unseal HSM Master key Encryption key encrypted Vault 内で管理される鍵 encrypted 21
  • 22. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 鍵管理責任の界面 運用者が責任を持つ Master key Encryption key encrypted key shares encrypted Vault が責任を持つ Vault 内外で鍵管理の責任は分かれている 22
  • 23. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 鍵管理責任の界面:改 運用者が責任を持つ Master key Encryption key encrypted key shares encrypted Vault が責任を持つ Vault 内外で鍵管理の責任は分かれているが、Vault を実行する環境も運用者 の責任である 23
  • 24. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 鍵管理は 運用者の責任が果たせないと崩壊していく Vault の仕組みを知り、デモによって理解していきましょう 24
  • 25. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Encryption key の原理
  • 26. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Keyring Encryption key: Vault が管理するシークレットを暗号化・復号 する鍵 Encryption key はいくつかの鍵で構成される鍵束である https://www.vaultproject.io/docs/concepts/seal#shamir-seals Master key Encryption keyring encrypted Vault 内で管理される鍵 26
  • 27. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Term と activeTerm Term: 1 Term: 2 Term: 3 Term: 4 ( activeTerm ) • keyring 内では暗号化に使う鍵を Term (個々の鍵につけられる バージョン情報のようなもの) • activeTerm はシークレットの暗号化の際に常に優先的に使われ る鍵の Term を表す https://github.com/hashicorp/vault/blob/v1.4.2/vault/keyring.go#L21-L25 https://github.com/hashicorp/vault/blob/v1.4.2/vault/keyring.go#L34-L39 Latest key keyring 27
  • 28. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Term と activeTerm Term: 1 Term: 2 Term: 3 Term: 4 • keyring 内の Term は rotate コマンドによって追加されていく • 生成された鍵はインクリメンタルに Term が割り当てられ、そ の鍵が activeTerm となる Term: 5 ( activeTerm ) keyring vault rotate 28
  • 29. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 原理から考えると Encryption key があればシークレットの復号可能 Master key Encryption keyring encrypted Storage Backend (encrypted) 29
  • 30. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 原理から考えると Encryption key があればシークレットの復号が可能なはず 30 Master key Encryption keyring encrypted
  • 31. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. なので、 少しだけ悪さをします
  • 32. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Demo: 暗号化されたシークレット を復号してみる
  • 33. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 復号に失敗した理由
  • 34. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Term とシークレット • シークレットは Term をデータ構造に持っている • 鍵が違うと当然復号もできない Term: 4 ( activeTerm )Encrypted with: Term: 3Encrypted with: Term: 1Encrypted with: 34
  • 35. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. ここまでのまとめ • Encryption key は鍵束 ( keyring ) の構造である • Encryption key は Vault が持つシークレットの暗号化、復 号に用いられる • それぞれの鍵には Term という情報を持ち、常に新しい鍵 ( activeTerm ) が使われる • Encryption key が盗まれるとシークレットの復号が可能で あるが、シークレット自身が知る Term の鍵でないと復号で きないことを確認した 35
  • 36. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Master key の原理
  • 37. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. もう一歩進んでみる Master key Encryption keyring encrypted Master key があれば全てのシークレットの復号可能 37
  • 38. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. もう一歩進んでみる Master key Encryption keyring encrypted keyring (暗号化されている) もストレージに存在 => Master key によって復号 => シークレットを復号 38
  • 39. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 再び、 悪さをしてみる
  • 40. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. 前提条件の設定 key share がしきい値まで知られている Master key Encryption key encrypted Vault 内で管理される鍵 key shares encrypted 40
  • 41. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. デモ内容解説 デバッグ用ツール( lldb ) でプロセスに attach する Master key 実行中の Vault のメモリから Master key を取得 41
  • 42. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. デモ内容解説 Master key を使い Encryption key ( keyring ) を復号 Master key Encrypted keyring file decrypt 42
  • 43. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. デモ内容解説 Master key Encryption key を使いデータを復号してみる keyring 43
  • 44. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Demo2: Vault から新鮮な Master key を取ってみる
  • 45. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. ここまでのまとめ • Master key は Encryption key を暗号化・復号するもの • Encryption key は暗号化された状態でストレージに存在 • Master key が流出すると、ストレージの全情報を復号で きる • Master key 流出の時点で鍵管理は崩壊 • (実は他にも Master key を取る方法があったり) 45
  • 46. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. まとめ
  • 47. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Demo1,2 で果たされなかった責任 運用者が責任を持つ ❌ Master key Encryption key encrypted key shares encrypted Vault が責任を持つ 実行環境で様々な操作ができてしまうような環境であったこと、 key shares の管理問題 47
  • 48. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. どのようにして守るか 例) • 物理的、ネットワーク的に隔離さ れた場所からのみオペレーション 可能とする • 作業を最低でも2人で行う Vault が管理するシークレットの機密性に伴って アクセスを厳格にする シークレットの機密性と、動作するプラットフォームを考慮し最適なセ キュリティポリシーを策定(難しい) 48
  • 49. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. まずやるべきは Vault production hardening は必読 今回の発表からこうすべき理由はなぜなのか、といったこ とがよりはっきりわかるかと思います 49
  • 50. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. あなたの管理する Vault は大丈夫ですか? 見直すべきところはありませんか? 50
  • 51. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved.Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. END
  • 52. Copyright (C) 2020 Yahoo Japan Corporation. All Rights Reserved. Reference • https://github.com/hashicorp/vault • https://medium.com/hashicorp-engineering/how-id-attack-your-hashicorp- vault-and-how-you-can-prevent-me-system-hardening-ce151454e26b • https://www.hashicorp.com/resources/building-a-repeatable-and- hardened-vault-poc/ • https://www.vaultproject.io/docs/internals/security • https://learn.hashicorp.com/vault/operations/production-hardening 52