OCIイメージとOCIランタイムバンドル

コンテナコンテナイメージコンテナランタイム

参考 OCI image(image-spec) OCI runtime bundle(runtime-spec) runcでコンテナを起動コンテナイメージ第2弾です。前回はDockerイメージとコンテナランタイムを紹介しました。kurobato.hateblo.jp今回は、下記の構成になります。・DockerイメージをOCIイ…

#runc #OCI #OCI runtime bundle #OCI image

2021-04-29

Dockerイメージの構成

コンテナコンテナイメージ

Dockerイメージの中身 manifest.json Config Layers コンテナランタイム Dockerイメージの内容を確認してみます。 Dockerイメージの中身 Dockerイメージをダウンロードしてtar形式で保存します。 $docker image pull ubuntu:latest $mkdir docker-image $cd …

2021-04-26

Cloud One:RASP (Runtime Application Self Protection)

クラウドセキュリティサーバレス

トレンドマイクロ:Cloud Oneセミナー聴講のまとめです。テーマは、サーバレスサービスのランタイム防御を提供するRASP (Runtime Application Self Protection)です。セミナー聴講してくっきりとした姿が見えているわけではないけど、おぼろげながら、浮か…

2021-04-26

ISMAPと政府統一基準の動向

クラウドセキュリティ

ISMAP登録サービス政府系ガイドラインクラウドセキュリティガイドライン CSAとISMAP 政府統一基準の改定案 ISMAP登録サービス ISMAP(Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要件を満たしているクラ…

#クラウド #ISMAP

2021-04-25

海軍から学ぶサイバーセキュリティ

セキュリティ軍事

集中防御方式脅威分析攻防バランスとリスク評価多層防御海軍の歴史とサイバーセキュリティの未来本稿は下記の記事を整理してアレンジを加えたものです。「大和」は、1940年8月に進水した世界最大の6万4000トンの基準排水量と、世界最大の18インチ（46セ…

#戦艦大和 #海軍 #サイバーセキュリティ #ゼロトラスト #多層防御

2021-04-24

コンテナセキュリティハンズオン6:Container Breakout

コンテナセキュリティ

テーマ補足特権コンテナによるホストOSへのアクセス後片付け第6弾は特権コンテナをテーマにした演習です。テーマ docker run –privilegedオプション uevent_helper コンテナブレイクアウト補足 $:ホストOS #:コンテナ内特権コンテナによるホストOSへ…

#コンテナ #Docker #特権コンテナ #privileged

2021-04-24

コンテナセキュリティハンズオン5:Privilege Escalation

コンテナセキュリティ

テーマ補足 setuidフラグの付与されたシェルの実行コンテナ内権限昇格の防止後片付け第5弾はコンテナ内特権昇格の演習です。テーマ・setuidフラグ・no-new-privilegesオプション補足 $:ホストOS #:コンテナ内 setuidフラグの付与されたシェルの実行 s…

2021-04-24

コンテナセキュリティハンズオン4:Container Forkbomb

コンテナセキュリティ

テーマ補足 PID名前空間の共有後片付け第4弾はcgroupによるリソース制限をテーマにした演習です。テーマ・cgroupによるコンテナのリソース制限・フォークボム補足 $:ホストOS #:コンテナ内 PID名前空間の共有 docker runコマンドでリソース制限を実施…

2021-04-24

コンテナセキュリティハンズオン2:Shared Namespace

コンテナセキュリティ

テーマ補足 PID名前空間の共有後片付け第2弾では名前空間の共有を確認します。テーマ名前空間の共有と脅威補足 $:ホストOS #:コンテナ内 PID名前空間の共有 docker runコマンドに--pid=hostオプションを指定することによって、ホストのプロセスIDをコ…

2021-04-24

コンテナセキュリティハンズオン1:Understanding Container

コンテナセキュリティ

テーマカーネルの共有ルートファイルシステムの分離ネームスペースの比較プロセス一覧の比較 uts名前空間、user名前空間コンテナに付与された特権後片付け第1弾ではコンテナの仕組みを理解するためにコンテナ側とホストOSからリソースの見え方や権限…

#コンテナ #セキュリティ

2021-04-11

コンテナセキュリティの参考資料

コンテナセキュリティ

Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド Container Security: Fundamental Technology Concepts That Protect Containerized Applications NIST SP 800-190 application container security guide CIS Benchmarks Container Security Bo…

#コンテナ #セキュリティ #書籍 #NIST #CIS Benchmarks

2021-04-11

Linux OSのセキュリティ機能とコンテナ技術

コンテナセキュリティ Linux

コンテナセキュリティの考え方仮想化環境やベアメタル環境との違い多層防御とコンテナコンテナの要素技術 Namespace pivot_root cgroups Linux capability コンテナの種類特権コンテナの危険性ファイルパーミッションシステムコールユニオンファイル…

#コンテナ #セキュリティ #Docker #Kubernetes

2021-04-10

コンテナのセキュリティ原則

コンテナセキュリティ

最小限の特権深層防御攻撃対象の最小化影響範囲の制限権限の分離最小限の特権最小限の特権の原則は、個人または組織が必要とする最小限のアクセスに制限することを指します。電子商取引アプリケーションで商品検索を行うマイクロサービスがあるとしま…

2021-04-10

Kubernetesの脅威モデル

コンテナセキュリティ

Microsoft NCC 外部からの攻撃者悪意のあるコンテナ悪意のあるユーザー／危害を加えられたユーザー CNCF Attack Trees ボトムアップアプローチシナリオ・アプローチ Kubernetes Security Audit Working Group 脅威分析の目的は下記参照。参考 Microsoft …

#コンテナ #セキュリティ

2021-04-10

コンテナの脅威モデル

コンテナセキュリティ

脅威のアクターコンテナの脅威脅威分析の目的は下記参照。 kurobato.hateblo.jp セキュリティの観点から見ると、コンテナ化された環境では、多くが従来のデプロイメントと同じになります。世の中には、データを盗んだり、システムの動作を変更したり、他人…

#コンテナ #セキュリティ

鳩小屋

落書き帳

2021-04-01から1ヶ月間の記事一覧

OCIイメージとOCIランタイムバンドル

Dockerイメージの構成

Cloud One:RASP (Runtime Application Self Protection)

ISMAPと政府統一基準の動向

海軍から学ぶサイバーセキュリティ

コンテナセキュリティハンズオン6:Container Breakout

コンテナセキュリティハンズオン5:Privilege Escalation

コンテナセキュリティハンズオン4:Container Forkbomb

コンテナセキュリティハンズオン2:Shared Namespace

コンテナセキュリティハンズオン1:Understanding Container

コンテナセキュリティの参考資料

Linux OSのセキュリティ機能とコンテナ技術

コンテナのセキュリティ原則

Kubernetesの脅威モデル

コンテナの脅威モデル