📝
[聴講メモ] スクエアfreeセミナー 第98回:[ Dockerて何ができるの? ]
published_at: 2018-12-21 08:54
スクエアfreeセミナー 第98回:[ Dockerて何ができるの? ]
- [ 開催日 ]2018年12月20日(木)17:0019:00(終了後、名刺交換会)
- [ 会 場 ]株式会社OPENスクエア 千代田区神田紺屋町17番地 SIA神田スクエア 2階
- [ 定 員 ]40名(参加費無料・事前申込制)
1.「忙しい人のためのDocker入門」2018年Winterバージョン
講師:前佛 雅人 様(さくらインターネット株式会社)
Dockerが当たり前のように使われている状況になっている中で、
Dockerに関してもっと知りたいと思っている方やこれからDockerを
使いたいと考えている方も多いと思います。そこで、今回はDockerが
登場した背景や特徴を現在の動向にあわせて概要をご説明します。
-
仮想化からクラウド・ネイティブへ
-
建築と建設
- 建築 : コンテナ
- 家とか
- 建設 : クラウド・ネイティブ
- 道とか
- 建築 : コンテナ
-
物理サーバ -> 仮想化 -> クラウドコンピューティング -> クラウドネイティブ
- 静的 -> 動的
- 切り戻し大変 -> そうでもない
-
前提となるインフラの変化
- スマホ : 2018年、PCを越えた
- Webサービス:提供し続けなければならなくなった
- 計画停止 -> 機会損失
- スマホ : 2018年、PCを越えた
-
ペット vs 家畜
- 大事にする vs 粗略に・・・
- Scale-out vs UP <- (文脈聞きもらした。。)
-
-
cncf.io
-
Dockerイメージ
- イメージ・レイヤの積み重ね ★
- 利用者からは1つに見える : alpine
- Dockerfile で管理
- イメージ・レイヤの積み重ね ★
-
gliderlabs / docker-alpine
-
ファイルシステムを守る
- chrott
-
コンテナは空間の状態
-
プロセス等を名前空間で分離
- cgroupでリソースを割り当て
-
3つの
- コンテナは複数のネットワーク(ブリッジ)に接続
- ファイルシステム
- ボリューム : コンテナ間でデータを共有できる
- ホストをマウント
- 名前付き
- 名前無し
- ?
- イメージ
- ボリューム : コンテナ間でデータを共有できる
-
資料は後ほど公開
-
まとめ より
- RPA・FaaS
- 使い方の特化
- コーディングレス・サーバーレス
- RPA・FaaS
2.「コンテナ管理ツールDocker/Kubernetes/Rancherてなに?」SIで必要なコンテナ活用ツールの紹介
講師:矢野 哲朗 様(株式会社スタイルズ)
Rancherは、コンテナー環境として活用されているKubernetesを管理するツールです。
Kubernetesは、コンテナー環境を構築する非常に重要なツールですが、使いこなすには
専門的な知識が必要になります。そして、SIとしてコンテナー環境管理ツールの
Kubernetes/Rancherがなぜ必要になってくるのか、使うメリットを含めて解説します。
- 講師体調不良のため、Skip
3.「コンテナセキュリティって必要なの?」コンテナセキュリティベストプラクティスご紹介
講師:竹石 渡 様(ソフトバンク コマース&サービス株式会社 テクニカルマーケティングセンタービジネス開発課 CISSP)
新たなテクノロジーが使われ始めると攻撃者は必ずそこに目をつけてきます。コンテナ技術も例外ではございません。
今回はコンテナに迫る脅威とコンテナセキュリティのベストプラクティス、具体的な製品をご紹介します。
-
悪意を持った Docker Image
- 仮想通貨 Monero をマイニング、という事例があった
-
ランサムウェア
- ランサム + (ソフト)ウェア
- 身代金要求型
-
コインマイナー
- コイン + マイニング
-
脆弱性のある Docker Hub 上イメージの割合: 24%
-
ベストプラクティス
- NIST SP800-190 Application Container Security Guide
- Image
- リスク:脆弱性・マルウェア
- 対策:コンテナに特化したイメージのスキャン
- Redistry
- リスク:不正アクセス
- 対策:レジストリ通信暗号化、古いイメージ削除
- Orchestrator
- リスク:無制限の特権アクセス
- 対策:必要性に応じた権限付与
- Container
- リスク:ランタイムの脆弱性、無制限なネットワークアクセス、App脆弱性
- 対策:脆弱性のスキャン、App挙動のホワイトリスティング
- HostOS
- リスク:カーネルを共有するリスク、OSコンポーネントの脆弱性
- 対策:コンテナ特化のHostOS利用、ホストOSセキュリティ
- Image
- NIST SP800-190 Application Container Security Guide
-
アジリティとセキュリティの両立
- シフトレフト
- Code -> Build -> Test -> Release
- より左側でセキュリティテスト(スライドでは、Build に矢印)
- 開発初期段階でセキュリティテストを実施
- Code -> Build -> Test -> Release
- セキュリティテストの自動化
- CIツールなどと連携
- シフトレフト
-
コンテナセキュリティ製品を選ぶポイント
- DevOpsツールチェーンとの連携
- 様々なプラットフォームをサポート
- コンテナの特性に対応している
- ※従来のネトワークベース・ホストベースのものは・・・対応できていない
-
商用コンテナセキュリティ製品プレーヤー
- 新興系
- Aqua, Sysdig, StackRox, Twistlock
- エンドポイントAV
- McAfee, TrendMicro, Symantec, SOPHOS
- 脆弱性スキャン
- tanable, Qualys, RAPID, (あと1つ)
- 新興系
-
Aqua Security Software
- (ご紹介)
- DevSecOps の実現
- フェーズ毎
- 開発
- 脆弱性、マルウェア、OSS、シークレット、ベースイメージポリシーをスキャン/およびコンフィグチェック
- 出荷
- 新たなCVE...
- 運用
- ...
- 開発
- フェーズ毎
- Aquaコンポーネント
- すべての環境でアプリを守る
- まとめ:3つのアプローチ
- DevSecOps の自動化
- コンテナ全般への次世代セキュリティ
- 一度の導入で、あらゆるプラットフォームに対応
-
さいごに:セールストーク
- (取扱製品の話)
- 指数関数的にコンテナの利用が増えてきている
- (めずらしいもの)
- outsystems
- WhiteSource 脆弱性スキャン
- ビッグデータのツールも
- エンタープライズ向け
- GitHub, GitLab
- DevOpsHub というメディアを運営
その他
- 2時間休憩なしはちょっとキツイ
- 懇親会あることを最初から明記しておいてほしかった
- 初めての人への参入障壁的に感じてしまった
Discussion