YouTube
作成した動画を友だち、家族、世界中の人たちと共有
Linuxコンテナのセキュリティ
- コンテナの仕組み
- 主な攻撃シナリオ
- イメージの脆弱性
- ランタイムの脆弱性・設定不備
- Linuxカーネルの脆弱性
- セキュリティの指標
- コミュニティや機関が策定しているガイドラインを読むと良い
- CIS Benchmarks - Securing Docker
- NIST SP 800-190 - Application Container Security
- [デモ]コンテナの脆弱性を突いた攻撃
- Linuxコンテナの考え方は多層防御
- ↑あらゆるセキュリティの領域で必要な考え方
Kubernetesのセキュリティ
- 数多くの対策ポイントがある。コンポーネントが複雑なので、既に公開されている脅威モデルを参考に、守る箇所を決める。
- CNCFユーザグループ 脅威分析モデル「STRIDE」を用いた演習を行っている
financial-user-group/projects/k8s-threat-model at main · cncf/financial-user-group
💰💸☁️ For those interested in running Kubernetes in highly regulated environments, particularly financial services - cncf/financial-user-group
- 脅威モデル作成のための可視化にはOWASP/thread-dragonがいい感じ
GitHub - OWASP/threat-dragon: An open source threat modeling tool from OWASP
An open source threat modeling tool from OWASP. Contribute to OWASP/threat-dragon development by creating an account on GitHub.
-
CIS BenchmarksにはKubernetesもある。それを見るのもよい。
-
MITREが公開しているATT&CKと呼ばれるフレームワーク(脆弱性を悪用した攻撃のマトリックス)がある
MITRE ATT&CK®
- ATT&CKのk8s版をマイクロソフトが公開している。
https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/
- 攻撃の具体例の紹介
DevSecOps
- セキュリティの文化を作る必要がある
- ガイドラインや脅威モデルを構築
- 複雑さを抽象化するための自動化、基盤づくり
- Co3(Communication, Completeness, Continuous)
- TDS(Test Driven Security)
質疑応答
-
コンテナCI/CDのクレデンシャルの扱い
- 環境変数で渡す
- SecretsやKMSなどの外部サービスを使う
-
セキュリティの勉強方法
- Twitterのフィード
- 手を動かす。実際攻撃が可能か。
- CTF:情報セキュリティのスキルを競い合うセキュリティコンテスト
-
Co3
- CVEだけでなく発火条件含めて連携
- 事情により対応できない際の次善策・緩和策の連携
-
DevSeqOps
- ガイドラインの作成
- 開発者のセキュリティスキル底上げ
- 定期的な社内研修
- 情報レベル・連携先を意識したコミュニケーション
- ツール開発