More Related Content
Similar to Cloud Native Security
Similar to Cloud Native Security (11)
Cloud Native Security
- 1. © Copyright 2017 Pivotal Software, Inc. All rights Reserved. Version 1.0
Version 1.0
September 2017
CredHub
Secure Credential Management in Cloud Foundry
- 2. ymantec 2016 Internet hreat eport
● 毎週、新たなゼロデイ脆弱性が発見されている
● 5億件も 個人情報が盗まれた、また 喪失した
● ウェブサイト 4分 3に脆弱性が見つかった
● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた
● ランサムウェアが35パーセント増えた
- 3. ymantec 2016 Internet hreat eport
● 毎週、新たなゼロデイ脆弱性が発見されている
● 5億件も 個人情報が盗まれた、また 喪失した
● ウェブサイト 4分 3に脆弱性が見つかった
● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた
● ランサムウェアが35パーセント増えた
技術 進歩 攻撃 多様化 脅威 数 増大
- 4. 大打撃を与えるタイプ 脅威
● マルウェア
○ これ 、ウイルス、トロイ 木馬、ワーム、スパイウェア、そ 他悪意 あるプログラムすべてに当
て まる用語です。
● 持続的標的型攻撃 (APT)
○ APTと 、ネットワークへ アクセスに成功した攻撃者が、長期にわたって検出されずに留まるタイ
プ 侵害です。脅威が検出されずに留まれ それだけ、データ リスクが高まります。
● 認証情報 漏洩
○ 認証情報 、情報また そ 他 リソースへ アクセスを制御します。重要なシステムに対する従
業員 認証情報を組織がいかに厳しく閉じ込めようとしても、相変わらず外に漏れてしまうようで
す。
- 7. Cloud Native Security 3Rs
● Repair (修理)
○ ダウンタイムなしで VM 再構築
● Repave (再補修)
○ Stemcell(OS)やBuildpacks(アプリケーションスタック) 無停止で 修正
● Rotate (循環)
○ 認証情報 継続的かつ迅速な循環
- 11. CredHub 機能
● Securing data for storage
● Authentication
● Authorization
● Access and change logging
● Data typing
● Credential generation
● Credential metadata
● Credential versioning
- 12. CredHub アーキテクチャ
CredHub
● REST APIサーバ
● 暗号化プロバイダー
○ AES256-GCM
○ LunaHSM
Authentication Provider
● UAA
● 相互TLS
Storage Provider
● MySQL
● PostgreSQL
PCFで BOSH Director上に構成
- 14. jobs:
- name: streaming-mysql-backup-client
release: mysql-backup
consumes: {}
provides: {}
properties:
cf-mysql-backup:
symmetric_key: QlD5saBisFRCxzaP91Jxth-XPxUrxP3A
backup-all-masters: false
endpoint_credentials:
username: "((mysql-backup-server-db-credentials.username))"
password: "((mysql-backup-server-db-credentials.password))"
- 17. Rotate まとめ
● 利用技術
○ CredHub
○ OSSで開発が進む CF 用プロジェクト
○ CF内 認証情報を一元管理する
○ BOSHマニフェスト内 クレデンシャルを一部credhub で管理開始
○ PCF1.12から導入
○ 今後 サービス クレデンシャルにも対応
● 利点
○ 認証情報 循環を通した、情報漏えい対策が可能
○ 散財する認証情報を一元化
○ BOSHマニフェスト内へ 認証情報 記載を阻止(Gitにあげやすい)
- 18. Pivotal Cloud Foundryセキュリティへ 取り組み
● 暗号化とセキュリティプロトコル
○ TLS, SSH, IPSec
● アンチウィルス
● 脆弱性対応
○ OSやミドルウェア 脆弱性対応やアップグレードが容易
○ OSやミドルウェア セキュリティ対応を Pivotalが実施
● 認証
○ LDAP, AD, oAuthなど対応
● ログ
○ PCFから監査ログ、OS ログなどをすべて取得
○ 既存 ログシステムを利用することでログ 改ざん検知なども可能
● 脆弱性スキャニング
○ 出荷前にNessusを利用しチェック
○ 脆弱性対応 Pivotalが実施
○ アドオン機能を利用して定期的なスキャニングも可能
● 侵入検知と改ざん検知
○ ファイル改ざん検知 アドオン機能を提供
- 19. Pivotal Cloud Foundry Security BOSH Add-ons
● アドオン機能によりセキュリティ機能を提供
● PCF常に展開するVMを管理するBOSHを介してア
ドオン形式でソフトウェアをインストール可能
● 一括適用や更新が可能であるため個別 導入や
設定が不要となる
● ラインナップ
● File Integrity Monitoring Add-on
○ ファイル改ざん検知
● ClamAV Add-on
○ アンチウイルス
● IPSec Add-on
○ 通信暗号化
BOSH
Director
VM
FIM
ClamAV
IPSec
VM
FIM
ClamAV
IPSec
VM
FIM
ClamAV
IPSec
- 20. Transforming How The World Builds Software
© Copyright 2017 Pivotal Software, Inc. All rights Reserved.