位置づけ 所感 具体例 ⾝元確認(認証要素) セキュリティ機能 != 安全なソフトウェア ソフトウェア依存関係・コード再利用 シングル サインオン 動的リンク 型安全性 命令的セキュリティと宣⾔的セキュリティ ⼼理的受容性 規制とコンプライアンス スクリプト…

NRI:「サイバー攻撃を想定したクラウドネイティブセキュリティガイドラインとCNAPP及びSecurity Observabilityの未来」 クラウドセキュリティ コンテナセキュリティ 運用監視 いまさらですがCloud Native Security Conference 2022の動画版を視聴しました。 …

責任共有モデル Self Managed Workers Mangaed Node Groups EKS Fargate セキュリティ考慮 ユーザアクセス制御 ネットワーク インフラ Kubernetes masterコンポーネント ポッド アドミッションコントロール 参考 今回はクラウドKubernetesサービス(別名フル…

モチベーション CISSP 概要 セキュリティとリスクマネジメント 機密性、完全性、可用性 セキュリティガバナンス 効果的なセキュリティプログラム コンプライアンス 法規制 倫理 セキュリティポリシー 事業継続と災害復旧 人的セキュリティ リスクマネジメン…

トレンドマイクロ:Cloud Oneセミナー聴講のまとめです。 テーマは、サーバレスサービスのランタイム防御を提供するRASP (Runtime Application Self Protection)です。 セミナー聴講して くっきりとした姿が見えているわけではないけど、おぼろげながら、浮か…

ISMAP登録サービス 政府系ガイドライン クラウドセキュリティガイドライン CSAとISMAP 政府統一基準の改定案 ISMAP登録サービス ISMAP(Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要件を満たしているクラ…

集中防御方式 脅威分析 攻防バランスとリスク評価 多層防御 海軍の歴史とサイバーセキュリティの未来 本稿は下記の記事を整理してアレンジを加えたものです。「大和」は、1940年8月に進水した世界最大の6万4000トンの基準排水量と、世界最大の18インチ（46セ…

テーマ 補足 特権コンテナによるホストOSへのアクセス 後片付け 第6弾は特権コンテナをテーマにした演習です。 テーマ docker run –privilegedオプション uevent_helper コンテナブレイクアウト 補足 $:ホストOS #:コンテナ内 特権コンテナによるホストOSへ…

テーマ 補足 setuidフラグの付与されたシェルの実行 コンテナ内権限昇格の防止 後片付け 第5弾はコンテナ内特権昇格の演習です。 テーマ ・setuidフラグ・no-new-privilegesオプション 補足 $:ホストOS #:コンテナ内 setuidフラグの付与されたシェルの実行 s…

テーマ 補足 PID名前空間の共有 後片付け 第4弾はcgroupによるリソース制限をテーマにした演習です。 テーマ ・cgroupによるコンテナのリソース制限 ・フォークボム 補足 $:ホストOS #:コンテナ内 PID名前空間の共有 docker runコマンドでリソース制限を実施…

テーマ 補足 PID名前空間の共有 後片付け 第2弾では名前空間の共有を確認します。 テーマ 名前空間の共有と脅威 補足 $:ホストOS #:コンテナ内 PID名前空間の共有 docker runコマンドに--pid=hostオプションを指定することによって、ホストのプロセスIDをコ…

テーマ カーネルの共有 ルートファイルシステムの分離 ネームスペースの比較 プロセス一覧の比較 uts名前空間、user名前空間 コンテナに付与された特権 後片付け 第1弾ではコンテナの仕組みを理解するためにコンテナ側とホストOSからリソースの見え方や権限…

Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド Container Security: Fundamental Technology Concepts That Protect Containerized Applications NIST SP 800-190 application container security guide CIS Benchmarks Container Security Bo…

コンテナセキュリティの考え方 仮想化環境やベアメタル環境との違い 多層防御とコンテナ コンテナの要素技術 Namespace pivot_root cgroups Linux capability コンテナの種類 特権コンテナの危険性 ファイルパーミッション システムコール ユニオンファイル…

最小限の特権 深層防御 攻撃対象の最小化 影響範囲の制限 権限の分離 最小限の特権 最小限の特権の原則は、個人または組織が必要とする最小限のアクセスに制限することを指します。 電子商取引アプリケーションで商品検索を行うマイクロサービスがあるとしま…

Microsoft NCC 外部からの攻撃者 悪意のあるコンテナ 悪意のあるユーザー／危害を加えられたユーザー CNCF Attack Trees ボトムアップアプローチ シナリオ・アプローチ Kubernetes Security Audit Working Group 脅威分析の目的は下記参照。 参考 Microsoft …

脅威のアクター コンテナの脅威 脅威分析の目的は下記参照。 kurobato.hateblo.jp セキュリティの観点から見ると、コンテナ化された環境では、多くが従来のデプロイメントと同じになります。世の中には、データを盗んだり、システムの動作を変更したり、他人…