Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Athenz & SPIFFE, Tatsuya Yano, Yahoo Japan

36 vues

Publié le

Presented at the SPIFFE Meetup in Tokyo.
Athenz (www.athenz.io) is an open source platform for X.509 certificate-based service authentication and fine-grained access control in dynamic infrastructures.

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Athenz & SPIFFE, Tatsuya Yano, Yahoo Japan

  1. 1. Athenz + SPIFFE によるアクセス制御 ヤフー株式会社 2019/05/14 矢野 達也
  2. 2. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 2 今やっていること Athenz の Yahoo!JAPAN 社内での導入、機能拡充など 好きなもの 自動化、システム連携など Web ServiceやSmartphone Appの開発/運用に従事した後、現在はAthenzの DevOpsを行うチームでProduct Ownerを担当しています。 Athenz OSSのContributorとしても活動しており、社外での活動も行なっていま す。 自己紹介 矢野 達也
  3. 3. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 3 1. SPIFFE standards 2. Athenz による X.509証明書の自動配布 3. Athenz による Fine-grained Authorization 4. Athenz with SPIFFE ID アジェンダ
  4. 4. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 4 SPIFFE standards
  5. 5. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 5 • SVID • X.509-SVID • JWT-SVID • SPIFFE ID • サービスを直接識別 (Identifying services directly) • サービスとそのオーナーを識別 (Identifying service owners) • 不透明(外部依存)な識別子 (Opaque SPIFFE identity) SVID and SPIFFE ID
  6. 6. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 6 • サービスを直接識別 (Identifying services directly) spiffe://staging.example.com/payments/web-fe spiffe://staging.example.com/payments/mysql • サービスとそのオーナーを識別 (Identifying service owners) spiffe://k8s-west.example.com/ns/staging/sa/default • 不透明(外部依存)な識別子 (Opaque SPIFFE identity) spiffe://example.com/9eebccd2-12bf-40a6-b262-65fe0487d453 SPIFFE ID
  7. 7. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 7 • SVID を各 Workload に配布するための仕組み • Zero Trust Network では、 SVID を配布するために Workload をどのよう に認証するかが課題 • Athenz では Copper Argos という検証の仕組みを提供 Workload API
  8. 8. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 8 AthenzによるX.509証明書の自動配布
  9. 9. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 9 • クラウド環境でのシステム間アクセス制御 • ロールベースのアクセス制御(RBAC) • Yahoo Inc.(現 Verizon Media)が開発しオープンソース化 とは
  10. 10. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 10 • Service Authentication • 各 Workload に X.509証明書 を自動配布 (Copper Argos) • Authorization • Roleベースのアクセス制御 (RBAC) • Policy による Fine-grained Authorization Athenzの機能
  11. 11. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 11 AthenzによるX.509証明書の自動配布 (Copper Argos) Cloud computing environments OpenStack Kubernetes Screwdriver Amazon EC2 AWS ECS AWS Lambda • 各 Workload に X.509証明書 を自動配布する仕組みを提供 • Workload をどのように認証するかはクラウド環境毎に異なる
  12. 12. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 12 Copper Argos
  13. 13. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 13 Athenz による Fine-grained Authorization
  14. 14. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 14 Athenz Data Model
  15. 15. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 15 Domain アクセス制御設定を 管理する名前空間
  16. 16. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 16 Principal 認証済み
 User
 or
 Service
  17. 17. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 17 Role Principalの集合
  18. 18. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 18 Policy (Fine-grained Authorization) Athenzにおける
 アクセス制御
 (Fine-grained Authorization)
  19. 19. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 19 Athenz による Single Source of Truth
  20. 20. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 20 アクセス制御フロー その1:中央アクセス制御
  21. 21. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 21 アクセス制御フロー その2:分散アクセス制御
  22. 22. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 22 Athenz with SPIFFE ID
  23. 23. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 23 • サービスを直接識別 (Identifying services directly) spiffe://<athenz-domain>/sa/<athenz-service> spiffe://<athenz-domain>/ra/<athenz-role> e.g.) spiffe://sports/sa/config-mgr • サービスとそのオーナーを識別 (Identifying service owners) spiffe://<provider-cluster>/ns/<athenz-domain>/sa/<athenz-service>
 spiffe://<provider-cluster>/ns/<athenz-domain>/ra/<athenz-role> e.g.) spiffe://k8s-west.cluster/ns/sports/sa/config-mgr SPIFFE ID
  24. 24. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 24 • Athenz 自体の Docker/Kubernetes deployment 対応 • Kubernets 向け Copper Argos 用 Sidecar Image 今後の展望
  25. 25. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 25 参考情報
  26. 26. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 26 Athenz • Website : http://www.athenz.io • Github: https://github.com/yahoo/athenz • Slack Channel: https://athenz.slack.com/ • Discussion Group: • Google Group: Athenz-Users • Questions or Comments: • Tatsuya Yano: https://github.com/tatyano
  27. 27. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 27 Q & A
  28. 28. Copyright (C) 2019 Yahoo Japan Corporation. All Rights Reserved. 無断引用・転載禁止 28 • Athenz with Istio https://www.youtube.com/watch?v=jhutgE6NwsM • Slides https://github.com/tatyano/SPIFFE-Meetup-Tokyo-1 Appendix

×