SlideShare a Scribd company logo

Cloud Native Security

Takayuki Kabu, profile picture
Takayuki Kabu

Credhub

Technology
1 of 20
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
© Copyright 2017 Pivotal Software, Inc. All rights Reserved. Version 1.0 Version 1.0 September 2017 CredHub Secure Credential Management in Cloud Foundry
ymantec 2016 Internet hreat eport ● 毎週、新たなゼロデイ脆弱性が発見されている ● 5億件も 個人情報が盗まれた、また 喪失した ● ウェブサイト 4分 3に脆弱性が見つかった ● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた ● ランサムウェアが35パーセント増えた
ymantec 2016 Internet hreat eport ● 毎週、新たなゼロデイ脆弱性が発見されている ● 5億件も 個人情報が盗まれた、また 喪失した ● ウェブサイト 4分 3に脆弱性が見つかった ● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた ● ランサムウェアが35パーセント増えた 技術 進歩 攻撃 多様化 脅威 数 増大
大打撃を与えるタイプ 脅威 ● マルウェア ○ これ 、ウイルス、トロイ 木馬、ワーム、スパイウェア、そ 他悪意 あるプログラムすべてに当 て まる用語です。 ● 持続的標的型攻撃 (APT) ○ APTと 、ネットワークへ アクセスに成功した攻撃者が、長期にわたって検出されずに留まるタイ プ 侵害です。脅威が検出されずに留まれ それだけ、データ リスクが高まります。 ● 認証情報 漏洩 ○ 認証情報 、情報また そ 他 リソースへ アクセスを制御します。重要なシステムに対する従 業員 認証情報を組織がいかに厳しく閉じ込めようとしても、相変わらず外に漏れてしまうようで す。
従来 エンタープライズセキュリティ 考え方 システム変更 リスク=
従来 エンタープライズセキュリティ 考え方 システム変更 リスク= セキュリティパッチ 放置 マルウェア対策 遅れ 認証情報更新 遅れ
Cloud Native Security 3Rs ● Repair (修理) ○ ダウンタイムなしで VM 再構築 ● Repave (再補修) ○ Stemcell(OS)やBuildpacks(アプリケーションスタック) 無停止で 修正 ● Rotate (循環) ○ 認証情報 継続的かつ迅速な循環
Cloud Native Security
Cloud Native Security
Rotate Secure Credential Management in Cloud Foundry
CredHub 機能 ● Securing data for storage ● Authentication ● Authorization ● Access and change logging ● Data typing ● Credential generation ● Credential metadata ● Credential versioning
CredHub アーキテクチャ CredHub ● REST APIサーバ ● 暗号化プロバイダー ○ AES256-GCM ○ LunaHSM Authentication Provider ● UAA ● 相互TLS Storage Provider ● MySQL ● PostgreSQL PCFで BOSH Director上に構成
BOSH VM CredHub Elastic Runtime MySQLfor PCF Redis for PCF Deployments generate rotate etc..
jobs: - name: streaming-mysql-backup-client release: mysql-backup consumes: {} provides: {} properties: cf-mysql-backup: symmetric_key: QlD5saBisFRCxzaP91Jxth-XPxUrxP3A backup-all-masters: false endpoint_credentials: username: "((mysql-backup-server-db-credentials.username))" password: "((mysql-backup-server-db-credentials.password))"
Cloud Native Security
Cloud Native Security
Rotate まとめ ● 利用技術 ○ CredHub ○ OSSで開発が進む CF 用プロジェクト ○ CF内 認証情報を一元管理する ○ BOSHマニフェスト内 クレデンシャルを一部credhub で管理開始 ○ PCF1.12から導入 ○ 今後 サービス クレデンシャルにも対応 ● 利点 ○ 認証情報 循環を通した、情報漏えい対策が可能 ○ 散財する認証情報を一元化 ○ BOSHマニフェスト内へ 認証情報 記載を阻止(Gitにあげやすい)
Pivotal Cloud Foundryセキュリティへ 取り組み ● 暗号化とセキュリティプロトコル ○ TLS, SSH, IPSec ● アンチウィルス ● 脆弱性対応 ○ OSやミドルウェア 脆弱性対応やアップグレードが容易 ○ OSやミドルウェア セキュリティ対応を Pivotalが実施 ● 認証 ○ LDAP, AD, oAuthなど対応 ● ログ ○ PCFから監査ログ、OS ログなどをすべて取得 ○ 既存 ログシステムを利用することでログ 改ざん検知なども可能 ● 脆弱性スキャニング ○ 出荷前にNessusを利用しチェック ○ 脆弱性対応 Pivotalが実施 ○ アドオン機能を利用して定期的なスキャニングも可能 ● 侵入検知と改ざん検知 ○ ファイル改ざん検知 アドオン機能を提供
Pivotal Cloud Foundry Security BOSH Add-ons ● アドオン機能によりセキュリティ機能を提供 ● PCF常に展開するVMを管理するBOSHを介してア ドオン形式でソフトウェアをインストール可能 ● 一括適用や更新が可能であるため個別 導入や 設定が不要となる ● ラインナップ ● File Integrity Monitoring Add-on ○ ファイル改ざん検知 ● ClamAV Add-on ○ アンチウイルス ● IPSec Add-on ○ 通信暗号化 BOSH Director VM FIM ClamAV IPSec VM FIM ClamAV IPSec VM FIM ClamAV IPSec
Transforming How The World Builds Software © Copyright 2017 Pivotal Software, Inc. All rights Reserved.

More Related Content

PDF
特権IDの実態と対策
ykatayama
 
PDF
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
 
PDF
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
シスコシステムズ合同会社
 
PDF
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
シスコシステムズ合同会社
 
PDF
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
 
PDF
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
PDF
企業のデジタル変革とサイバーリスク
Riotaro OKADA
 
PDF
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
 
特権IDの実態と対策
ykatayama
 
OWASP_Top_10_2017_A3機微な情報の露出
oshiro_seiya
 
【Interop Tokyo 2016】 世界最大級の脅威情報と自社ネットワークの脅威可視化
シスコシステムズ合同会社
 
【Interop Tokyo 2016】 ビッグデータ解析手法による脅威分析サービス
シスコシステムズ合同会社
 
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
 
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
企業のデジタル変革とサイバーリスク
Riotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
 

What's hot (15)

PPTX
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
 
PDF
サイバーセキュリティ月間
地域連携ステーション フミコム
 
PDF
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
MPN Japan
 
PDF
20200925 iret tech labo #2
Toshiaki Aoike
 
PDF
Privacy by Design with OWASP
Riotaro OKADA
 
PDF
CSIRT研修サービス(講師版)
IBMソリューション
 
PPTX
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
 
PDF
CSIRT研修サービス
IBMソリューション
 
PPTX
20180224 azure securitycenter
Masakazu Kishima
 
PDF
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
 
PPTX
4 Enemies of DevSecOps 2016
Riotaro OKADA
 
PDF
Owasp Project を使ってみた
Akitsugu Ito
 
PDF
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
 
PDF
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
Elasticsearch
 
PPTX
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
 
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
 
サイバーセキュリティ月間
地域連携ステーション フミコム
 
JPC2016Area: マイクロソフトはサイバー犯罪とこう戦う! ~サイバー セキュリティ最前線~
MPN Japan
 
20200925 iret tech labo #2
Toshiaki Aoike
 
Privacy by Design with OWASP
Riotaro OKADA
 
CSIRT研修サービス(講師版)
IBMソリューション
 
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
 
CSIRT研修サービス
IBMソリューション
 
20180224 azure securitycenter
Masakazu Kishima
 
アプリケーションのシフトレフトを実践するには
Riotaro OKADA
 
4 Enemies of DevSecOps 2016
Riotaro OKADA
 
Owasp Project を使ってみた
Akitsugu Ito
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
 
包括的な可視性を確立し、潜在するセキュリティの問題を見つけ出す
Elasticsearch
 
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
 
Ad

Similar to Cloud Native Security (11)

PPTX
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
imatrix_share
 
PDF
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Noriaki Hayashi
 
PDF
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
PDF
Fit forum seminar_20170623
Ken Lam
 
PPTX
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
株式会社クライム
 
PDF
Office 365 E5 Trust 機能概要
MPN Japan
 
PDF
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
PPT
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
itforum-roundtable
 
PDF
CybersixgillJapaneseBrochure_20240408000
mkoda1
 
PPTX
Bc threat intelligence_rev2.1
Takayoshi Takaoka
 
PPTX
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
株式会社クライム
 
「未知の脅威」を検出するために -Securitydays2015 imatrixセミナー@KITTE-
imatrix_share
 
細工された製品が突然牙をむく「サプライチェーン攻撃」の脅威
Noriaki Hayashi
 
~外注から内製へ~ なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
Fit forum seminar_20170623
Ken Lam
 
ランサムウェア対策 ”最後の砦” データ保護からみる感染対策セミナー
株式会社クライム
 
Office 365 E5 Trust 機能概要
MPN Japan
 
なぜ今、セキュリティ人材の育成がこんなにも叫ばれているのだろうか?
グローバルセキュリティエキスパート株式会社(GSX)
 
サイバー攻撃の新たな攻撃手法と、地方自治体組織および公共サービス事業体における有効な情報セキュリティ対策の実践
itforum-roundtable
 
CybersixgillJapaneseBrochure_20240408000
mkoda1
 
Bc threat intelligence_rev2.1
Takayoshi Takaoka
 
テレワーク時代のセキュリティ対策とは?情報漏洩やデータ損失を防ぐ「Druva inSync」
株式会社クライム
 
Ad

Cloud Native Security

  • 1. © Copyright 2017 Pivotal Software, Inc. All rights Reserved. Version 1.0 Version 1.0 September 2017 CredHub Secure Credential Management in Cloud Foundry
  • 2. ymantec 2016 Internet hreat eport ● 毎週、新たなゼロデイ脆弱性が発見されている ● 5億件も 個人情報が盗まれた、また 喪失した ● ウェブサイト 4分 3に脆弱性が見つかった ● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた ● ランサムウェアが35パーセント増えた
  • 3. ymantec 2016 Internet hreat eport ● 毎週、新たなゼロデイ脆弱性が発見されている ● 5億件も 個人情報が盗まれた、また 喪失した ● ウェブサイト 4分 3に脆弱性が見つかった ● 従業員を狙うスピアフィッシング攻撃が55パーセント増えた ● ランサムウェアが35パーセント増えた 技術 進歩 攻撃 多様化 脅威 数 増大
  • 4. 大打撃を与えるタイプ 脅威 ● マルウェア ○ これ 、ウイルス、トロイ 木馬、ワーム、スパイウェア、そ 他悪意 あるプログラムすべてに当 て まる用語です。 ● 持続的標的型攻撃 (APT) ○ APTと 、ネットワークへ アクセスに成功した攻撃者が、長期にわたって検出されずに留まるタイ プ 侵害です。脅威が検出されずに留まれ それだけ、データ リスクが高まります。 ● 認証情報 漏洩 ○ 認証情報 、情報また そ 他 リソースへ アクセスを制御します。重要なシステムに対する従 業員 認証情報を組織がいかに厳しく閉じ込めようとしても、相変わらず外に漏れてしまうようで す。
  • 6. 従来 エンタープライズセキュリティ 考え方 システム変更 リスク= セキュリティパッチ 放置 マルウェア対策 遅れ 認証情報更新 遅れ
  • 7. Cloud Native Security 3Rs ● Repair (修理) ○ ダウンタイムなしで VM 再構築 ● Repave (再補修) ○ Stemcell(OS)やBuildpacks(アプリケーションスタック) 無停止で 修正 ● Rotate (循環) ○ 認証情報 継続的かつ迅速な循環
  • 11. CredHub 機能 ● Securing data for storage ● Authentication ● Authorization ● Access and change logging ● Data typing ● Credential generation ● Credential metadata ● Credential versioning
  • 12. CredHub アーキテクチャ CredHub ● REST APIサーバ ● 暗号化プロバイダー ○ AES256-GCM ○ LunaHSM Authentication Provider ● UAA ● 相互TLS Storage Provider ● MySQL ● PostgreSQL PCFで BOSH Director上に構成
  • 13. BOSH VM CredHub Elastic Runtime MySQLfor PCF Redis for PCF Deployments generate rotate etc..
  • 14. jobs: - name: streaming-mysql-backup-client release: mysql-backup consumes: {} provides: {} properties: cf-mysql-backup: symmetric_key: QlD5saBisFRCxzaP91Jxth-XPxUrxP3A backup-all-masters: false endpoint_credentials: username: "((mysql-backup-server-db-credentials.username))" password: "((mysql-backup-server-db-credentials.password))"
  • 17. Rotate まとめ ● 利用技術 ○ CredHub ○ OSSで開発が進む CF 用プロジェクト ○ CF内 認証情報を一元管理する ○ BOSHマニフェスト内 クレデンシャルを一部credhub で管理開始 ○ PCF1.12から導入 ○ 今後 サービス クレデンシャルにも対応 ● 利点 ○ 認証情報 循環を通した、情報漏えい対策が可能 ○ 散財する認証情報を一元化 ○ BOSHマニフェスト内へ 認証情報 記載を阻止(Gitにあげやすい)
  • 18. Pivotal Cloud Foundryセキュリティへ 取り組み ● 暗号化とセキュリティプロトコル ○ TLS, SSH, IPSec ● アンチウィルス ● 脆弱性対応 ○ OSやミドルウェア 脆弱性対応やアップグレードが容易 ○ OSやミドルウェア セキュリティ対応を Pivotalが実施 ● 認証 ○ LDAP, AD, oAuthなど対応 ● ログ ○ PCFから監査ログ、OS ログなどをすべて取得 ○ 既存 ログシステムを利用することでログ 改ざん検知なども可能 ● 脆弱性スキャニング ○ 出荷前にNessusを利用しチェック ○ 脆弱性対応 Pivotalが実施 ○ アドオン機能を利用して定期的なスキャニングも可能 ● 侵入検知と改ざん検知 ○ ファイル改ざん検知 アドオン機能を提供
  • 19. Pivotal Cloud Foundry Security BOSH Add-ons ● アドオン機能によりセキュリティ機能を提供 ● PCF常に展開するVMを管理するBOSHを介してア ドオン形式でソフトウェアをインストール可能 ● 一括適用や更新が可能であるため個別 導入や 設定が不要となる ● ラインナップ ● File Integrity Monitoring Add-on ○ ファイル改ざん検知 ● ClamAV Add-on ○ アンチウイルス ● IPSec Add-on ○ 通信暗号化 BOSH Director VM FIM ClamAV IPSec VM FIM ClamAV IPSec VM FIM ClamAV IPSec
  • 20. Transforming How The World Builds Software © Copyright 2017 Pivotal Software, Inc. All rights Reserved.