Anzeige
Check these out next
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
14. Mar 2023•0 gefällt mir•111 Aufrufe
0 gefällt mir
Sei der Erste, dem dies gefällt
Mehr anzeigen
Aufrufe
Aufrufe insgesamt
0
Auf Slideshare
0
Aus Einbettungen
0
Anzahl der Einbettungen
0
Downloaden Sie, um offline zu lesen
Melden
Technologie
コンテナ共創センター勉強会#22 公開資料①
FumieNakayamaFolgen
Anzeige
Anzeige
Anzeige
Recomendados
![セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]](https://public.slidesharecdn.com/_next/static/media/rec_thumb_placeholder.82109866.jpeg)
セキュリティオペレーション自動化に向けた、基盤技術と共通インターフェースの構築 [ISOC-JP workshop, 2016/05/20]Takeshi Takahashi
BitVisor Summit 3 「BitVisorの現状と今後」Takahiro Shinagawa
【Log Analytics Tech Meetup】Beatsファミリーの紹介Hibino Hisashi
[ハードウェア編] クラウドネイティブアーキテクチャとIoTセキュリティ・バイ・デザインEiji Sasahara, Ph.D., MBA 笹原英司
ネットワークから学ぶソフトウェアセキュリティの基礎Yasuo Ohgaki
Modernization of IT Infrastructure by Microsoft AzureTakeshi Fukuhara
ソフトウェアサプライチェーンセキュリティの最新技術動向.pdf
- ソフトウェアサプライチェーン セキュリティの最新技術動向 渡邊 裕治 ⽇本IBM 東京基礎研究所 2023年2⽉22⽇ コンテナ共創センター勉強会 #22
- 渡邊 裕治 @yuji.watanabe.jp STSM, IBM Research Software Supply Chain Security (Risk & Integrity for Ansible/CICD/GitOps) twitter.com/ywatan1 linkedin.com/in/yuji-watanabe-0108322/ github.com/yuji-watanabe-jp ⾃⼰紹介
- 本⽇の内容 • ソフトウェアサプライチェーンセキュリティ - 課題と技術動向 – • CNCF KubeCon + CloudNativeCon (略称Kubecon)発表参加報告
- ソフトウェアサプライチェーン周りのキーワード • SBOM (ソフトウェア部品表) • ビルド・プロベナンス(来歴) • ビルド・アーティファクト(成果物) • 脆弱性スキャン • VEX = Vulnerability Exploitability eXchange (脆弱性の補助情報、影響や修正の有無等) • SLSA = Supply-chain Levels for Software Artifact (フレームワーク) • Sigstore (署名) • OpenSSF (Linux Foundationのプロジェクト)
- Sigstoreプロジェクト オープンソース開発者が署名を 使いやすくする • 様々な開発ツールと統合する • 鍵管理を容易にする(キーレ ス署名) • OpenID Connectを使って誰の署 名か検証しやすくする
- エンドツーエンドのサプライチェーン source build package deliver maintain use
- アプリをクラスターにデプロイする Registry CI Pipeline Git Repo Git Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain アプリをデプロイする際にイメージとマニフェストが⽤いられる
- デリバリー時のインテグリティの課題 Registry CI Pipeline Git Repo Git Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain イメージの改ざん YAMLマニフェストの 改ざん デプロイした後の マニフェストの改 ざん
- サプライチェーンのインテグリティ保護 Registry CI Pipeline Git Repo Git Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain インテグリティを保護するために・・・
- サプライチェーンのインテグリティ保護 Registry CI Pipeline Git Repo Git Repo (Source) Manifest Image CD Pipeline Image Application Cluster build & package deploy & maintain SIG SIG SIG SIG SIG SIG SIG インテグリティを保護するために・・・ イメージの署名 +YAMLマニフェストの署名
- Controller Current State Desired State Kubernetes リソースマニフェスト • Kubernetesは declarativeな構成管理シ ステム • ユーザは、desired stateをYAMLでGitレ ポなどに定義します。 • Kubernetesのコントローラーはdesired stateになるようにシステム構成を管 理します。
- 1⾏インストールの危険性 curl -sL https://xxxx/install.sh | bash kubectl create -f https://xxxxxx/manifests.yaml modify modify
- YAMLマニフェスト署名 kubectl sigstore sign -f test-deployment.yaml -k cosign.key
- k8s-manifest-sigstore https://github.com/sigstore/k8s-manifest-sigstore k8s-manifest-sigstore • Kubernetesリソースのマニフェスト署名・検 証のためのCLIとライブラリ • Sigstoreのcosignに基づく (Sigstore =署名・検証によるソフトウェアの保 護に向けたオープンソースプロジェクト) • YAML署名・検証のロジックを提供 • 署名をアノテーションとして添付
- Kyverno • Kubernetesネイティブなポ リシーエンジン • PolicyもReportもKubernetes リソース • Kubernetesリソースの検 証・変更・⽣成が可能
- k8s-manifest-sigstore CLI https://github.com/sigstore/k8s-manifest-sigstore Kyverno Kyverno Policy rules: validate: manifests: K8s resource K8s resource kubectl sigstore sign -f cm.yml --key cosign.key Signature check K8s-manifest-sigstore マニフェストを保護する • YAMLリソースを Sigstore CLIで署名する • Kyvernoを使ってリソースの署名を検証する (v1.8.0から有効) https://youtu.be/NsuhabTaJTE
- マルチクラスター管理のポリシーの インテグリティを保護する ハブ・クラスター Policy Policy Policy sig 管理対象クラスター Policy Policy 署名されたポリ シーのみ有効 Admission Control Policy Admission Control ポリシーが署名なし で変更されたらブ ロック apply apply apply 署名 Policy Policy Policy Kyverno Integrity Shield https://youtu.be/1grSrQ2daxI
- 処理内容(プロベナ ンス)の記録 Interlace – "trust but verify" アプローチ Git Repo Source Materials Signer Cluster Admission Control SIG ArgoCD Build Deploy ⽣成されたマ ニフェスト Interlace マニフェストへの署名付与 ソースの 署名検証 Interlaceは、より強固なインテグリティ検証のた めにArgoCDのGitOps同期を機能拡張します。 SIG https://youtu.be/dcCbtYrbjzE
- CNCF KubeCon + CloudNativeCon (略称Kubecon)発表参加報告
- CNCF = Cloud Native Computing Foundation https://landscape.cncf.io
- CNCF KubeCon + CloudNativeCon • CNCFのフラグシップ会議、年2回開催 (ヨーロッパと北⽶) • メイントラックと多数の共催イベントから構成される • 今回@デトロイト: 16986⼈ (7403⼈が現地参加, ⽇本⼈: 合計40名程度) • コロナ前(Kubecon + Cloud Native Con NA 2019): 11981⼈ • 2023年: 4⽉ アムステルダム、11⽉ シカゴ
- よく出てくるワード WASM, eBPF, Sigstore, GitOps, Edge, Supply Chain, Mesh 約⼆週間後にほぼ全部の講演が YouTubeで視聴可能になります。
- 480社からの1187件の講演申 込の中から148件だけメイン トラックに採録される (採録率12%) このうち13件がIBMの講演 他に13件の共催イベントでの IBM講演 (Ref) https://www.cncf.io/blog/2022/03/09/inside-the-numbers-the-kubecon- cloudnativecon-selection-process-for-europe-2022/
- IBMブース
- Thank you! Q & A Resources Interlace - https://github.com/argoproj-labs/argocd-interlace Manifest Signing - https://github.com/sigstore/k8s-manifest-sigstore Integrity Shield - https://github.com/stolostron/integrity-shield Kyverno - https://github.com/kyverno/kyverno Ansible Risk Insight - https://github.com/rurikudo/ansible-risk-insight Yuji Watanabe twitter.com/ywatan1 linkedin.com/in/yuji-watanabe-0108322/ github.com/yuji-watanabe-jp
Anzeige