DXで加速するコンテナ/マイクロサービス/サーバーレス導入とセキュリティ
- 4. 4
1-1.アプリケーションコンテナ/マイクロサービスとは?(1)
• 米国立標準技術研究所(NIST) 「SP 800-180(Draft):
NIST マイクロサービス、アプリケーションコンテナ、システム仮想
マシンの定義」(2016年2月)
• アプリケーションコンテナ:
共有OS上で稼働するアプリケーションまたはそのコンポーネントとして
パッケージ化し、稼働するように設計された構成物
• マイクロサービス:
アプリケーション・コンポーネントのアーキテクチャを、疎結合のパターンに
分解した結果生まれる基本的要素であり、標準的な通信プロトコルや
明確に定義された API を利用して相互に通信する自己充足型サービス
を構成し、いかなるベンダー、製品、技術からも独立している
- 6. 6
1-2.サーバーレスとは?(1)
• CSA 「2020年サーバーレスコンピューティング・セキュリティ」
(2020年12月公開予定)
• サーバーレスコンピューティング:
クラウドプロバイダーが計算処理のランタイム管理面の負荷を軽減し、
計算処理、ストレージ、ネットワークに関するすべての面を含む、物理的
または仮想的なマシンリソースの割当設定を動的に管理する、クラウド
コンピューティング展開モデル。サーバーレスアプリケーションのオーナーは、
このようなタスクを管理する必要はない。
• Amazon: Lambda、Fargate、AWS Batch
• Google: Cloud Functions、Knative、Cloud Run
• Microsoft: Azure Functions、Azure Container Instances
• Nimbella: OpenWhisk
• IBM: OpenWhis など
- 8. 8
1-3.ゼロトラストとは?(1)
• 米国立標準技術研究所(NIST)「SP 800-207:
ゼロトラスト・アーキテクチャ」(2020年4月19日)
• ゼロトラスト(ZT)=危険に晒されたと見なされるネットワークに直面した
情報システムおよびサービスにおいて、正確な、特権の少ない、あらかじめ
要求されたアクセスに関する意思決定を強制する際に、不確実性を最小化
するように設計された概念やアイデアの集合
• ゼロトラスト・アーキテクチャ(ZTA)=ゼロトラストの概念を活用して、コン
ポーネントの関係、ワークフロー計画、アクセスポリシーを包含した、エンタープ
ライズのサイバーセキュリティ計画
• ゼロトラストエンタープライズ:ゼロトラストアーキテクチャ計画のプロダクトと
して、エンタープライズに配置されるネットワークインフラストラクチャ(物理的
および仮想的)および業務ポリシー
- 12. 12
1-4.DevOpsとは?(2)
• DevOpsのセキュリティへの波及効果
項目 波及効果と長所
標準化 DevOps では、本番に組み込まれるものはすべて、承認済みのコードと設定用テンプレートに基づき、継続的
インテグレーション/継続的デプロイ(CI/CD)パイプラインによって生み出される。開発、テスト、本番(の
コード)はすべて完全に 同一のソースファイルから派生しており、周知となっている優れた標準からの逸脱を防
いでいる。
自動化された
テスト
広範な種類のセキュリティテストは、必要に応じて補助的に手動 テストを加えることで、CI/CD パイプラインに
組み込むことが可能である。
不可変性(immutable) CI/CD パイプラインは、素早く確実に、仮想マシンやコンテナ、インフラストラクチャスタックのマスターイメージ
を生成する。これにより配備の自動化と不可変(immutable)なインフラストラクチャを実現する。
監査と変更管理の改善 CI/CD パイプラインはソースファイルにある 1 文字の変更に至るまでの全て を追跡調査できる。バージョン管
理リポジトリに格納され たアプリケーションスタック(インフラストラクチャを含む)の全履歴と共に、その変更は
変更を行った人物と紐づけられる。
SecDevOps/DevSecO
ps と Rugged DevOps
SecDevOps/DevSecOps は セキュリティ運用を改善するために DevOps の自動化技術を使う。
Rugged DevOps はアプリケーション開発過程にセキュリティテスティングを組み入れることを意味し、よ り強
固で、よりセキュアで、より障害耐性の高いアプリケーションを生み出す。
出典:日本クラウドセキュリティアライアンス「クラウドコンピューティングのための
セキュリティガイダンス v4.0」日本語版1.1(2017年7月)
- 16. 16
2-1.インダストリー4.0向けフォグ×コンテナ(1)
• Tim Bayer et al. 「状態監視およびインダストリー4.0配布向け
フォグ-クラウドコンピューティング・インフラストラクチャ」
(2019年5月2-4日)
Proceedings of the 9th International Conference on
Cloud Computing and Services Science, CLOSER 2019,
Heraklion, Crete, Greece, May 2-4, 2019
• コンテナ化のアーキテクチャ
• インフラストラクチャサービス
• Kubernetesマスター
• Kubernetesノード
• ネットワーク・通信
出典:Tim Bayer et al. 「A Fog-Cloud Computing
Infrastructure for Condition Monitoring and
Distributing Industry 4.0 Services」(2019年5月2-4日)
- 19. 19
2-2. COVID-19対策モバイル/フォグコンピューティング(1)
・Md Whaiduzzaman et al.「COVID-19地域感染追跡・予防
向けプライバシー保護モバイル/フォグコンピューティングフレームワーク」
(2020年6月)
• システム概要
出典:Md Whaiduzzaman et al.「A Privacy-preserving Mobile and Fog Computing Framework
to Trace and Prevent COVID-19 Community Transmission」(2020年6月)
- 21. 21
2-2. COVID-19対策モバイル/フォグコンピューティング(3)
• AWSに関連する展開の概要
• AWS Lambda
(サーバーレスアーキテクチャ)
• AWS IoT Greengrass
• AWS IoT Core
• AWS IoT Device Defender
• AWS IoT Device Management
• Amazon Simple Queue
Service(SQS)
• Amazon Relational Database
Service (RDS)
など
出典:Md Whaiduzzaman et al.「A Privacy-preserving Mobile and Fog Computing Framework
to Trace and Prevent COVID-19 Community Transmission」(2020年6月)
- 29. 29
No. リスク緩和策
9 コンテナのボリューム管理
10 コンテナのシークレット管理
11 プラットフォーム管理 - ライフサイクルイベント通知
12 プラットフォーム管理 - リソース要求
13 プラットフォーム管理 - コンテナリソース管理
14 コンテナ管理 - コンテナリソースのスケーリング
15 コンテナ管理 - データのバックアップとレプリケーション
16 コンテナ管理 – CMP間のコンテナのホスト変更
17 コンテナの暗号化
3-1.アプリケーションコンテナのクラウドセキュリティ(7)
• アプリケーションコンテナの課題に対するリスク緩和策(2)
- 30. 30
3-2.マイクロサービスのクラウドセキュリティ(1)
• 米国NIST 「SP 800-204: マイクロサービスベースの
アプリケーションシステム向けセキュリティ戦略」(2019年8月)
• マイクロサービスの設計原則
• 個々のマイクロサービスは、他のマイクロサービスから独立して、管理、
複製、スケーリング、アップグレード、展開される
• 個々のマイクロサービスは、単独の機能を有し、制限された環境(例.
制限された責任を有し、他のサービスに依存する)で稼働する
• すべてのマイクロサービスは、一定の障害や復旧のために設計されるべき
であり、可能な限りステートレスである必要がある
• 状況管理のために、既存のトラステッドサービス(例.データベース、
キャッシュ、ディレクトリ)を再利用すべきである
- 33. 33
3-2.マイクロサービスのクラウドセキュリティ(4)
• マイクロサービスの脅威とセキュリティ戦略(1)
脅威 セキュリティ戦略
アイデンティティ/アクセス管理 ・認証(MS-SS-1)
・アクセス管理(MS-SS-2)
サービス・ディスカバリーのメカニズム ・サービスレジストリ構成(MS-SS-3)
セキュアな通信プロトコル ・セキュアな通信(MS-SS-4)
セキュリティモニタリング ・セキュリティモニタリング(MS-SS-5)
遮断機能の展開 ・遮断機能の展開(MS-SS-6)
ロードバランシング ・ロードバランシング(MS-SS-7)
レート制限 ・レート制限(MS-SS-8)
完全性の保証 ・マイクロサービスの最新版の導入(MS-SS-9)
・セッション維持の取扱(MS-SS-10)
ボットネット攻撃への対抗 ・資格情報の悪用やリスト型攻撃の防止(MS-SS-11)
マイクロサービスのアーキテクチャ・フレーム
ワーク
・APIゲートウェイの展開(MS-SS-12)
・サービス・メッシュの展開(MS-SS-13)
出典:NIST 「SP 800-204: Security Strategies for Microservices-based Application Systems 」(2019年8月)
- 35. 35
3-2.マイクロサービスのクラウドセキュリティ(6)
• 米国NIST 「SP 800-204A: サービス・メッシュ・アーキテク
チャを利用したセキュアなマイクロサービスベース・アプリケーション
の構築」(2020年5月)
• なぜサービス・メッシュか?
No. セキュリティ戦略
SM-AR1 サービス・メッシュ・コードをマイクロサービス・アプリケーション・コードに組込んで、サービス・メッシュが、アプリケーション開発
フレームワークで重要な役割を果たすようにすることができる
SM-AR2 サービス・メッシュ・コードがライブラリとして展開されると、アプリケーションは、APIコール経由でサービス・メッシュにより提供
されるサービスに結合される
SM-AR3 サービス・メッシュ機能は、マイクロサービス・インスタンスの前にデプロイされた各プロキシーとともにプロキシーに展開され、マイ
クロサービスベース・アプリケーション向けのインフラストラクチャサービスを集合的に提供する(サイドカー・プロキシー)
SM-AR4 サービス・メッシュ機能は、マイクロサービス・インスタンスごとではなく、ノードごとにデプロイされたプロキシー(例.物理的
ホスト)とともにプロキシーに展開される
出典:NIST 「SP 800-204A: Building Secure Microservices-based Applications Using Service-Mesh Architecture」(2020年5月)