SlideShare une entreprise Scribd logo

Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで

A
Akihiro Suda

https://containerdays.jp/ Japan Container Days講演資料

Logiciels
1  sur  55
Télécharger pour lire hors ligne
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで 須田 瑛大 (Docker Tokyo / NTT) 1 Japan Container Days v18.12 (2018/12/05) https://www.slideshare.net/AkihiroSuda
自己紹介 2 ● Docker Tokyo Meetupオーガナイザ ○ 次回開催は近日中に https://dockerjp.connpass.com/ にて告知 ● 所属: 日本電信電話株式会社 ソフトウェアイノベーションセンタ ● コンテナ関連OSSのメンテナ(いわゆるコミッタ)を務めている ○ Moby (≒Docker) ■ Dockerの元になっているOSSプロジェクト ○ BuildKit ■ 次世代 docker build ○ containerd ■ Kubernetesなどで利用できる次世代コンテナランタイム
はじめに 3 ● Dockerを使うことで,アプリケーションに脆弱性があっても,その実際 の影響範囲を限定することが出来る ● Dockerに関係するセキュリティ技術を理解し,応用することで,更にセ キュリティを強化することが出来る ○ 完全に理解する必要はない ■ そもそも不可能 ○ 複数の技術を組み合わせて使うと,その内1つに脆弱性や理解の誤りがあって も,他の技術でカバー出来ることがある
お話する内容 4 第1章 イメージ ● docker build --secret ● docker build --ssh ● Clair ● Microscanner 第3章 ランタイム ● Seccomp / Apparmor / SELinux ● バインドマウント時の注意 ● docker run --user ● dockerd --userns-remap ● Rootlessモード ● Falco 第4章 代替ランタイム ● Kata Containers ● gVisor ● Nabla Containers 第2章 Dockerソケット ● TLS ● SSH ● AuthZ
第1章 イメージ 5
プライベートリポジトリを用いるビルド 6 ● Dockerfileの中から,プライベートなGitリポジトリやS3にアクセスする にはどうすればよいか? ● 鍵ファイルをCOPY/ADDして,git等を実行し,後で鍵を削除すれば,イ メージに鍵を残さずにビルドできそうに思える FROM ... COPY id_rsa ~/.ssh RUN git clone ssh://... RUN rm –f ~/.ssh/id_rsa
プライベートリポジトリを用いるビルド 7 ● Dockerfileの中から,プライベートなGitリポジトリやS3にアクセスする にはどうすればよいか? ● 鍵ファイルをCOPY/ADDして,git等を実行し,後で鍵を削除すれば,イ メージに鍵を残さずにビルドできそうに思えるが,駄目 FROM ... COPY id_rsa ~/.ssh RUN git clone ssh://... RUN rm –f ~/.ssh/id_rsa Dockerfile1行ごとにtarレイヤが作られる 鍵を含むレイヤが作られる 鍵を隠す(whiteout)情報を含んだレイヤが 作られるが,鍵を含むレイヤ自体を消しては くれない! 自身以外が参照可能なレジストリにイメージをpushすると,鍵が漏れる!
プライベートリポジトリを用いるビルド 8 ● Docker 18.09から利用可能な docker build --secret 及び docker build --ssh を使うとよい ● --secret: 鍵ファイルをビルド用コンテナ中にマウントできる.鍵ファ イルは出力イメージ内には残らない. ● --ssh: --secretに似ているがSSH秘密鍵に特化.ssh-agentと組み合わ せて,パスフレーズ付きの秘密鍵を使うことも可能.
docker build --secret 9 # syntax = docker/dockerfile:1.0-experimental FROM python:3 RUN pip install awscli RUN --mount=type=secret,id=aws,target=/root/.aws/credentials aws s3 cp s3://... ... $ export DOCKER_BUILDKIT=1 $ docker build --secret id=aws,src=$HOME/.aws/credentials ... BuildKitモードを有効化 secretのIDとパスを指定 Docker 18.09ではexperimental扱いなので,1行目に # syntax = ...の指定が必要 上で指定したsecretをtargetにマウント (出力イメージには残らない)
補足: export DOCKER_BUILDKIT=1 について 10 ● クライアント側でexport DOCKER_BUILDKIT=1するとBuildKitモードが有 効になる ○ あるいはデーモン側の /etc/docker/daemon.jsonに {"features":{"buildkit":true}} と記述しても有効化できる ● BuildKit: セキュリティ,並行性,キャッシュ効率を重視した次世代 docker build バックエンド ○ --secret 及び --ssh をサポート ○ Dockerfileの命令間の依存性をDAGとして表現し,可能な限り各命令 を同時実行 ○ キャッシュ機能を強化 ● 詳しくは https://github.com/moby/buildkit 参照
docker build --ssh 11 # syntax = docker/dockerfile:1.0-experimental FROM alpine RUN apk add --no-cache openssh-client RUN mkdir -p -m 0700 ~/.ssh && ssh-keyscan github.com >> ~/.ssh/known_hosts RUN --mount=type=ssh git clone github.com/プライベートなrepo $ eval $(ssh-agent) $ ssh-add ~/.ssh/id_rsa (パスフレーズ入力) $ export DOCKER_BUILDKIT=1 $ docker build --ssh default=$SSH_AUTH_SOCK ssh-agentのソケットまたは秘密鍵ファイルを指定可能 (ssh-agentのソケットを使うなら,パスフレーズつきの秘密 鍵を扱える) Docker 18.09ではexperimental
古いバージョンのDockerを用いている場合 12 ● docker build --secret 及び docker build --ssh はDocker 18.09から利用可能 ● 今すぐ18.09にアップグレードできない場合のワークアラウンド ○ マルチステージビルド (右図) ○ docker build --squash (レイヤを1つにまとめる) ○ historyに残らない特殊なbuild-arg (FTP_PROXYなど)を目的外利用する https://github.com/moby/moby/pull/36443 ● ただし,古いバージョンのDockerは メンテナンスが終了しているため, なるべく早期にDocker 18.09に移行すべき FROM ... COPY id_rsa ~/.ssh RUN git clone ssh://… /foo FROM ... COPY --from=0 /foo /foo
イメージスキャナ 13 ● コンテナイメージ中に,古いパッケージが含まれていると攻撃されること がある ● Clair, Microscanner, Anchore, Dagdaなどのスキャナを用いると,既知の 脆弱性を含むパッケージがイメージに含まれていないか検査できる ● スキャナで全ての脆弱性が見つかるわけではない ● スキャナが警告を出したとしても,必ずしも問題ではない ○ 当該の脆弱性を含む機能を使っていないかも知れない ○ コンテナ化している場合は,実用上問題ない脆弱性かも知れない ○ パッケージのバージョン番号が古く見えても,ディストリビュータが修正 パッチをバックポートしているかも知れない
● CoreOS (現Red Hat)が開発するOSSのイメージスキャナサーバ ● QuayやGitLab CI/CDにも採用されている ○ GitLab設定例: https://docs.gitlab.com/ee/ci/examples/container_scanning.html ● Clair本体の他に,クライアントが必要 ○ clairctl, klar, reg, clair-scannerなど ○ Harborもクライアントとして動作できる Clair 14 Clair PostgreSQL クライアント Alpine/Red Hat/Ubuntu等 のCVEデータベース レジストリ RESTによるリクエスト イメージ取得 脆弱性情報取得 脆弱性情報等格納
Microscanner 15 ● Aqua Securityが提供するイメージスキャンサービス ○ 無償ではあるがプロプライエタリ,要ユーザ登録 ○ マルウェアスキャンなど,全ての機能を使うには有償製品の購入が必要 ● Dockerfileに1行付け足すだけでスキャンできる ○ Clairと異なり,自分でサーバを立てなくてよい ● CircleCI用のOrbも提供されている RUN apk add --no-cache ca-certificates && update-ca-certificates && wget -O /microscanner https://get.aquasec.com/microscanner && chmod +x /microscanner && /microscanner <token> && rm -rf /microscanner
その他のイメージスキャナ 16 ● Anchore Engine ○ アーキテクチャはClairに似ているが,公式クライアント及び公式Jenkinsプラ グインが用意されており,使いはじめやすい ● Dagda ○ 公式クライアントあり ○ ClamAVを用いたマルウェアスキャンも出来る ● Vuls ○ コンテナ専用スキャナではないが,(イメージそのものではなく)実行中コン テナもスキャンできる ● OpenSCAP ○ コンテナ専用スキャナではないが,コンテナイメージもスキャンできる ○ RHELイメージ専用 (CentOS不可) ○ サーバ不要 ● その他,有償・プロプラではTwistlockなど
イメージスキャナ比較 17 ● kong:1.0.0rc1 に対する2018年秋のスキャン結果 https://kubedex.com/follow-up-container-scanning-comparison/ busybox libressl curl 画像出典: 上記URL
イメージスキャナ比較 18 ● どれがよいとは一概には言えない ● False positive (誤検出) もある ● イメージスキャナを過信せず, なるべく依存パッケージを減らして シンプルなイメージを作るのがよい ○ 脆弱性を踏みにくくなるだけでなく False positiveで悩むことも減る 画像出典: 前ページ記載URL
第2章 Dockerソケット 19
Dockerソケット ( /var/lib/docker.sock ) 20 ● DockerデーモンがREST APIを待ち受けるソケット ● デフォルトでの所有権は root:docker ● docker グループに一般ユーザを追加すると,一般ユーザでも docker クライアントを実行できるようになる ● Dockerソケットへアクセス権を与えることは,ホストのroot権限を与える ことに等しい ○ docker run --privileged を実行すると一切の保護が無効 ○ docker run -v /:/host … を実行すればホスト上の任意のファイルを root権限で読み書きできる
Dockerソケット ( /var/lib/docker.sock ) 21 ● インターネットへ向けてTCPでlistenするなら,TLSの設定が必須 ● TLSを設定できていないDockerホストを対象とした攻撃が知られている ● 仮想通貨を採掘するコンテナを立ち上げる攻撃が近年は盛ん ● ホストのroot権限を奪われるので,ホスト上の任意のファイルを読み 書きされたり,同一ネットワーク上のパケットを盗聴されたりする ● 他のサイトへの攻撃の踏み台としても使われうる
Dockerソケットへの攻撃事例 22 出典: https://blog.trendmicro.co.jp/archives/19773
TLSを用いたDockerソケットの保護 23 TLSの設定方法: https://docs.docker.com/engine/security/https/ $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus .................................................................. .................................................................. ........................................................++ ........++ e is 65537 (0x10001) Enter pass phrase for ca-key.pem: Verifying - Enter pass phrase for ca-key.pem: $ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 out ca.pem Enter pass phrase for ca-key.pem: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]:Queensland Locality Name (eg, city) []:Brisbane Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc Organizational Unit Name (eg, section) []:Sales Common Name (e.g. server FQDN or YOUR name) []:$HOST Email Address []:Sven@home.org.au $ openssl genrsa -out server-key.pem 4096 Generating RSA private key, 4096 bit long modulus ............................. ........................................++ .................................... .............................................................++ e is 65537 (0x10001) $ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr $ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf $ echo extendedKeyUsage = serverAuth >> extfile.cnf $ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf Signature ok subject=/CN=your.host.com Getting CA Private Key Enter pass phrase for ca-key.pem: $ openssl genrsa -out key.pem 4096 Generating RSA private key, 4096 bit long modulus .........................................................++ ................++ e is 65537 (0x10001) $ openssl req -subj '/CN=client' -new -key key.pem -out client.csr $ echo extendedKeyUsage = clientAuth >> extfile.cnf $ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf Signature ok subject=/CN=client Getting CA Private Key Enter pass phrase for ca-key.pem: $ rm -v client.csr server.csr $ chmod -v 0400 ca-key.pem key.pem server-key.pem $ chmod -v 0444 ca.pem server-cert.pem cert.pem $ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=0.0.0.0:2376 $ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=$HOST:2376 version 出典: 上記URL
TLSを用いたDockerソケットの保護 24 TLSの設定方法: https://docs.docker.com/engine/security/https/ $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus .................................................................. .................................................................. ........................................................++ ........++ e is 65537 (0x10001) Enter pass phrase for ca-key.pem: Verifying - Enter pass phrase for ca-key.pem: $ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 out ca.pem Enter pass phrase for ca-key.pem: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]:Queensland Locality Name (eg, city) []:Brisbane Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc Organizational Unit Name (eg, section) []:Sales Common Name (e.g. server FQDN or YOUR name) []:$HOST Email Address []:Sven@home.org.au $ openssl genrsa -out server-key.pem 4096 Generating RSA private key, 4096 bit long modulus ............................. ........................................++ .................................... .............................................................++ e is 65537 (0x10001) $ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr $ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf $ echo extendedKeyUsage = serverAuth >> extfile.cnf $ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf Signature ok subject=/CN=your.host.com Getting CA Private Key Enter pass phrase for ca-key.pem: $ openssl genrsa -out key.pem 4096 Generating RSA private key, 4096 bit long modulus .........................................................++ ................++ e is 65537 (0x10001) $ openssl req -subj '/CN=client' -new -key key.pem -out client.csr $ echo extendedKeyUsage = clientAuth >> extfile.cnf $ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf Signature ok subject=/CN=client Getting CA Private Key Enter pass phrase for ca-key.pem: $ rm -v client.csr server.csr $ chmod -v 0400 ca-key.pem key.pem server-key.pem $ chmod -v 0444 ca.pem server-cert.pem cert.pem $ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=0.0.0.0:2376 $ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=$HOST:2376 version 出典: 上記URL
SSHを用いたDockerソケットの保護 25 ● TLSを正しく設定するのは難しい ● Docker 18.09では,export DOCKER_HOST=ssh://ユーザ@ホスト する とTLSの代わりにSSHを用いてリモートDockerホストに接続できる ○ 古いバージョンのDockerでも,自分で ssh -L foo.sock:/var/run/docker.sock プロセスを管理すればSSH接続可 ■ ssh -L には接続をkeep-aliveできるメリットもある ● SSHはホストにDockerをインストールする前に何れにせよ設定するだろ うから,TLSと違って追加の手間が発生しない ● 単に `ssh -l ユーザ ホスト – docker` を実行する場合と異なり,ク ライアントの ~/.docker/config.json に保存されているレジストリ 認証情報や,ビルドコンテキストにアクセスすることが可能
AuthZプラグイン 26 ● DockerのAuthZプラグインを使うと,ソケットを用いて可能な操作を限定 できる ○ REST APIのHTTP Method, URIに応じてフックをかけることが出来る ○ https://docs.docker.com/engine/extend/plugins_authorization/#api-schema-an d-implementation ● プラグインの例: Casbin AuthZ Plugin, HBM (Harbormaster), Twistlock AuthZ Broker ○ いずれも要素技術を提供するのみで,完成したソリューションではない ● Docker Enterprise EditionのUniversal Control Plane (UCP)を用いると, 似たことを簡単に出来る (有償・プロプラ) ● KubernetesやOpenShiftのほうが,AuthN・AuthZが充実している
第3章 ランタイム 27
コンテナの仕組み 28 ● コンテナは基本的にはNamespaces,Capabilities,Cgroups で出来ている ● Namespaces (例: Mount NS, Network NS, PID NS…) ○ ファイルシステムやネットワークなどを隔離 ● Capabilities (例: CAP_CHOWN, CAP_NET_ADMIN, CAP_SYS_ADMIN…) ○ root権限を細かいフラグに分割したもの ● Cgroups (例: CPU controller, Memory controller, Device controller…) ○ CPUやメモリの使用量や,デバイスファイルへのアクセスを制限 ● 加えて,SeccompやApparmrorなどを用いて更にセキュリティを強化 ○ Dockerではデフォルトで有効になっているが,Kubernetesではデフォルトで は無効なので要注意
Seccomp 29 ● 呼び出し可能なシステムコールを制限 ● NamespacesでもCapabilitiesでも制限できないが,Seccompで制限できる システムコールとしては keyctl (カーネル キーリング)などがある ● デフォルトより厳しい設定を与えてコンテナを起動すると,コンテナや カーネルに脆弱性があっても影響を軽減することができる ○ docker run --security-opt seccomp=PROFILE.json ○ デフォルトのプロファイル: https://github.com/moby/moby/blob/master/profiles/seccomp/default.json ● 後述するNabla Containersはseccompを用いて呼び出し可能なシステム コールを7つにまで絞っている
Apparmor 30 ● アクセス可能なファイルを制限できる ● デフォルトのプロファイルでは /proc や /sys へのアクセスを制限 ○ https://github.com/moby/moby/tree/master/profiles/apparmor ○ OCI Runtime Specで定義されているMaskedPathと似ている部分もあるが, より強力 ● より厳しく制限する例: docker run --security-opt apparmor=PROFILE https://docs.docker.com/engine/security/apparmor/#nginx-example-profile ● コンテナだけではなくDockerデーモン自体がアクセス可能なファイルの 制限も可能であるが,プロファイルは3年近く更新されていない ○ https://github.com/moby/moby/tree/master/contrib/apparmor ○ コントリビューション募集中
SELinux 31 ■ Red Hat系でApparmorの代わりに使われている機構 ○ Apparmorがファイルのパスを対象としてアクセスを制御するのに対し ,SELinuxは「タイプ」などのラベルを対象とする ○ SELinuxはデフォルトでは有効にならない ( /etc/docker/daemon.json に {“selinux-enabled”: true} を設定する必要がある) ● SELinuxが有効になっていると,コンテナは container_tタイプで ,Dockerデーモン自体はcontainer_runtime_t タイプで実行される ○ /proc/$PID/attr/current で確認できる ○ ポリシーの詳細: https://github.com/containers/container-selinux
バインドマウント時の注意 32 ● docker run -v /hostpath:/containerpath を用いると,ホスト のファイルシステムをコンテナ内にマウントできる ● 予期しないファイル改竄を防ぐには,read-onlyでマウントするのが良い ○ docker run -v /hostpath:/containerpath:ro ● ただしread-onlyはsubmountを再帰的にread-onlyにしないことに注意 ○ /mnt/foo にマウントされているファイルシステムをコンテナに読ませたい 時,docker run -v /mnt:/mnt:ro すると,/mnt/foo はread-onlyに ならない ○ Docker 19.03では,再帰的マウントの無効化が可能になる予定 ■ docker run --mount type=bind,src=/hostpath,target=/containerpath,ro,bind-nonrecursive ■ 再帰的なread-onlyマウントのサポートには時間がかかりそう (カーネルの仕様の ため)
バインドマウント時の注意 33 ● SELinuxが有効化されている場合,ホストのファイルシステムをバインド マウントしても,ほとんど読み書きできない ○ /usr および /etc の一部を読めるくらい ● バインドマウントしたファイルを読み書きするには 対象ファイルに chcon -Rt container_file_t してからdocker runする ○ 読むだけならcontainer_share_t ○ 永続化には semanage fcontext と restorecon を用いる ○ あるいはコンテナ側のタイプを変える( docker run --security-opt label=type:TYPE ) ○ docker run -v /hostpath:/containerpath:z (及び:Z) は非推奨 ● SELinuxを無効化するには --security-opt label=disable ○ “石川さん&Walshさん ごめんなさい” https://stopdisablingselinux.com/
コンテナ内の実行ユーザ (docker run --user) 34 ● ` docker run -user ユーザ名(またはUID)` を用いると,コンテナ 内のユーザを非rootに変更することができる ○ Dockerfileの USER 命令でデフォルトのユーザを指定することも出来る ● バインドマウントしたファイルシステムへのアクセスを容易に制御できる ● コンテナランタイムにバグがあっても,ホストへの影響を軽減できる ● 注意: su, sudoの類が無効になっているか,確認すること ○ Alpine 3.8の場合,Busyboxのsuはsetuidされていないため無効であるが ,shadowパッケージに含まれるsuはパスワード無しで実行可能 ■ passwd -l でrootアカウントをロックするか,suを削除すると良い
備考: Kubernetes (1.12)での設定方法 35 ● Seccomp: container.seccomp.security.alpha.kubernetes.io/… アノテーション ● Apparmor: container.apparmor.security.beta.kubernetes.io/… アノテーション ● SELinux: securityContext.seLinuxOptions ● --user: securityContext.runAsUser ● 詳細は https://kubernetes.io/docs/tasks/configure-pod-container/security-context/ や https://kubesec.io/ など参照 ● PodSecurityPolicy (beta)を用いると,ネームスペース内やクラスタ内の 全てのPodに対してポリシーを設定できる ○ https://kubernetes.io/docs/concepts/policy/pod-security-policy/
dockerd --userns-remap 36 ● userns-remap モードでDockerデーモンを実行すると,全てのコンテナが 非rootユーザで実行される ○ Dockerデーモン自体はrootで実行される ● User Namespaceを用いているので,コンテナの中からは,あたかもroot であるように見える ● /etc/subuid,subgid に dockremap:100000:65536 と書いておくと コンテナ内のUID 0→ コンテナ外のUID 100000, コンテナ内のUID 1→ コンテナ外のUID 100001,... コンテナ内のUID 65535→ コンテナ外のUID 165535 にマップされる ● Kubernetesでは1.14ころで利用可能となる見込み ○ https://github.com/kubernetes/enhancements/issues/127
Docker自体を信頼できるのか? 37 ● Docker自体,Kubernetes自体,及び関連コンポーネントに,過去にさま ざまな脆弱性が見つかっている ● Docker “Shocker”(2014) ○ 不正なコンテナに,ホストのファイルシステムにアクセスされる (余計な CAP_DAC_READ_SEARCHがデフォルトで与えられていた) ● Docker CVE-2014-9357 ○ 不正なDockerfileをビルドすると,ホストのroot権限で任意のバイナリを実行 される (LZMAアーカイブの扱いのバグ) ● containerd #2001 ○ 不正なイメージをpullすると,イメージを実行しなくてもホストの /tmp が削 除される
Docker自体を信頼できるのか? 38 ● Kubernetes CVE-2017-1002101, CVE-2017-1002102 ○ 不正なボリュームを通じてホストのファイルシステムにアクセスされる ● Kubernetes CVE-2018-1002105 (2018/12/4 公表) ○ 不正なAPI呼び出しを通じてcluster-adminを奪取される (→privilegedコンテ ナを通じてホストのrootを奪取される) ● Git CVE-2018-11235 ○ 不正なリポジトリをcloneすると,ホストのroot権限で任意のバイナリを実行 される ○ KubernetesのgitRepoボリュームを通じてトリガ可能 https://staaldraad.github.io/post/2018-06-03-kubernetes-root-with-gitrepo- volume/
Rootlessモード 39 ● コンテナのみならず,Dockerデーモンも含め,全てを非rootユーザで実行 する ○ Dockerデーモンやcontainerd,runcに脆弱性があったとしても,実際の影響 を軽減できる ■ 例えば,カーネルを書き換えられて検出不可能なマルウェアを仕込まれたり ,ARPスプーフィングされたりする危険性を減らせる ■ 複数ユーザを用いることで,複数テナントを安全に隔離して同一ノードで実行す ることも可能 ● Docker 19.03ないし19.09から利用可能となる見込み ○ https://github.com/moby/moby/pull/38050 ○ “Usernetes” プロジェクトの一部としてバイナリ入手可能 https://github.com/rootless-containers/usernetes ■ 一般ユーザのホームディレクトリにインストールできる ■ Kubernetesも動く
Rootlessモード 40 ● Overlayストレージドライバには非対応 ○ Ubuntuでは例外的に対応 (カーネルにパッチが当てられている) ○ 将来的には,FUSEによるOverlayFS実装に対応予定 (要カーネル4.18) ○ reflinkを用いたCopy-on-Writeには対応 (要XFS等) ● Cgroups関連の設定は今のところは無視される ○ 将来的にはpam_cgfs.soやCgroups v2 nsdelegateなどを用いて対応予定 ● ネットワークが遅い ○ Bridgeとvethを用いず,slirp4netnsを用いてユーザモードでエミュレートす るため ■ qemu -netdev userのコードが元になっている ■ Unprivileged LXCと異なり,SETUID/SETCAPバイナリ不要 ○ Travis上でのiperf3を用いたベンチマークでは9.21 Gbpsほど https://github.com/rootless-containers/slirp4netns#benchmarks
Falco 41 ● コンテナの予期しない動作を監視するツール (CNCF Sandbox) ○ コンテナ内の予期しないプロセス(シェルなど)の起動,デバイスファイルへ のアクセス,privilegedコンテナの起動などを検知 ○ Slack, Fluentd, NATSなどにアラートを通知 ○ BPFを用いて実装されている ● 例: コンテナ内でのbash起動を検知 https://github.com/falcosecurity/falco/wiki/Falco-Examples - rule: run_shell_in_container condition: container and proc.name = bash and spawned_process and proc.pname exists and not proc.pname in (bash, docker) ...
第4章 代替ランタイム 42
OCIランタイム 43 ● コンテナの機能自体は,DockerではなくOCIランタイムに実装されている ● OCIランタイムは,Linux Foundation傘下のOpen Container Initiative (OCI)が策定するOCI Runtime Specを実装している ● デフォルトではruncが使われるが,Kata, gVisor, Nablaなど他のランタイ ムにも簡単に切り替えることが出来る (docker run --runtime=...) Docker containerd OCIランタイム
OCIランタイム 44 ● OCIランタイムはKubernetesでも用いられる ● KubernetesとOCIランタイムの間には,CRIランタイムが挟まる ○ CRIランタイム: dockershim, containerd, CRI-Oなど ○ イメージやスナップショットの管理など,OCIランタイムの外回りの機能を実 装 Docker containerd OCIランタイム Kubernetes CRIランタイム
Kata Containers 45 ● OpenStack Foundationが開発するOCIランタイム ○ Intel Clear ContainersとrunVとが合流して発足 ● QEMU/KVMを用いて強固なアイソレーションを実現 ○ ファイルシステムは9pでマウント ○ クラウドにデプロイする場合は,nested virtualization対応またはベアメタル のインスタンスを使う必要がある ■ EC2: i3.metal がベアメタル対応 ■ Azure: Dv3, Ev3がnested virtualization対応 ■ GCE: nested virtualizationにはbetaとして対応 ● 起動にやや時間がかかる (せいぜい1秒-2秒程度)
その他のVM系ランタイム 46 ● runq ○ IBM Cloudの一部サービスで使われているOCIランタイム ○ QEMU/KVMベースだがシンプルな構成 ● Firecracker ○ AWS LambdaやFargateで使われている ○ ChromeOS crosvmに由来する軽量なVMを使用.125msで起動するとのこ と.Rustで書かれている. ○ 今のところOCIランタイムとしては動作しないが,containerdプラグインが用 意されている ■ Firecrackerの上でruncを動かす設計 ● Frakti, Virtlet ○ CRIランタイム
gVisor (runsc) 47 ● Googleが開発するOCIランタイム.App Engineにて使われている. ● Linuxカーネルをユーザランドで再実装することで,セキュリティを強化 ○ User Mode Linuxに似ているが,Linuxのコードを使わずにGoでスクラッチか ら実装している ○ Ptraceによる実装と,KVMによる実装とがある ○ ホストのカーネルに対して呼び出すシステムコールは50程度 ● 起動時間は早いが,システムコール呼び出しのオーバヘッドが大きい ● 互換性の問題がある
Nabla Containers (runnc) 48 ● IBMが開発するOCIランタイム ● NetBSDベースのユニカーネルを用いることで,コンテナが呼び出すシス テムコール数を削減し,カーネルの脆弱性を踏む可能性を削減 ○ read, write, exit_group, clock_gettime, ppoll, pwrite64, pread64の7つに制限 ● Linux用のELFバイナリをそのまま実行できるわけではなく,Nabla用に移 植する必要がある ● 起動時間は短い.runcに勝ることもある. ○ https://www.slideshare.net/KoheiTokunaga/ss-123664087
ランタイムの比較 49 出典: https://schd.ws/hosted_files/kccncchina2018english/ad/k8sChina2018-nabla.pdf Nabla開発者によるベンチマーク
ランタイムの比較 50 出典: https://schd.ws/hosted_files/kccncchina2018english/ad/k8sChina2018-nabla.pdf
ランタイムの比較 51 利点 欠点 runc ● 速い ● アイソレーションが弱い Kata Containers ● アイソレーション が極めて強い (VM分離) ● やや起動が遅い ● 仮想化をサポートするホ ストが必要 gVisor ● アイソレーション が強い (カーネル分離) ● 遅い ● Linuxカーネルとの互換 性が低い Nabla Containers ● アイソレーション が強い (カーネル分離) ● コンテナの移植が必要 ● Linuxカーネルとの互換 性が低い
ランタイムの比較 52 利点 欠点 runc ● 速い ● アイソレーションが弱い Kata Containers ● アイソレーション が極めて強い (VM分離) ● やや起動が遅い ● 仮想化をサポートするホ ストが必要 gVisor ● アイソレーション が強い (カーネル分離) ● 遅い ● Linuxカーネルとの互換 性が低い Nabla Containers ● アイソレーション が強い (カーネル分離) ● コンテナの移植が必要 ● Linuxカーネルとの互換 性が低い 許容できるならKataがよさそう? (もしくはFirecracker)
まとめ 53
まとめ 54 ● イメージ ○ イメージ中にGitHubやAWSなどの鍵が紛れ込まないよう,注意する ○ docker build --secret,docker build --sshが安全で便利 ○ Clair, Microscannerなどのスキャナを用いて脆弱性を検知できる ○ イメージはなるべくシンプルに保つ ● Dockerソケット ○ Dockerソケットへのアクセス権を与えることは,ホストのroot権限を与える ことと同じ ○ TLSまたはSSHを用いて厳重にアクセス制限する必要がある
まとめ 55 ● ランタイム ○ Seccomp, Apparmor, SELinuxなどを使って,コンテナの動作を厳しく制限で きる ○ docker run --user や dockerd --userns-remap を用いることで,コ ンテナを非rootユーザで実行できる ○ 次期バージョンからはDockerデーモン自体も非rootユーザで実行できるよう になる ■ https://github.com/rootless-containers/usernetes ● 代替ランタイム ○ 代替ランタイムを用いることで,より強いアイソレーションを実現可能 ○ Kata Containers: VMを利用 ○ gVisor, Nabla Containers: ユーザモードカーネルを利用

Recommandé

Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Kohei Tokunaga
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Akihiro Suda
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
Twitterのsnowflakeについて
TwitterのsnowflakeについてTwitterのsnowflakeについて
Twitterのsnowflakeについてmoai kids
 
怖くないSpring Bootのオートコンフィグレーション
怖くないSpring Bootのオートコンフィグレーション怖くないSpring Bootのオートコンフィグレーション
怖くないSpring Bootのオートコンフィグレーション土岐 孝平
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較Akihiro Suda
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
Dockerfile を書くためのベストプラクティス解説編
Dockerfile を書くためのベストプラクティス解説編Dockerfile を書くためのベストプラクティス解説編
Dockerfile を書くためのベストプラクティス解説編Masahito Zembutsu
 

Recommandé

Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Kohei Tokunaga
 
Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Dockerからcontainerdへの移行
Dockerからcontainerdへの移行Akihiro Suda
 
BuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドBuildKitによる高速でセキュアなイメージビルド
BuildKitによる高速でセキュアなイメージビルドAkihiro Suda
 
Twitterのsnowflakeについて
TwitterのsnowflakeについてTwitterのsnowflakeについて
Twitterのsnowflakeについてmoai kids
 
怖くないSpring Bootのオートコンフィグレーション
怖くないSpring Bootのオートコンフィグレーション怖くないSpring Bootのオートコンフィグレーション
怖くないSpring Bootのオートコンフィグレーション土岐 孝平
 
DockerとPodmanの比較
DockerとPodmanの比較DockerとPodmanの比較
DockerとPodmanの比較Akihiro Suda
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
Dockerfile を書くためのベストプラクティス解説編
Dockerfile を書くためのベストプラクティス解説編Dockerfile を書くためのベストプラクティス解説編
Dockerfile を書くためのベストプラクティス解説編Masahito Zembutsu
 
ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装infinite_loop
 
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)NTT DATA Technology & Innovation
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門Kohei Tokunaga
 
MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法Tetsutaro Watanabe
 
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)mosa siru
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションMasahiko Sawada
 
C# 8.0 非同期ストリーム
C# 8.0 非同期ストリームC# 8.0 非同期ストリーム
C# 8.0 非同期ストリーム信之 岩永
 
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~Miki Shimogai
 
ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計Yoshinori Matsunobu
 
PostgreSQL 15の新機能を徹底解説
PostgreSQL 15の新機能を徹底解説PostgreSQL 15の新機能を徹底解説
PostgreSQL 15の新機能を徹底解説Masahiko Sawada
 
Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門Sho A
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)NTT DATA Technology & Innovation
 
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキーWhere狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキーyoku0825
 
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -onozaty
 
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなテスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなKentaro Matsui
 
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)NTT Communications Technology Development
 
【BS4】時は来たれり。今こそ .NET 6 へ移行する時。
【BS4】時は来たれり。今こそ .NET 6 へ移行する時。 【BS4】時は来たれり。今こそ .NET 6 へ移行する時。
【BS4】時は来たれり。今こそ .NET 6 へ移行する時。 日本マイクロソフト株式会社
 
root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす Akihiro Suda
 
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方Yoshiyasu SAEKI
 
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)NTT DATA Technology & Innovation
 
Docker 18.09 新機能
Docker 18.09 新機能Docker 18.09 新機能
Docker 18.09 新機能Akihiro Suda
 
Circle ci and docker+serverspec
Circle ci and docker+serverspecCircle ci and docker+serverspec
Circle ci and docker+serverspecTsuyoshi Yamada
 

Contenu connexe

Tendances

ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装infinite_loop
 
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)NTT DATA Technology & Innovation
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門Kohei Tokunaga
 
MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法Tetsutaro Watanabe
 
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)mosa siru
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションMasahiko Sawada
 
C# 8.0 非同期ストリーム
C# 8.0 非同期ストリームC# 8.0 非同期ストリーム
C# 8.0 非同期ストリーム信之 岩永
 
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~Miki Shimogai
 
ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計Yoshinori Matsunobu
 
PostgreSQL 15の新機能を徹底解説
PostgreSQL 15の新機能を徹底解説PostgreSQL 15の新機能を徹底解説
PostgreSQL 15の新機能を徹底解説Masahiko Sawada
 
Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門Sho A
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)NTT DATA Technology & Innovation
 
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキーWhere狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキーyoku0825
 
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -onozaty
 
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなテスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなKentaro Matsui
 
root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす Akihiro Suda
 
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方Yoshiyasu SAEKI
 
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)NTT DATA Technology & Innovation
 

Tendances (20)

ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装ソーシャルゲーム案件におけるDB分割のPHP実装
ソーシャルゲーム案件におけるDB分割のPHP実装
 
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
今こそ知りたいSpring Batch(Spring Fest 2020講演資料)
 
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
 
MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法MongoDBが遅いときの切り分け方法
MongoDBが遅いときの切り分け方法
 
開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)開発速度が速い #とは(LayerX社内資料)
開発速度が速い #とは(LayerX社内資料)
 
アーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーションアーキテクチャから理解するPostgreSQLのレプリケーション
アーキテクチャから理解するPostgreSQLのレプリケーション
 
C# 8.0 非同期ストリーム
C# 8.0 非同期ストリームC# 8.0 非同期ストリーム
C# 8.0 非同期ストリーム
 
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~
PostgreSQLクエリ実行の基礎知識 ~Explainを読み解こう~
 
ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計ソーシャルゲームのためのデータベース設計
ソーシャルゲームのためのデータベース設計
 
PostgreSQL 15の新機能を徹底解説
PostgreSQL 15の新機能を徹底解説PostgreSQL 15の新機能を徹底解説
PostgreSQL 15の新機能を徹底解説
 
Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門Ansible ではじめるインフラのコード化入門
Ansible ではじめるインフラのコード化入門
 
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
乗っ取れコンテナ!!開発者から見たコンテナセキュリティの考え方(CloudNative Days Tokyo 2021 発表資料)
 
Where狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキーWhere狙いのキー、order by狙いのキー
Where狙いのキー、order by狙いのキー
 
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
 
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるなテスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるな
 
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
 
【BS4】時は来たれり。今こそ .NET 6 へ移行する時。
【BS4】時は来たれり。今こそ .NET 6 へ移行する時。 【BS4】時は来たれり。今こそ .NET 6 へ移行する時。
【BS4】時は来たれり。今こそ .NET 6 へ移行する時。
 
root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす root権限無しでKubernetesを動かす
root権限無しでKubernetesを動かす
 
ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方ストリーム処理を支えるキューイングシステムの選び方
ストリーム処理を支えるキューイングシステムの選び方
 
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
PostgreSQLのロール管理とその注意点(Open Source Conference 2022 Online/Osaka 発表資料)
 

Similaire à Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで

Docker 18.09 新機能
Docker 18.09 新機能Docker 18.09 新機能
Docker 18.09 新機能Akihiro Suda
 
Circle ci and docker+serverspec
Circle ci and docker+serverspecCircle ci and docker+serverspec
Circle ci and docker+serverspecTsuyoshi Yamada
 
これから始めるAzure Kubernetes Service入門
これから始めるAzure Kubernetes Service入門これから始めるAzure Kubernetes Service入門
これから始めるAzure Kubernetes Service入門Yuto Takei
 
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】Masahito Zembutsu
 
[CNDT] 最近のDockerの新機能
[CNDT] 最近のDockerの新機能[CNDT] 最近のDockerの新機能
[CNDT] 最近のDockerの新機能Akihiro Suda
 
Dockerを支える技術
Dockerを支える技術Dockerを支える技術
Dockerを支える技術Etsuji Nakai
 
Qlik Cloudデータ統合:Data Gateway - Data Movementのセットアップ
Qlik Cloudデータ統合:Data Gateway - Data MovementのセットアップQlik Cloudデータ統合:Data Gateway - Data Movementのセットアップ
Qlik Cloudデータ統合:Data Gateway - Data MovementのセットアップQlikPresalesJapan
 
Docker Swarm モード にゅうもん
Docker Swarm モード にゅうもんDocker Swarm モード にゅうもん
Docker Swarm モード にゅうもんMasahito Zembutsu
 
Cld018 コンテナ go_~あなた
Cld018 コンテナ go_~あなたCld018 コンテナ go_~あなた
Cld018 コンテナ go_~あなたTech Summit 2016
 
Cld018 コンテナ go_~あなた
Cld018 コンテナ go_~あなたCld018 コンテナ go_~あなた
Cld018 コンテナ go_~あなたTech Summit 2016
 
Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月Emma Haruka Iwao
 
Kubernetes 初心者の僕からの JKD 参加報告
Kubernetes 初心者の僕からの JKD 参加報告Kubernetes 初心者の僕からの JKD 参加報告
Kubernetes 初心者の僕からの JKD 参加報告Kentaro NOMURA
 
Introduction to Magnum (JP)
Introduction to Magnum (JP)Introduction to Magnum (JP)
Introduction to Magnum (JP)Motohiro OTSUKA
 
Docker ComposeでMastodonが必要なものを梱包する話
Docker ComposeでMastodonが必要なものを梱包する話Docker ComposeでMastodonが必要なものを梱包する話
Docker ComposeでMastodonが必要なものを梱包する話Masahito Zembutsu
 
インフラエンジニアのためのRancherを使ったDocker運用入門
インフラエンジニアのためのRancherを使ったDocker運用入門インフラエンジニアのためのRancherを使ったDocker運用入門
インフラエンジニアのためのRancherを使ったDocker運用入門Masahito Zembutsu
 
Dockerでlamp環境を作って見る
Dockerでlamp環境を作って見るDockerでlamp環境を作って見る
Dockerでlamp環境を作って見るzhengen lin
 
Apache cloudstack4.0インストール
Apache cloudstack4.0インストールApache cloudstack4.0インストール
Apache cloudstack4.0インストールYasuhiro Arai
 
図解で理解するvetKD
図解で理解するvetKD図解で理解するvetKD
図解で理解するvetKDryoo toku
 
成長を加速する minne の技術基盤戦略
成長を加速する minne の技術基盤戦略成長を加速する minne の技術基盤戦略
成長を加速する minne の技術基盤戦略Hiroshi SHIBATA
 

Similaire à Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで (20)

Docker 18.09 新機能
Docker 18.09 新機能Docker 18.09 新機能
Docker 18.09 新機能
 
Circle ci and docker+serverspec
Circle ci and docker+serverspecCircle ci and docker+serverspec
Circle ci and docker+serverspec
 
Docker Swarm入門
Docker Swarm入門Docker Swarm入門
Docker Swarm入門
 
これから始めるAzure Kubernetes Service入門
これから始めるAzure Kubernetes Service入門これから始めるAzure Kubernetes Service入門
これから始めるAzure Kubernetes Service入門
 
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
Docker入門-基礎編 いまから始めるDocker管理【2nd Edition】
 
[CNDT] 最近のDockerの新機能
[CNDT] 最近のDockerの新機能[CNDT] 最近のDockerの新機能
[CNDT] 最近のDockerの新機能
 
Dockerを支える技術
Dockerを支える技術Dockerを支える技術
Dockerを支える技術
 
Qlik Cloudデータ統合:Data Gateway - Data Movementのセットアップ
Qlik Cloudデータ統合:Data Gateway - Data MovementのセットアップQlik Cloudデータ統合:Data Gateway - Data Movementのセットアップ
Qlik Cloudデータ統合:Data Gateway - Data Movementのセットアップ
 
Docker Swarm モード にゅうもん
Docker Swarm モード にゅうもんDocker Swarm モード にゅうもん
Docker Swarm モード にゅうもん
 
Cld018 コンテナ go_~あなた
Cld018 コンテナ go_~あなたCld018 コンテナ go_~あなた
Cld018 コンテナ go_~あなた
 
Cld018 コンテナ go_~あなた
Cld018 コンテナ go_~あなたCld018 コンテナ go_~あなた
Cld018 コンテナ go_~あなた
 
Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月Docker事始めと最新動向 2015年6月
Docker事始めと最新動向 2015年6月
 
Kubernetes 初心者の僕からの JKD 参加報告
Kubernetes 初心者の僕からの JKD 参加報告Kubernetes 初心者の僕からの JKD 参加報告
Kubernetes 初心者の僕からの JKD 参加報告
 
Introduction to Magnum (JP)
Introduction to Magnum (JP)Introduction to Magnum (JP)
Introduction to Magnum (JP)
 
Docker ComposeでMastodonが必要なものを梱包する話
Docker ComposeでMastodonが必要なものを梱包する話Docker ComposeでMastodonが必要なものを梱包する話
Docker ComposeでMastodonが必要なものを梱包する話
 
インフラエンジニアのためのRancherを使ったDocker運用入門
インフラエンジニアのためのRancherを使ったDocker運用入門インフラエンジニアのためのRancherを使ったDocker運用入門
インフラエンジニアのためのRancherを使ったDocker運用入門
 
Dockerでlamp環境を作って見る
Dockerでlamp環境を作って見るDockerでlamp環境を作って見る
Dockerでlamp環境を作って見る
 
Apache cloudstack4.0インストール
Apache cloudstack4.0インストールApache cloudstack4.0インストール
Apache cloudstack4.0インストール
 
図解で理解するvetKD
図解で理解するvetKD図解で理解するvetKD
図解で理解するvetKD
 
成長を加速する minne の技術基盤戦略
成長を加速する minne の技術基盤戦略成長を加速する minne の技術基盤戦略
成長を加速する minne の技術基盤戦略
 

Plus de Akihiro Suda

20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...Akihiro Suda
 
20240321 [KubeCon EU Pavilion] Lima.pdf_
20240321 [KubeCon EU Pavilion] Lima.pdf_20240321 [KubeCon EU Pavilion] Lima.pdf_
20240321 [KubeCon EU Pavilion] Lima.pdf_Akihiro Suda
 
20240320 [KubeCon EU Pavilion] containerd.pdf
20240320 [KubeCon EU Pavilion] containerd.pdf20240320 [KubeCon EU Pavilion] containerd.pdf
20240320 [KubeCon EU Pavilion] containerd.pdfAkihiro Suda
 
20240201 [HPC Containers] Rootless Containers.pdf
20240201 [HPC Containers] Rootless Containers.pdf20240201 [HPC Containers] Rootless Containers.pdf
20240201 [HPC Containers] Rootless Containers.pdfAkihiro Suda
 
[Podman Special Event] Kubernetes in Rootless Podman
[Podman Special Event] Kubernetes in Rootless Podman[Podman Special Event] Kubernetes in Rootless Podman
[Podman Special Event] Kubernetes in Rootless PodmanAkihiro Suda
 
[KubeConNA2023] Lima pavilion
[KubeConNA2023] Lima pavilion[KubeConNA2023] Lima pavilion
[KubeConNA2023] Lima pavilionAkihiro Suda
 
[KubeConNA2023] containerd pavilion
[KubeConNA2023] containerd pavilion[KubeConNA2023] containerd pavilion
[KubeConNA2023] containerd pavilionAkihiro Suda
 
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdfAkihiro Suda
 
[CNCF TAG-Runtime] Usernetes Gen2
[CNCF TAG-Runtime] Usernetes Gen2[CNCF TAG-Runtime] Usernetes Gen2
[CNCF TAG-Runtime] Usernetes Gen2Akihiro Suda
 
[DockerCon 2023] Reproducible builds with BuildKit for software supply chain ...
[DockerCon 2023] Reproducible builds with BuildKit for software supply chain ...[DockerCon 2023] Reproducible builds with BuildKit for software supply chain ...
[DockerCon 2023] Reproducible builds with BuildKit for software supply chain ...Akihiro Suda
 
The internals and the latest trends of container runtimes
The internals and the latest trends of container runtimesThe internals and the latest trends of container runtimes
The internals and the latest trends of container runtimesAkihiro Suda
 
[KubeConEU2023] Lima pavilion
[KubeConEU2023] Lima pavilion[KubeConEU2023] Lima pavilion
[KubeConEU2023] Lima pavilionAkihiro Suda
 
[KubeConEU2023] containerd pavilion
[KubeConEU2023] containerd pavilion[KubeConEU2023] containerd pavilion
[KubeConEU2023] containerd pavilionAkihiro Suda
 
[Container Plumbing Days 2023] Why was nerdctl made?
[Container Plumbing Days 2023] Why was nerdctl made?[Container Plumbing Days 2023] Why was nerdctl made?
[Container Plumbing Days 2023] Why was nerdctl made?Akihiro Suda
 
[FOSDEM2023] Bit-for-bit reproducible builds with Dockerfile
[FOSDEM2023] Bit-for-bit reproducible builds with Dockerfile[FOSDEM2023] Bit-for-bit reproducible builds with Dockerfile
[FOSDEM2023] Bit-for-bit reproducible builds with DockerfileAkihiro Suda
 
[CNCF TAG-Runtime 2022-10-06] Lima
[CNCF TAG-Runtime 2022-10-06] Lima[CNCF TAG-Runtime 2022-10-06] Lima
[CNCF TAG-Runtime 2022-10-06] LimaAkihiro Suda
 
[KubeCon EU 2022] Running containerd and k3s on macOS
[KubeCon EU 2022] Running containerd and k3s on macOS[KubeCon EU 2022] Running containerd and k3s on macOS
[KubeCon EU 2022] Running containerd and k3s on macOSAkihiro Suda
 
[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...
[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...
[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...Akihiro Suda
 
[Docker Tokyo #35] Docker 20.10
[Docker Tokyo #35] Docker 20.10[Docker Tokyo #35] Docker 20.10
[Docker Tokyo #35] Docker 20.10Akihiro Suda
 
[KubeCon EU 2021] Introduction and Deep Dive Into Containerd
[KubeCon EU 2021] Introduction and Deep Dive Into Containerd[KubeCon EU 2021] Introduction and Deep Dive Into Containerd
[KubeCon EU 2021] Introduction and Deep Dive Into ContainerdAkihiro Suda
 

Plus de Akihiro Suda (20)

20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
 
20240321 [KubeCon EU Pavilion] Lima.pdf_
20240321 [KubeCon EU Pavilion] Lima.pdf_20240321 [KubeCon EU Pavilion] Lima.pdf_
20240321 [KubeCon EU Pavilion] Lima.pdf_
 
20240320 [KubeCon EU Pavilion] containerd.pdf
20240320 [KubeCon EU Pavilion] containerd.pdf20240320 [KubeCon EU Pavilion] containerd.pdf
20240320 [KubeCon EU Pavilion] containerd.pdf
 
20240201 [HPC Containers] Rootless Containers.pdf
20240201 [HPC Containers] Rootless Containers.pdf20240201 [HPC Containers] Rootless Containers.pdf
20240201 [HPC Containers] Rootless Containers.pdf
 
[Podman Special Event] Kubernetes in Rootless Podman
[Podman Special Event] Kubernetes in Rootless Podman[Podman Special Event] Kubernetes in Rootless Podman
[Podman Special Event] Kubernetes in Rootless Podman
 
[KubeConNA2023] Lima pavilion
[KubeConNA2023] Lima pavilion[KubeConNA2023] Lima pavilion
[KubeConNA2023] Lima pavilion
 
[KubeConNA2023] containerd pavilion
[KubeConNA2023] containerd pavilion[KubeConNA2023] containerd pavilion
[KubeConNA2023] containerd pavilion
 
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
 
[CNCF TAG-Runtime] Usernetes Gen2
[CNCF TAG-Runtime] Usernetes Gen2[CNCF TAG-Runtime] Usernetes Gen2
[CNCF TAG-Runtime] Usernetes Gen2
 
[DockerCon 2023] Reproducible builds with BuildKit for software supply chain ...
[DockerCon 2023] Reproducible builds with BuildKit for software supply chain ...[DockerCon 2023] Reproducible builds with BuildKit for software supply chain ...
[DockerCon 2023] Reproducible builds with BuildKit for software supply chain ...
 
The internals and the latest trends of container runtimes
The internals and the latest trends of container runtimesThe internals and the latest trends of container runtimes
The internals and the latest trends of container runtimes
 
[KubeConEU2023] Lima pavilion
[KubeConEU2023] Lima pavilion[KubeConEU2023] Lima pavilion
[KubeConEU2023] Lima pavilion
 
[KubeConEU2023] containerd pavilion
[KubeConEU2023] containerd pavilion[KubeConEU2023] containerd pavilion
[KubeConEU2023] containerd pavilion
 
[Container Plumbing Days 2023] Why was nerdctl made?
[Container Plumbing Days 2023] Why was nerdctl made?[Container Plumbing Days 2023] Why was nerdctl made?
[Container Plumbing Days 2023] Why was nerdctl made?
 
[FOSDEM2023] Bit-for-bit reproducible builds with Dockerfile
[FOSDEM2023] Bit-for-bit reproducible builds with Dockerfile[FOSDEM2023] Bit-for-bit reproducible builds with Dockerfile
[FOSDEM2023] Bit-for-bit reproducible builds with Dockerfile
 
[CNCF TAG-Runtime 2022-10-06] Lima
[CNCF TAG-Runtime 2022-10-06] Lima[CNCF TAG-Runtime 2022-10-06] Lima
[CNCF TAG-Runtime 2022-10-06] Lima
 
[KubeCon EU 2022] Running containerd and k3s on macOS
[KubeCon EU 2022] Running containerd and k3s on macOS[KubeCon EU 2022] Running containerd and k3s on macOS
[KubeCon EU 2022] Running containerd and k3s on macOS
 
[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...
[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...
[Paris Container Day 2021] nerdctl: yet another Docker & Docker Compose imple...
 
[Docker Tokyo #35] Docker 20.10
[Docker Tokyo #35] Docker 20.10[Docker Tokyo #35] Docker 20.10
[Docker Tokyo #35] Docker 20.10
 
[KubeCon EU 2021] Introduction and Deep Dive Into Containerd
[KubeCon EU 2021] Introduction and Deep Dive Into Containerd[KubeCon EU 2021] Introduction and Deep Dive Into Containerd
[KubeCon EU 2021] Introduction and Deep Dive Into Containerd
 

Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで

  • 1. Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで 須田 瑛大 (Docker Tokyo / NTT) 1 Japan Container Days v18.12 (2018/12/05) https://www.slideshare.net/AkihiroSuda
  • 2. 自己紹介 2 ● Docker Tokyo Meetupオーガナイザ ○ 次回開催は近日中に https://dockerjp.connpass.com/ にて告知 ● 所属: 日本電信電話株式会社 ソフトウェアイノベーションセンタ ● コンテナ関連OSSのメンテナ(いわゆるコミッタ)を務めている ○ Moby (≒Docker) ■ Dockerの元になっているOSSプロジェクト ○ BuildKit ■ 次世代 docker build ○ containerd ■ Kubernetesなどで利用できる次世代コンテナランタイム
  • 3. はじめに 3 ● Dockerを使うことで,アプリケーションに脆弱性があっても,その実際 の影響範囲を限定することが出来る ● Dockerに関係するセキュリティ技術を理解し,応用することで,更にセ キュリティを強化することが出来る ○ 完全に理解する必要はない ■ そもそも不可能 ○ 複数の技術を組み合わせて使うと,その内1つに脆弱性や理解の誤りがあって も,他の技術でカバー出来ることがある
  • 4. お話する内容 4 第1章 イメージ ● docker build --secret ● docker build --ssh ● Clair ● Microscanner 第3章 ランタイム ● Seccomp / Apparmor / SELinux ● バインドマウント時の注意 ● docker run --user ● dockerd --userns-remap ● Rootlessモード ● Falco 第4章 代替ランタイム ● Kata Containers ● gVisor ● Nabla Containers 第2章 Dockerソケット ● TLS ● SSH ● AuthZ
  • 7. プライベートリポジトリを用いるビルド 7 ● Dockerfileの中から,プライベートなGitリポジトリやS3にアクセスする にはどうすればよいか? ● 鍵ファイルをCOPY/ADDして,git等を実行し,後で鍵を削除すれば,イ メージに鍵を残さずにビルドできそうに思えるが,駄目 FROM ... COPY id_rsa ~/.ssh RUN git clone ssh://... RUN rm –f ~/.ssh/id_rsa Dockerfile1行ごとにtarレイヤが作られる 鍵を含むレイヤが作られる 鍵を隠す(whiteout)情報を含んだレイヤが 作られるが,鍵を含むレイヤ自体を消しては くれない! 自身以外が参照可能なレジストリにイメージをpushすると,鍵が漏れる!
  • 8. プライベートリポジトリを用いるビルド 8 ● Docker 18.09から利用可能な docker build --secret 及び docker build --ssh を使うとよい ● --secret: 鍵ファイルをビルド用コンテナ中にマウントできる.鍵ファ イルは出力イメージ内には残らない. ● --ssh: --secretに似ているがSSH秘密鍵に特化.ssh-agentと組み合わ せて,パスフレーズ付きの秘密鍵を使うことも可能.
  • 9. docker build --secret 9 # syntax = docker/dockerfile:1.0-experimental FROM python:3 RUN pip install awscli RUN --mount=type=secret,id=aws,target=/root/.aws/credentials aws s3 cp s3://... ... $ export DOCKER_BUILDKIT=1 $ docker build --secret id=aws,src=$HOME/.aws/credentials ... BuildKitモードを有効化 secretのIDとパスを指定 Docker 18.09ではexperimental扱いなので,1行目に # syntax = ...の指定が必要 上で指定したsecretをtargetにマウント (出力イメージには残らない)
  • 10. 補足: export DOCKER_BUILDKIT=1 について 10 ● クライアント側でexport DOCKER_BUILDKIT=1するとBuildKitモードが有 効になる ○ あるいはデーモン側の /etc/docker/daemon.jsonに {"features":{"buildkit":true}} と記述しても有効化できる ● BuildKit: セキュリティ,並行性,キャッシュ効率を重視した次世代 docker build バックエンド ○ --secret 及び --ssh をサポート ○ Dockerfileの命令間の依存性をDAGとして表現し,可能な限り各命令 を同時実行 ○ キャッシュ機能を強化 ● 詳しくは https://github.com/moby/buildkit 参照
  • 11. docker build --ssh 11 # syntax = docker/dockerfile:1.0-experimental FROM alpine RUN apk add --no-cache openssh-client RUN mkdir -p -m 0700 ~/.ssh && ssh-keyscan github.com >> ~/.ssh/known_hosts RUN --mount=type=ssh git clone github.com/プライベートなrepo $ eval $(ssh-agent) $ ssh-add ~/.ssh/id_rsa (パスフレーズ入力) $ export DOCKER_BUILDKIT=1 $ docker build --ssh default=$SSH_AUTH_SOCK ssh-agentのソケットまたは秘密鍵ファイルを指定可能 (ssh-agentのソケットを使うなら,パスフレーズつきの秘密 鍵を扱える) Docker 18.09ではexperimental
  • 12. 古いバージョンのDockerを用いている場合 12 ● docker build --secret 及び docker build --ssh はDocker 18.09から利用可能 ● 今すぐ18.09にアップグレードできない場合のワークアラウンド ○ マルチステージビルド (右図) ○ docker build --squash (レイヤを1つにまとめる) ○ historyに残らない特殊なbuild-arg (FTP_PROXYなど)を目的外利用する https://github.com/moby/moby/pull/36443 ● ただし,古いバージョンのDockerは メンテナンスが終了しているため, なるべく早期にDocker 18.09に移行すべき FROM ... COPY id_rsa ~/.ssh RUN git clone ssh://… /foo FROM ... COPY --from=0 /foo /foo
  • 13. イメージスキャナ 13 ● コンテナイメージ中に,古いパッケージが含まれていると攻撃されること がある ● Clair, Microscanner, Anchore, Dagdaなどのスキャナを用いると,既知の 脆弱性を含むパッケージがイメージに含まれていないか検査できる ● スキャナで全ての脆弱性が見つかるわけではない ● スキャナが警告を出したとしても,必ずしも問題ではない ○ 当該の脆弱性を含む機能を使っていないかも知れない ○ コンテナ化している場合は,実用上問題ない脆弱性かも知れない ○ パッケージのバージョン番号が古く見えても,ディストリビュータが修正 パッチをバックポートしているかも知れない
  • 14. ● CoreOS (現Red Hat)が開発するOSSのイメージスキャナサーバ ● QuayやGitLab CI/CDにも採用されている ○ GitLab設定例: https://docs.gitlab.com/ee/ci/examples/container_scanning.html ● Clair本体の他に,クライアントが必要 ○ clairctl, klar, reg, clair-scannerなど ○ Harborもクライアントとして動作できる Clair 14 Clair PostgreSQL クライアント Alpine/Red Hat/Ubuntu等 のCVEデータベース レジストリ RESTによるリクエスト イメージ取得 脆弱性情報取得 脆弱性情報等格納
  • 15. Microscanner 15 ● Aqua Securityが提供するイメージスキャンサービス ○ 無償ではあるがプロプライエタリ,要ユーザ登録 ○ マルウェアスキャンなど,全ての機能を使うには有償製品の購入が必要 ● Dockerfileに1行付け足すだけでスキャンできる ○ Clairと異なり,自分でサーバを立てなくてよい ● CircleCI用のOrbも提供されている RUN apk add --no-cache ca-certificates && update-ca-certificates && wget -O /microscanner https://get.aquasec.com/microscanner && chmod +x /microscanner && /microscanner <token> && rm -rf /microscanner
  • 16. その他のイメージスキャナ 16 ● Anchore Engine ○ アーキテクチャはClairに似ているが,公式クライアント及び公式Jenkinsプラ グインが用意されており,使いはじめやすい ● Dagda ○ 公式クライアントあり ○ ClamAVを用いたマルウェアスキャンも出来る ● Vuls ○ コンテナ専用スキャナではないが,(イメージそのものではなく)実行中コン テナもスキャンできる ● OpenSCAP ○ コンテナ専用スキャナではないが,コンテナイメージもスキャンできる ○ RHELイメージ専用 (CentOS不可) ○ サーバ不要 ● その他,有償・プロプラではTwistlockなど
  • 18. イメージスキャナ比較 18 ● どれがよいとは一概には言えない ● False positive (誤検出) もある ● イメージスキャナを過信せず, なるべく依存パッケージを減らして シンプルなイメージを作るのがよい ○ 脆弱性を踏みにくくなるだけでなく False positiveで悩むことも減る 画像出典: 前ページ記載URL
  • 20. Dockerソケット ( /var/lib/docker.sock ) 20 ● DockerデーモンがREST APIを待ち受けるソケット ● デフォルトでの所有権は root:docker ● docker グループに一般ユーザを追加すると,一般ユーザでも docker クライアントを実行できるようになる ● Dockerソケットへアクセス権を与えることは,ホストのroot権限を与える ことに等しい ○ docker run --privileged を実行すると一切の保護が無効 ○ docker run -v /:/host … を実行すればホスト上の任意のファイルを root権限で読み書きできる
  • 21. Dockerソケット ( /var/lib/docker.sock ) 21 ● インターネットへ向けてTCPでlistenするなら,TLSの設定が必須 ● TLSを設定できていないDockerホストを対象とした攻撃が知られている ● 仮想通貨を採掘するコンテナを立ち上げる攻撃が近年は盛ん ● ホストのroot権限を奪われるので,ホスト上の任意のファイルを読み 書きされたり,同一ネットワーク上のパケットを盗聴されたりする ● 他のサイトへの攻撃の踏み台としても使われうる
  • 23. TLSを用いたDockerソケットの保護 23 TLSの設定方法: https://docs.docker.com/engine/security/https/ $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus .................................................................. .................................................................. ........................................................++ ........++ e is 65537 (0x10001) Enter pass phrase for ca-key.pem: Verifying - Enter pass phrase for ca-key.pem: $ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 out ca.pem Enter pass phrase for ca-key.pem: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]:Queensland Locality Name (eg, city) []:Brisbane Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc Organizational Unit Name (eg, section) []:Sales Common Name (e.g. server FQDN or YOUR name) []:$HOST Email Address []:Sven@home.org.au $ openssl genrsa -out server-key.pem 4096 Generating RSA private key, 4096 bit long modulus ............................. ........................................++ .................................... .............................................................++ e is 65537 (0x10001) $ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr $ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf $ echo extendedKeyUsage = serverAuth >> extfile.cnf $ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf Signature ok subject=/CN=your.host.com Getting CA Private Key Enter pass phrase for ca-key.pem: $ openssl genrsa -out key.pem 4096 Generating RSA private key, 4096 bit long modulus .........................................................++ ................++ e is 65537 (0x10001) $ openssl req -subj '/CN=client' -new -key key.pem -out client.csr $ echo extendedKeyUsage = clientAuth >> extfile.cnf $ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf Signature ok subject=/CN=client Getting CA Private Key Enter pass phrase for ca-key.pem: $ rm -v client.csr server.csr $ chmod -v 0400 ca-key.pem key.pem server-key.pem $ chmod -v 0444 ca.pem server-cert.pem cert.pem $ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=0.0.0.0:2376 $ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=$HOST:2376 version 出典: 上記URL
  • 24. TLSを用いたDockerソケットの保護 24 TLSの設定方法: https://docs.docker.com/engine/security/https/ $ openssl genrsa -aes256 -out ca-key.pem 4096 Generating RSA private key, 4096 bit long modulus .................................................................. .................................................................. ........................................................++ ........++ e is 65537 (0x10001) Enter pass phrase for ca-key.pem: Verifying - Enter pass phrase for ca-key.pem: $ openssl req -new -x509 -days 365 -key ca-key.pem -sha256 out ca.pem Enter pass phrase for ca-key.pem: You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]: State or Province Name (full name) [Some-State]:Queensland Locality Name (eg, city) []:Brisbane Organization Name (eg, company) [Internet Widgits Pty Ltd]:Docker Inc Organizational Unit Name (eg, section) []:Sales Common Name (e.g. server FQDN or YOUR name) []:$HOST Email Address []:Sven@home.org.au $ openssl genrsa -out server-key.pem 4096 Generating RSA private key, 4096 bit long modulus ............................. ........................................++ .................................... .............................................................++ e is 65537 (0x10001) $ openssl req -subj "/CN=$HOST" -sha256 -new -key server-key.pem -out server.csr $ echo subjectAltName = DNS:$HOST,IP:10.10.10.20,IP:127.0.0.1 >> extfile.cnf $ echo extendedKeyUsage = serverAuth >> extfile.cnf $ openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem -extfile extfile.cnf Signature ok subject=/CN=your.host.com Getting CA Private Key Enter pass phrase for ca-key.pem: $ openssl genrsa -out key.pem 4096 Generating RSA private key, 4096 bit long modulus .........................................................++ ................++ e is 65537 (0x10001) $ openssl req -subj '/CN=client' -new -key key.pem -out client.csr $ echo extendedKeyUsage = clientAuth >> extfile.cnf $ openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.pem -CAkey ca-key.pem -CAcreateserial -out cert.pem -extfile extfile.cnf Signature ok subject=/CN=client Getting CA Private Key Enter pass phrase for ca-key.pem: $ rm -v client.csr server.csr $ chmod -v 0400 ca-key.pem key.pem server-key.pem $ chmod -v 0444 ca.pem server-cert.pem cert.pem $ dockerd --tlsverify --tlscacert=ca.pem --tlscert=server-cert.pem --tlskey=server-key.pem -H=0.0.0.0:2376 $ docker --tlsverify --tlscacert=ca.pem --tlscert=cert.pem --tlskey=key.pem -H=$HOST:2376 version 出典: 上記URL
  • 25. SSHを用いたDockerソケットの保護 25 ● TLSを正しく設定するのは難しい ● Docker 18.09では,export DOCKER_HOST=ssh://ユーザ@ホスト する とTLSの代わりにSSHを用いてリモートDockerホストに接続できる ○ 古いバージョンのDockerでも,自分で ssh -L foo.sock:/var/run/docker.sock プロセスを管理すればSSH接続可 ■ ssh -L には接続をkeep-aliveできるメリットもある ● SSHはホストにDockerをインストールする前に何れにせよ設定するだろ うから,TLSと違って追加の手間が発生しない ● 単に `ssh -l ユーザ ホスト – docker` を実行する場合と異なり,ク ライアントの ~/.docker/config.json に保存されているレジストリ 認証情報や,ビルドコンテキストにアクセスすることが可能
  • 26. AuthZプラグイン 26 ● DockerのAuthZプラグインを使うと,ソケットを用いて可能な操作を限定 できる ○ REST APIのHTTP Method, URIに応じてフックをかけることが出来る ○ https://docs.docker.com/engine/extend/plugins_authorization/#api-schema-an d-implementation ● プラグインの例: Casbin AuthZ Plugin, HBM (Harbormaster), Twistlock AuthZ Broker ○ いずれも要素技術を提供するのみで,完成したソリューションではない ● Docker Enterprise EditionのUniversal Control Plane (UCP)を用いると, 似たことを簡単に出来る (有償・プロプラ) ● KubernetesやOpenShiftのほうが,AuthN・AuthZが充実している
  • 28. コンテナの仕組み 28 ● コンテナは基本的にはNamespaces,Capabilities,Cgroups で出来ている ● Namespaces (例: Mount NS, Network NS, PID NS…) ○ ファイルシステムやネットワークなどを隔離 ● Capabilities (例: CAP_CHOWN, CAP_NET_ADMIN, CAP_SYS_ADMIN…) ○ root権限を細かいフラグに分割したもの ● Cgroups (例: CPU controller, Memory controller, Device controller…) ○ CPUやメモリの使用量や,デバイスファイルへのアクセスを制限 ● 加えて,SeccompやApparmrorなどを用いて更にセキュリティを強化 ○ Dockerではデフォルトで有効になっているが,Kubernetesではデフォルトで は無効なので要注意
  • 29. Seccomp 29 ● 呼び出し可能なシステムコールを制限 ● NamespacesでもCapabilitiesでも制限できないが,Seccompで制限できる システムコールとしては keyctl (カーネル キーリング)などがある ● デフォルトより厳しい設定を与えてコンテナを起動すると,コンテナや カーネルに脆弱性があっても影響を軽減することができる ○ docker run --security-opt seccomp=PROFILE.json ○ デフォルトのプロファイル: https://github.com/moby/moby/blob/master/profiles/seccomp/default.json ● 後述するNabla Containersはseccompを用いて呼び出し可能なシステム コールを7つにまで絞っている
  • 30. Apparmor 30 ● アクセス可能なファイルを制限できる ● デフォルトのプロファイルでは /proc や /sys へのアクセスを制限 ○ https://github.com/moby/moby/tree/master/profiles/apparmor ○ OCI Runtime Specで定義されているMaskedPathと似ている部分もあるが, より強力 ● より厳しく制限する例: docker run --security-opt apparmor=PROFILE https://docs.docker.com/engine/security/apparmor/#nginx-example-profile ● コンテナだけではなくDockerデーモン自体がアクセス可能なファイルの 制限も可能であるが,プロファイルは3年近く更新されていない ○ https://github.com/moby/moby/tree/master/contrib/apparmor ○ コントリビューション募集中
  • 31. SELinux 31 ■ Red Hat系でApparmorの代わりに使われている機構 ○ Apparmorがファイルのパスを対象としてアクセスを制御するのに対し ,SELinuxは「タイプ」などのラベルを対象とする ○ SELinuxはデフォルトでは有効にならない ( /etc/docker/daemon.json に {“selinux-enabled”: true} を設定する必要がある) ● SELinuxが有効になっていると,コンテナは container_tタイプで ,Dockerデーモン自体はcontainer_runtime_t タイプで実行される ○ /proc/$PID/attr/current で確認できる ○ ポリシーの詳細: https://github.com/containers/container-selinux
  • 32. バインドマウント時の注意 32 ● docker run -v /hostpath:/containerpath を用いると,ホスト のファイルシステムをコンテナ内にマウントできる ● 予期しないファイル改竄を防ぐには,read-onlyでマウントするのが良い ○ docker run -v /hostpath:/containerpath:ro ● ただしread-onlyはsubmountを再帰的にread-onlyにしないことに注意 ○ /mnt/foo にマウントされているファイルシステムをコンテナに読ませたい 時,docker run -v /mnt:/mnt:ro すると,/mnt/foo はread-onlyに ならない ○ Docker 19.03では,再帰的マウントの無効化が可能になる予定 ■ docker run --mount type=bind,src=/hostpath,target=/containerpath,ro,bind-nonrecursive ■ 再帰的なread-onlyマウントのサポートには時間がかかりそう (カーネルの仕様の ため)
  • 33. バインドマウント時の注意 33 ● SELinuxが有効化されている場合,ホストのファイルシステムをバインド マウントしても,ほとんど読み書きできない ○ /usr および /etc の一部を読めるくらい ● バインドマウントしたファイルを読み書きするには 対象ファイルに chcon -Rt container_file_t してからdocker runする ○ 読むだけならcontainer_share_t ○ 永続化には semanage fcontext と restorecon を用いる ○ あるいはコンテナ側のタイプを変える( docker run --security-opt label=type:TYPE ) ○ docker run -v /hostpath:/containerpath:z (及び:Z) は非推奨 ● SELinuxを無効化するには --security-opt label=disable ○ “石川さん&Walshさん ごめんなさい” https://stopdisablingselinux.com/
  • 34. コンテナ内の実行ユーザ (docker run --user) 34 ● ` docker run -user ユーザ名(またはUID)` を用いると,コンテナ 内のユーザを非rootに変更することができる ○ Dockerfileの USER 命令でデフォルトのユーザを指定することも出来る ● バインドマウントしたファイルシステムへのアクセスを容易に制御できる ● コンテナランタイムにバグがあっても,ホストへの影響を軽減できる ● 注意: su, sudoの類が無効になっているか,確認すること ○ Alpine 3.8の場合,Busyboxのsuはsetuidされていないため無効であるが ,shadowパッケージに含まれるsuはパスワード無しで実行可能 ■ passwd -l でrootアカウントをロックするか,suを削除すると良い
  • 35. 備考: Kubernetes (1.12)での設定方法 35 ● Seccomp: container.seccomp.security.alpha.kubernetes.io/… アノテーション ● Apparmor: container.apparmor.security.beta.kubernetes.io/… アノテーション ● SELinux: securityContext.seLinuxOptions ● --user: securityContext.runAsUser ● 詳細は https://kubernetes.io/docs/tasks/configure-pod-container/security-context/ や https://kubesec.io/ など参照 ● PodSecurityPolicy (beta)を用いると,ネームスペース内やクラスタ内の 全てのPodに対してポリシーを設定できる ○ https://kubernetes.io/docs/concepts/policy/pod-security-policy/
  • 36. dockerd --userns-remap 36 ● userns-remap モードでDockerデーモンを実行すると,全てのコンテナが 非rootユーザで実行される ○ Dockerデーモン自体はrootで実行される ● User Namespaceを用いているので,コンテナの中からは,あたかもroot であるように見える ● /etc/subuid,subgid に dockremap:100000:65536 と書いておくと コンテナ内のUID 0→ コンテナ外のUID 100000, コンテナ内のUID 1→ コンテナ外のUID 100001,... コンテナ内のUID 65535→ コンテナ外のUID 165535 にマップされる ● Kubernetesでは1.14ころで利用可能となる見込み ○ https://github.com/kubernetes/enhancements/issues/127
  • 37. Docker自体を信頼できるのか? 37 ● Docker自体,Kubernetes自体,及び関連コンポーネントに,過去にさま ざまな脆弱性が見つかっている ● Docker “Shocker”(2014) ○ 不正なコンテナに,ホストのファイルシステムにアクセスされる (余計な CAP_DAC_READ_SEARCHがデフォルトで与えられていた) ● Docker CVE-2014-9357 ○ 不正なDockerfileをビルドすると,ホストのroot権限で任意のバイナリを実行 される (LZMAアーカイブの扱いのバグ) ● containerd #2001 ○ 不正なイメージをpullすると,イメージを実行しなくてもホストの /tmp が削 除される
  • 38. Docker自体を信頼できるのか? 38 ● Kubernetes CVE-2017-1002101, CVE-2017-1002102 ○ 不正なボリュームを通じてホストのファイルシステムにアクセスされる ● Kubernetes CVE-2018-1002105 (2018/12/4 公表) ○ 不正なAPI呼び出しを通じてcluster-adminを奪取される (→privilegedコンテ ナを通じてホストのrootを奪取される) ● Git CVE-2018-11235 ○ 不正なリポジトリをcloneすると,ホストのroot権限で任意のバイナリを実行 される ○ KubernetesのgitRepoボリュームを通じてトリガ可能 https://staaldraad.github.io/post/2018-06-03-kubernetes-root-with-gitrepo- volume/
  • 39. Rootlessモード 39 ● コンテナのみならず,Dockerデーモンも含め,全てを非rootユーザで実行 する ○ Dockerデーモンやcontainerd,runcに脆弱性があったとしても,実際の影響 を軽減できる ■ 例えば,カーネルを書き換えられて検出不可能なマルウェアを仕込まれたり ,ARPスプーフィングされたりする危険性を減らせる ■ 複数ユーザを用いることで,複数テナントを安全に隔離して同一ノードで実行す ることも可能 ● Docker 19.03ないし19.09から利用可能となる見込み ○ https://github.com/moby/moby/pull/38050 ○ “Usernetes” プロジェクトの一部としてバイナリ入手可能 https://github.com/rootless-containers/usernetes ■ 一般ユーザのホームディレクトリにインストールできる ■ Kubernetesも動く
  • 40. Rootlessモード 40 ● Overlayストレージドライバには非対応 ○ Ubuntuでは例外的に対応 (カーネルにパッチが当てられている) ○ 将来的には,FUSEによるOverlayFS実装に対応予定 (要カーネル4.18) ○ reflinkを用いたCopy-on-Writeには対応 (要XFS等) ● Cgroups関連の設定は今のところは無視される ○ 将来的にはpam_cgfs.soやCgroups v2 nsdelegateなどを用いて対応予定 ● ネットワークが遅い ○ Bridgeとvethを用いず,slirp4netnsを用いてユーザモードでエミュレートす るため ■ qemu -netdev userのコードが元になっている ■ Unprivileged LXCと異なり,SETUID/SETCAPバイナリ不要 ○ Travis上でのiperf3を用いたベンチマークでは9.21 Gbpsほど https://github.com/rootless-containers/slirp4netns#benchmarks
  • 41. Falco 41 ● コンテナの予期しない動作を監視するツール (CNCF Sandbox) ○ コンテナ内の予期しないプロセス(シェルなど)の起動,デバイスファイルへ のアクセス,privilegedコンテナの起動などを検知 ○ Slack, Fluentd, NATSなどにアラートを通知 ○ BPFを用いて実装されている ● 例: コンテナ内でのbash起動を検知 https://github.com/falcosecurity/falco/wiki/Falco-Examples - rule: run_shell_in_container condition: container and proc.name = bash and spawned_process and proc.pname exists and not proc.pname in (bash, docker) ...
  • 43. OCIランタイム 43 ● コンテナの機能自体は,DockerではなくOCIランタイムに実装されている ● OCIランタイムは,Linux Foundation傘下のOpen Container Initiative (OCI)が策定するOCI Runtime Specを実装している ● デフォルトではruncが使われるが,Kata, gVisor, Nablaなど他のランタイ ムにも簡単に切り替えることが出来る (docker run --runtime=...) Docker containerd OCIランタイム
  • 44. OCIランタイム 44 ● OCIランタイムはKubernetesでも用いられる ● KubernetesとOCIランタイムの間には,CRIランタイムが挟まる ○ CRIランタイム: dockershim, containerd, CRI-Oなど ○ イメージやスナップショットの管理など,OCIランタイムの外回りの機能を実 装 Docker containerd OCIランタイム Kubernetes CRIランタイム
  • 45. Kata Containers 45 ● OpenStack Foundationが開発するOCIランタイム ○ Intel Clear ContainersとrunVとが合流して発足 ● QEMU/KVMを用いて強固なアイソレーションを実現 ○ ファイルシステムは9pでマウント ○ クラウドにデプロイする場合は,nested virtualization対応またはベアメタル のインスタンスを使う必要がある ■ EC2: i3.metal がベアメタル対応 ■ Azure: Dv3, Ev3がnested virtualization対応 ■ GCE: nested virtualizationにはbetaとして対応 ● 起動にやや時間がかかる (せいぜい1秒-2秒程度)
  • 46. その他のVM系ランタイム 46 ● runq ○ IBM Cloudの一部サービスで使われているOCIランタイム ○ QEMU/KVMベースだがシンプルな構成 ● Firecracker ○ AWS LambdaやFargateで使われている ○ ChromeOS crosvmに由来する軽量なVMを使用.125msで起動するとのこ と.Rustで書かれている. ○ 今のところOCIランタイムとしては動作しないが,containerdプラグインが用 意されている ■ Firecrackerの上でruncを動かす設計 ● Frakti, Virtlet ○ CRIランタイム
  • 47. gVisor (runsc) 47 ● Googleが開発するOCIランタイム.App Engineにて使われている. ● Linuxカーネルをユーザランドで再実装することで,セキュリティを強化 ○ User Mode Linuxに似ているが,Linuxのコードを使わずにGoでスクラッチか ら実装している ○ Ptraceによる実装と,KVMによる実装とがある ○ ホストのカーネルに対して呼び出すシステムコールは50程度 ● 起動時間は早いが,システムコール呼び出しのオーバヘッドが大きい ● 互換性の問題がある
  • 48. Nabla Containers (runnc) 48 ● IBMが開発するOCIランタイム ● NetBSDベースのユニカーネルを用いることで,コンテナが呼び出すシス テムコール数を削減し,カーネルの脆弱性を踏む可能性を削減 ○ read, write, exit_group, clock_gettime, ppoll, pwrite64, pread64の7つに制限 ● Linux用のELFバイナリをそのまま実行できるわけではなく,Nabla用に移 植する必要がある ● 起動時間は短い.runcに勝ることもある. ○ https://www.slideshare.net/KoheiTokunaga/ss-123664087
  • 51. ランタイムの比較 51 利点 欠点 runc ● 速い ● アイソレーションが弱い Kata Containers ● アイソレーション が極めて強い (VM分離) ● やや起動が遅い ● 仮想化をサポートするホ ストが必要 gVisor ● アイソレーション が強い (カーネル分離) ● 遅い ● Linuxカーネルとの互換 性が低い Nabla Containers ● アイソレーション が強い (カーネル分離) ● コンテナの移植が必要 ● Linuxカーネルとの互換 性が低い
  • 52. ランタイムの比較 52 利点 欠点 runc ● 速い ● アイソレーションが弱い Kata Containers ● アイソレーション が極めて強い (VM分離) ● やや起動が遅い ● 仮想化をサポートするホ ストが必要 gVisor ● アイソレーション が強い (カーネル分離) ● 遅い ● Linuxカーネルとの互換 性が低い Nabla Containers ● アイソレーション が強い (カーネル分離) ● コンテナの移植が必要 ● Linuxカーネルとの互換 性が低い 許容できるならKataがよさそう? (もしくはFirecracker)
  • 54. まとめ 54 ● イメージ ○ イメージ中にGitHubやAWSなどの鍵が紛れ込まないよう,注意する ○ docker build --secret,docker build --sshが安全で便利 ○ Clair, Microscannerなどのスキャナを用いて脆弱性を検知できる ○ イメージはなるべくシンプルに保つ ● Dockerソケット ○ Dockerソケットへのアクセス権を与えることは,ホストのroot権限を与える ことと同じ ○ TLSまたはSSHを用いて厳重にアクセス制限する必要がある
  • 55. まとめ 55 ● ランタイム ○ Seccomp, Apparmor, SELinuxなどを使って,コンテナの動作を厳しく制限で きる ○ docker run --user や dockerd --userns-remap を用いることで,コ ンテナを非rootユーザで実行できる ○ 次期バージョンからはDockerデーモン自体も非rootユーザで実行できるよう になる ■ https://github.com/rootless-containers/usernetes ● 代替ランタイム ○ 代替ランタイムを用いることで,より強いアイソレーションを実現可能 ○ Kata Containers: VMを利用 ○ gVisor, Nabla Containers: ユーザモードカーネルを利用