Infra Study Meetup #6「インフラとセキュリティのこれから」メモ

YouTube
作成した動画を友だち、家族、世界中の人たちと共有

Linuxコンテナのセキュリティ

  • コンテナの仕組み
  • 主な攻撃シナリオ
    • イメージの脆弱性
    • ランタイムの脆弱性・設定不備
    • Linuxカーネルの脆弱性
  • セキュリティの指標
    • コミュニティや機関が策定しているガイドラインを読むと良い
    • CIS Benchmarks - Securing Docker
    • NIST SP 800-190 - Application Container Security
  • [デモ]コンテナの脆弱性を突いた攻撃
  • Linuxコンテナの考え方は多層防御
    • ↑あらゆるセキュリティの領域で必要な考え方

Kubernetesのセキュリティ

  • 数多くの対策ポイントがある。コンポーネントが複雑なので、既に公開されている脅威モデルを参考に、守る箇所を決める。
  • CNCFユーザグループ 脅威分析モデル「STRIDE」を用いた演習を行っている
financial-user-group/projects/k8s-threat-model at main · cncf/financial-user-group
💰💸☁️ For those interested in running Kubernetes in highly regulated environments, particularly financial services - cncf/financial-user-group
  • 脅威モデル作成のための可視化にはOWASP/thread-dragonがいい感じ
GitHub - OWASP/threat-dragon: An open source threat modeling tool from OWASP
An open source threat modeling tool from OWASP. Contribute to OWASP/threat-dragon development by creating an account on GitHub.
  • CIS BenchmarksにはKubernetesもある。それを見るのもよい。

  • MITREが公開しているATT&CKと呼ばれるフレームワーク(脆弱性を悪用した攻撃のマトリックス)がある

MITRE ATT&CK®
  • ATT&CKのk8s版をマイクロソフトが公開している。
https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/
  • 攻撃の具体例の紹介

DevSecOps

  • セキュリティの文化を作る必要がある
    • ガイドラインや脅威モデルを構築
    • 複雑さを抽象化するための自動化、基盤づくり
  • Co3(Communication, Completeness, Continuous)
  • TDS(Test Driven Security)

質疑応答

  • コンテナCI/CDのクレデンシャルの扱い

    • 環境変数で渡す
    • SecretsやKMSなどの外部サービスを使う
  • セキュリティの勉強方法

    • Twitterのフィード
    • 手を動かす。実際攻撃が可能か。
    • CTF:情報セキュリティのスキルを競い合うセキュリティコンテスト
  • Co3

    • CVEだけでなく発火条件含めて連携
    • 事情により対応できない際の次善策・緩和策の連携
  • DevSeqOps

    • ガイドラインの作成
    • 開発者のセキュリティスキル底上げ
    • 定期的な社内研修
    • 情報レベル・連携先を意識したコミュニケーション
    • ツール開発
タイトルとURLをコピーしました