Overall of Container Security for Application Engineerちがいからみるプラットフォームエンジニアリング / Platform Engineering from a difference's point of view
DevelopersIO 2022にて「OSSで始めるコンテナセキュリティ」というタイトルで登壇しました #devio2022 | DevelopersIO
コンサル部のとばち(@toda_kk)です。 2022/7/26〜28に開催された弊社主催のオンラインイベントDevelopersIO 2022にて、「OSSで始めるコンテナセキュリティ」をテーマに登壇しました。 動画 発表資料 セッション概要 「コンテナセキュリティってなんかいろいろあるけど、結局なにからやればいいの?」という方向けに、コンテナセキュリティの全体像や概要を解説しつつ、コンテナセキュリティに対応するためのOSSを紹介するセッションです。 ざっくりとした内容 OSSを用いることで気軽にコンテナセキュリティを実現してみよう、というテーマでお話ししました。 コンテナセキュリティに関する概要を、コンテナライフサイクルに沿ったリスクの評価と対応という形で整理した上で、関連するAWSサービスと機能を紹介しました。 また、コンテナセキュリティのOSSツールとして、Kubernetesセキ
container-dev-security
2021/11/04 CloudNative Days Tokyo 2021 17:20-18:00 Track F 乗っ取れコンテナ!! 〜開発者から見たコンテナセキュリティの考え方〜 セッション動画 https://event.cloudnativedays.jp/cndt2021/t…
コンテナを突き破れ!! ~コンテナセキュリティ入門基礎の基礎~(Kubernetes Novice Tokyo #11 発表資料)
2021/06/22 Kubernetes Novice Tokyo #11 コンテナを突き破れ!!〜コンテナセキュリティ入門基礎の基礎〜
About · Container Security Book
Container Security Book ⚠️この文書は製作中のものです About これから Linux コンテナのセキュリティを学びたい人のための文書です。 普段からコンテナを扱っているが、コンテナの基礎技術やセキュリティについては分からないという人が、それらを理解できる足がかりになるように書かれています。 誤字脱字や間違いなどあれば https://github.com/mrtc0/container-security-book に Issue もしくは Pull Request を立ててください。 ご意見、ご感想等は Twitter ハッシュタグ #container_security でツイートをお願いします。 License この書籍に記述されているすべてのソースコードは MIT ライセンスとします。 また、文章は Creative Commons Attribution
コンテナーとセキュリティーについて調べたのをまとめる - ytooyamaのブログ
追記 「何が問題なのかわからない」という声があったので補足します。 Dockerの-vオプションや仕組みを理解しているユーザーやDockerを構築した人自身が使っているだけであれば、気をつけるだけでいいと思っています。 Dockerを複数人で使っているとか、Kubernetesクラスターのランタイム(CRI)としてこれらのエンジンを使った場合にも、今回取り上げたようなことをKubernetes上で実現できるので、オンプレ(要するに手元の環境で)Kubernetesを利用している人は気をつけないといけないでしょうという話です。どちらかというとこの問題ってrunCを使っているからなのかなと思っています。 解決策としては、Linuxのセキュリティ機能はできるだけ使うということ、必要以上にアクセス権を渡さないこと、メンテナンスされたコンテナイメージを使うこと、稼働中のコンテナは定期的に新しいイメー
Dockerも利用する「runc」に重大な脆弱性 何が危険か? 対策は?
関連キーワード Linux | セキュリティ | 仮想化 | 脆弱性 | Docker コンテナ管理ソフトウェアの「Docker」でも利用されている、オープンソースのコンテナランタイム(コンテナの実行に必要なソフトウェア)の筆頭格「runc」に重大な脆弱(ぜいじゃく)性「CVE-2019-5736」が見つかった。runcの開発者は2019年2月にこの脆弱性に対するセキュリティ情報とパッチを公開した。 攻撃者がこの脆弱性を悪用した場合、攻撃者自身がアクセス権限を持つコンテナを経由して、そのコンテナが稼働するホストシステムにおいて「root」などの管理者権限を取得できるようになる可能性がある。攻撃者が管理者権限を取得すると、システムに対する重要な操作が可能になってしまう。 こうしたコンテナを経由したホストシステムの攻撃は、「コンテナからホストシステムへの脱出」の意味で「コンテナエスケープ」とい
最近話題のコンテナ脆弱性ツール「Trivy」を試してみた | DevelopersIO
こんにちわ、札幌のヨシエです。 社内にコンテナチャンネルがありまして、話題に上がったTrivyというコンテナイメージ用脆弱性スキャナを試してみました。 knqyf263/trivy 対象OS 対象OSは以下となります。 注意点としてAmazonLinuxのコンテナイメージはスキャン対象外となりますのでご注意ください。 Alpine RHEL CentOS RedHat Universal Base image Debian Ubuntu MacOSへインストール 検証目的なので作業用MBPにTrivyをインストールします。 % sw_vers ProductName: Mac OS X ProductVersion: 10.14.5 BuildVersion: 18F132 HomeBrewを使用してインストールを行いました。 $ brew tap knqyf263/trivy $ bre
Docker 等で使用する runc の権限昇格に関する脆弱性 (CVE-2019-5736) について
2019年2月12日 (現地時間) に Docker コンテナ 等で使用する runc に関する脆弱性 (CVE-2019-5736) が公開されました。本脆弱性を悪用して細工したコンテナをユーザが実行した場合、ホスト上の runc バイナリが意図せず上書きされます。結果として、コンテナが起動しているホスト上で root 権限でコマンドが実行できるようになります。 なお、本脆弱性の実証コードは 2019年2月12日現在公開されていませんが、報告者によると実証コードは 2019年2月18日 (現地時間) に公開予定とのことです。 本脆弱性を悪用するコンテナは次のようなケースが想定されています。 1) 攻撃者により改変されたイメージファイルを用いて作成されたコンテナ 2) 攻撃者が書き込み権限を取得している既存のコンテナ 本脆弱性は 2019年2月12日時点で runc のすべてのバージョンが
9 Kubernetes security best practices everyone must follow
By Connor Gilbert, product manager at StackRox Last month, the Kubernetes ecosystem was shaken by the discovery of the first major security flaw in Kubernetes, the world’s most popular container orchestrator. The vulnerability – CVE-2018-1002105 – enables attackers to compromise clusters via the Kubernetes API server, allowing them run code to perform malicious activity such as installing malware,
ミニキャンプ愛媛でのコンテナ編を実行してみた - script day.log
Outline Outline 仮想化(virutalization) ハイパーバイザ/ホスト型仮想化の違い コンテナはどんなところに使われているだろうか? コンテナのセキュリティ コンテナの実装 コンテナのメリット/デメリット メリット デメリット コンテナはどうやって実装されているのだろうか? コンテナはプロセス 自作コンテナ by Haconiwa では,まずコンテナはプロセスなのでforkするところから始めます. Namespaceを分離します cgroupを設定 Capabilityを設定 コンテナへのAttack コンテナのセキュリティ機構 Attack Surfaces スイスチーズモデル AppArmor /sys/kernel/uevent_helper /proc/sysrq-trigger AppArmorの適用 AppArmorによる保護 seccomp secco
Docker / Kubernetesのセキュリティ調査メモ - Qiita
Webや書籍をざっとあさり、Docker / Kubernetesのセキュリティについて調査したメモ。 ※この他にも多数ありましたが、まずはこのあたりからかな?というものを書き出しています。 Dockerのセキュリティ ベースイメージ 公式イメージを利用する alpineなど、小さなイメージを利用する Docker Content Trustで署名チェックする Dockerfile rootユーザを使わず、実行ユーザを使う 外部のファイルを追加する場合はチェックサムを検証する 機密情報は環境変数など外部から取得する構成にする CI Quay.ioなどでイメージのセキュリティスキャンを行う Docker Bench for Securityで実行環境も含めたベストプラクティスをチェックする ホスト Container-Optimized OSなど、コンテナのホストとして適切なセキュリティ原則
GitHub - grafeas/grafeas: Artifact Metadata API
Grafeas ("scribe" in Greek) is an open-source artifact metadata API that provides a uniform way to audit and govern your software supply chain. Grafeas defines an API spec for managing metadata about software resources, such as container images, Virtual Machine (VM) images, JAR files, and scripts. You can use Grafeas to define and aggregate information about your project's components. Grafeas prov
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Flatcar Container Linux
Docker Security Best Practices: Cheat Sheet
Sysdig
Tracee: Tracing Containers with eBPF
コンテナを守る技術2018/container-security-20180310