Infra Study Meetup #6「インフラとセキュリティのこれから」メモ

Infra Study Meetup #6「インフラとセキュリティのこれから」

📝 イベントレポートも発信しています 📝コチラから：イベントを楽しむための各種案内はコチラ👇▍概要複数回にわたりインフラ技術の各分野に精通した講師をお招きし、インフラ技術の「これまで」と「これから...

www.youtube.com

Linuxコンテナのセキュリティ

• コンテナの仕組み
• 主な攻撃シナリオ
  • イメージの脆弱性
  • ランタイムの脆弱性・設定不備
  • Linuxカーネルの脆弱性
• セキュリティの指標
  • コミュニティや機関が策定しているガイドラインを読むと良い
  • CIS Benchmarks - Securing Docker
  • NIST SP 800-190 - Application Container Security
• [デモ]コンテナの脆弱性を突いた攻撃
• Linuxコンテナの考え方は多層防御
  • ↑あらゆるセキュリティの領域で必要な考え方

Kubernetesのセキュリティ

• 数多くの対策ポイントがある。コンポーネントが複雑なので、既に公開されている脅威モデルを参考に、守る箇所を決める。
• CNCFユーザグループ 脅威分析モデル「STRIDE」を用いた演習を行っている

financial-user-group/projects/k8s-threat-model at main · cncf/financial-user-group

💰💸☁️ For those interested in running Kubernetes in highly regulated environments, particularly financial services - cncf/financial-user-group

github.com

• 脅威モデル作成のための可視化にはOWASP/thread-dragonがいい感じ

GitHub - OWASP/threat-dragon: An open source threat modeling tool from OWASP

An open source threat modeling tool from OWASP. Contribute to OWASP/threat-dragon development by creating an account on GitHub.

github.com

• CIS BenchmarksにはKubernetesもある。それを見るのもよい。

• MITREが公開しているATT&CKと呼ばれるフレームワーク（脆弱性を悪用した攻撃のマトリックス）がある

MITRE ATT&CK®

attack.mitre.org

• ATT&CKのk8s版をマイクロソフトが公開している。

https://www.microsoft.com/security/blog/2020/04/02/attack-matrix-kubernetes/

www.microsoft.com

• 攻撃の具体例の紹介

DevSecOps

• セキュリティの文化を作る必要がある
  • ガイドラインや脅威モデルを構築
  • 複雑さを抽象化するための自動化、基盤づくり
• Co3（Communication, Completeness, Continuous）
• TDS（Test Driven Security）

質疑応答

• コンテナCI/CDのクレデンシャルの扱い

  • 環境変数で渡す
  • SecretsやKMSなどの外部サービスを使う

• セキュリティの勉強方法

  • Twitterのフィード
  • 手を動かす。実際攻撃が可能か。
  • CTF：情報セキュリティのスキルを競い合うセキュリティコンテスト

• Co3

  • CVEだけでなく発火条件含めて連携
  • 事情により対応できない際の次善策・緩和策の連携

• DevSeqOps

  • ガイドラインの作成
  • 開発者のセキュリティスキル底上げ
  • 定期的な社内研修
  • 情報レベル・連携先を意識したコミュニケーション
  • ツール開発