SlideShare a Scribd company logo

Cloud Native Security

Takayuki Kabu
Takayuki Kabu

Credhub

Technology
1 of 20
Download to read offline
© Copyright 2017 Pivotal Software, Inc. All rights Reserved. Version 1.0 Version 1.0 September 2017 CredHub Secure Credential Management in Cloud Foundry
ymantec 2016 Internet hreat eport ● 毎週、新たなゼロデイ脆弱性が発見されている ● 5億件も 個人情報が盗まれた、また 喪失した ● ウェブサイト 4分 3に脆弱性が見つかった ● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた ● ランサムウェアが35パーセント増えた
ymantec 2016 Internet hreat eport ● 毎週、新たなゼロデイ脆弱性が発見されている ● 5億件も 個人情報が盗まれた、また 喪失した ● ウェブサイト 4分 3に脆弱性が見つかった ● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた ● ランサムウェアが35パーセント増えた 技術 進歩 攻撃 多様化 脅威 数 増大
大打撃を与えるタイプ 脅威 ● マルウェア ○ これ 、ウイルス、トロイ 木馬、ワーム、スパイウェア、そ 他悪意 あるプログラムすべてに当 て まる用語です。 ● 持続的標的型攻撃 (APT) ○ APTと 、ネットワークへ アクセスに成功した攻撃者が、長期にわたって検出されずに留まるタイ プ 侵害です。脅威が検出されずに留まれ それだけ、データ リスクが高まります。 ● 認証情報 漏洩 ○ 認証情報 、情報また そ 他 リソースへ アクセスを制御します。重要なシステムに対する従 業員 認証情報を組織がいかに厳しく閉じ込めようとしても、相変わらず外に漏れてしまうようで す。
従来 エンタープライズセキュリティ 考え方 システム変更 リスク=
従来 エンタープライズセキュリティ 考え方 システム変更 リスク= セキュリティパッチ 放置 マルウェア対策 遅れ 認証情報更新 遅れ
Cloud Native Security 3Rs ● Repair (修理) ○ ダウンタイムなしで VM 再構築 ● Repave (再補修) ○ Stemcell(OS)やBuildpacks(アプリケーションスタック) 無停止で 修正 ● Rotate (循環) ○ 認証情報 継続的かつ迅速な循環
Rotate Secure Credential Management in Cloud Foundry
CredHub 機能 ● Securing data for storage ● Authentication ● Authorization ● Access and change logging ● Data typing ● Credential generation ● Credential metadata ● Credential versioning
CredHub アーキテクチャ CredHub ● REST APIサーバ ● 暗号化プロバイダー ○ AES256-GCM ○ LunaHSM Authentication Provider ● UAA ● 相互TLS Storage Provider ● MySQL ● PostgreSQL PCFで BOSH Director上に構成
BOSH VM CredHub Elastic Runtime MySQLfor PCF Redis for PCF Deployments generate rotate etc..
jobs: - name: streaming-mysql-backup-client release: mysql-backup consumes: {} provides: {} properties: cf-mysql-backup: symmetric_key: QlD5saBisFRCxzaP91Jxth-XPxUrxP3A backup-all-masters: false endpoint_credentials: username: "((mysql-backup-server-db-credentials.username))" password: "((mysql-backup-server-db-credentials.password))"
Rotate まとめ ● 利用技術 ○ CredHub ○ OSSで開発が進む CF 用プロジェクト ○ CF内 認証情報を一元管理する ○ BOSHマニフェスト内 クレデンシャルを一部credhub で管理開始 ○ PCF1.12から導入 ○ 今後 サービス クレデンシャルにも対応 ● 利点 ○ 認証情報 循環を通した、情報漏えい対策が可能 ○ 散財する認証情報を一元化 ○ BOSHマニフェスト内へ 認証情報 記載を阻止(Gitにあげやすい)
Pivotal Cloud Foundryセキュリティへ 取り組み ● 暗号化とセキュリティプロトコル ○ TLS, SSH, IPSec ● アンチウィルス ● 脆弱性対応 ○ OSやミドルウェア 脆弱性対応やアップグレードが容易 ○ OSやミドルウェア セキュリティ対応を Pivotalが実施 ● 認証 ○ LDAP, AD, oAuthなど対応 ● ログ ○ PCFから監査ログ、OS ログなどをすべて取得 ○ 既存 ログシステムを利用することでログ 改ざん検知なども可能 ● 脆弱性スキャニング ○ 出荷前にNessusを利用しチェック ○ 脆弱性対応 Pivotalが実施 ○ アドオン機能を利用して定期的なスキャニングも可能 ● 侵入検知と改ざん検知 ○ ファイル改ざん検知 アドオン機能を提供
Pivotal Cloud Foundry Security BOSH Add-ons ● アドオン機能によりセキュリティ機能を提供 ● PCF常に展開するVMを管理するBOSHを介してア ドオン形式でソフトウェアをインストール可能 ● 一括適用や更新が可能であるため個別 導入や 設定が不要となる ● ラインナップ ● File Integrity Monitoring Add-on ○ ファイル改ざん検知 ● ClamAV Add-on ○ アンチウイルス ● IPSec Add-on ○ 通信暗号化 BOSH Director VM FIM ClamAV IPSec VM FIM ClamAV IPSec VM FIM ClamAV IPSec
Transforming How The World Builds Software © Copyright 2017 Pivotal Software, Inc. All rights Reserved.

Recommended

特権IDの実態と対策
特権IDの実態と対策特権IDの実態と対策
特権IDの実態と対策ykatayama
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出oshiro_seiya
 
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化シスコシステムズ合同会社
 
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービスシスコシステムズ合同会社
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 

Recommended

特権IDの実態と対策
特権IDの実態と対策特権IDの実態と対策
特権IDの実態と対策ykatayama
 
OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出OWASP_Top_10_2017_A3機微な情報の露出
OWASP_Top_10_2017_A3機微な情報の露出oshiro_seiya
 
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化シスコシステムズ合同会社
 
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービスシスコシステムズ合同会社
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPRiotaro OKADA
 
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスクRiotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
サイバーセキュリティ月間
サイバーセキュリティ月間サイバーセキュリティ月間
サイバーセキュリティ月間地域連携ステーション フミコム
 
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~MPN Japan
 
20200925 iret tech labo #2
20200925 iret tech labo #220200925 iret tech labo #2
20200925 iret tech labo #2Toshiaki Aoike
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
CSIRT研修サービス(講師版)
CSIRT研修サービス(講師版)CSIRT研修サービス(講師版)
CSIRT研修サービス(講師版)IBMソリューション
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
CSIRT研修サービス
CSIRT研修サービスCSIRT研修サービス
CSIRT研修サービスIBMソリューション
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す Elasticsearch
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-imatrix_share
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威Noriaki Hayashi
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?グローバルセキュリティエキスパート株式会社(GSX)
 
Fit forum seminar_20170623
Fit forum seminar_20170623Fit forum seminar_20170623
Fit forum seminar_20170623Ken Lam
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー株式会社クライム
 

More Related Content

What's hot

「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~MPN Japan
 
20200925 iret tech labo #2
20200925 iret tech labo #220200925 iret tech labo #2
20200925 iret tech labo #2Toshiaki Aoike
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵Riotaro OKADA
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenterMasakazu Kishima
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021Riotaro OKADA
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す Elasticsearch
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 

What's hot (17)

「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
サイバーセキュリティ月間
サイバーセキュリティ月間サイバーセキュリティ月間
サイバーセキュリティ月間
 
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
 
20200925 iret tech labo #2
20200925 iret tech labo #220200925 iret tech labo #2
20200925 iret tech labo #2
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
CSIRT研修サービス(講師版)
CSIRT研修サービス(講師版)CSIRT研修サービス(講師版)
CSIRT研修サービス(講師版)
 
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
 
CSIRT研修サービス
CSIRT研修サービスCSIRT研修サービス
CSIRT研修サービス
 
20180224 azure securitycenter
20180224 azure securitycenter20180224 azure securitycenter
20180224 azure securitycenter
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021DXとセキュリティ / IPA Digital Symposium 2021
DXとセキュリティ / IPA Digital Symposium 2021
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す 包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 

Similar to Cloud Native Security

「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-imatrix_share
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威Noriaki Hayashi
 
Fit forum seminar_20170623
Fit forum seminar_20170623Fit forum seminar_20170623
Fit forum seminar_20170623Ken Lam
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー株式会社クライム
 
Office 365 E5 Trust 機能概要
Office 365 E5 Trust 機能概要Office 365 E5 Trust 機能概要
Office 365 E5 Trust 機能概要MPN Japan
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践itforum-roundtable
 
CybersixgillJapaneseBrochure_20240408000
CybersixgillJapaneseBrochure_20240408000CybersixgillJapaneseBrochure_20240408000
CybersixgillJapaneseBrochure_20240408000mkoda1
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Takayoshi Takaoka
 
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」株式会社クライム
 

Similar to Cloud Native Security (11)

「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
Fit forum seminar_20170623
Fit forum seminar_20170623Fit forum seminar_20170623
Fit forum seminar_20170623
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナーランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
 
Office 365 E5 Trust 機能概要
Office 365 E5 Trust 機能概要Office 365 E5 Trust 機能概要
Office 365 E5 Trust 機能概要
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
 
CybersixgillJapaneseBrochure_20240408000
CybersixgillJapaneseBrochure_20240408000CybersixgillJapaneseBrochure_20240408000
CybersixgillJapaneseBrochure_20240408000
 
Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1Bc threat intelligence_rev2.1
Bc threat intelligence_rev2.1
 
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
 

Recently uploaded

業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)Hiroshi Tomioka
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NTT DATA Technology & Innovation
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfFumieNakayama
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...博三 太田
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfFumieNakayama
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineerYuki Kikuchi
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)UEHARA, Tetsutaro
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?akihisamiyanaga1
 

Recently uploaded (8)

業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
 
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
 
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdfAWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
 
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
 
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdfクラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
 
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
 
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
 
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
 

Cloud Native Security

  • 1. © Copyright 2017 Pivotal Software, Inc. All rights Reserved. Version 1.0 Version 1.0 September 2017 CredHub Secure Credential Management in Cloud Foundry
  • 2. ymantec 2016 Internet hreat eport ● 毎週、新たなゼロデイ脆弱性が発見されている ● 5億件も 個人情報が盗まれた、また 喪失した ● ウェブサイト 4分 3に脆弱性が見つかった ● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた ● ランサムウェアが35パーセント増えた
  • 3. ymantec 2016 Internet hreat eport ● 毎週、新たなゼロデイ脆弱性が発見されている ● 5億件も 個人情報が盗まれた、また 喪失した ● ウェブサイト 4分 3に脆弱性が見つかった ● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた ● ランサムウェアが35パーセント増えた 技術 進歩 攻撃 多様化 脅威 数 増大
  • 4. 大打撃を与えるタイプ 脅威 ● マルウェア ○ これ 、ウイルス、トロイ 木馬、ワーム、スパイウェア、そ 他悪意 あるプログラムすべてに当 て まる用語です。 ● 持続的標的型攻撃 (APT) ○ APTと 、ネットワークへ アクセスに成功した攻撃者が、長期にわたって検出されずに留まるタイ プ 侵害です。脅威が検出されずに留まれ それだけ、データ リスクが高まります。 ● 認証情報 漏洩 ○ 認証情報 、情報また そ 他 リソースへ アクセスを制御します。重要なシステムに対する従 業員 認証情報を組織がいかに厳しく閉じ込めようとしても、相変わらず外に漏れてしまうようで す。
  • 6. 従来 エンタープライズセキュリティ 考え方 システム変更 リスク= セキュリティパッチ 放置 マルウェア対策 遅れ 認証情報更新 遅れ
  • 7. Cloud Native Security 3Rs ● Repair (修理) ○ ダウンタイムなしで VM 再構築 ● Repave (再補修) ○ Stemcell(OS)やBuildpacks(アプリケーションスタック) 無停止で 修正 ● Rotate (循環) ○ 認証情報 継続的かつ迅速な循環
  • 8.
  • 9.
  • 11. CredHub 機能 ● Securing data for storage ● Authentication ● Authorization ● Access and change logging ● Data typing ● Credential generation ● Credential metadata ● Credential versioning
  • 12. CredHub アーキテクチャ CredHub ● REST APIサーバ ● 暗号化プロバイダー ○ AES256-GCM ○ LunaHSM Authentication Provider ● UAA ● 相互TLS Storage Provider ● MySQL ● PostgreSQL PCFで BOSH Director上に構成
  • 13. BOSH VM CredHub Elastic Runtime MySQLfor PCF Redis for PCF Deployments generate rotate etc..
  • 14. jobs: - name: streaming-mysql-backup-client release: mysql-backup consumes: {} provides: {} properties: cf-mysql-backup: symmetric_key: QlD5saBisFRCxzaP91Jxth-XPxUrxP3A backup-all-masters: false endpoint_credentials: username: "((mysql-backup-server-db-credentials.username))" password: "((mysql-backup-server-db-credentials.password))"
  • 15.
  • 16.
  • 17. Rotate まとめ ● 利用技術 ○ CredHub ○ OSSで開発が進む CF 用プロジェクト ○ CF内 認証情報を一元管理する ○ BOSHマニフェスト内 クレデンシャルを一部credhub で管理開始 ○ PCF1.12から導入 ○ 今後 サービス クレデンシャルにも対応 ● 利点 ○ 認証情報 循環を通した、情報漏えい対策が可能 ○ 散財する認証情報を一元化 ○ BOSHマニフェスト内へ 認証情報 記載を阻止(Gitにあげやすい)
  • 18. Pivotal Cloud Foundryセキュリティへ 取り組み ● 暗号化とセキュリティプロトコル ○ TLS, SSH, IPSec ● アンチウィルス ● 脆弱性対応 ○ OSやミドルウェア 脆弱性対応やアップグレードが容易 ○ OSやミドルウェア セキュリティ対応を Pivotalが実施 ● 認証 ○ LDAP, AD, oAuthなど対応 ● ログ ○ PCFから監査ログ、OS ログなどをすべて取得 ○ 既存 ログシステムを利用することでログ 改ざん検知なども可能 ● 脆弱性スキャニング ○ 出荷前にNessusを利用しチェック ○ 脆弱性対応 Pivotalが実施 ○ アドオン機能を利用して定期的なスキャニングも可能 ● 侵入検知と改ざん検知 ○ ファイル改ざん検知 アドオン機能を提供
  • 19. Pivotal Cloud Foundry Security BOSH Add-ons ● アドオン機能によりセキュリティ機能を提供 ● PCF常に展開するVMを管理するBOSHを介してア ドオン形式でソフトウェアをインストール可能 ● 一括適用や更新が可能であるため個別 導入や 設定が不要となる ● ラインナップ ● File Integrity Monitoring Add-on ○ ファイル改ざん検知 ● ClamAV Add-on ○ アンチウイルス ● IPSec Add-on ○ 通信暗号化 BOSH Director VM FIM ClamAV IPSec VM FIM ClamAV IPSec VM FIM ClamAV IPSec
  • 20. Transforming How The World Builds Software © Copyright 2017 Pivotal Software, Inc. All rights Reserved.