みなさんこんにちは。クルバネーシスを使用しているセキュリティメジャーをお話しすることをお勧めします。クルバネーシスはコンテナマネジメットプラットフォームオーケストレーション2のデファクトスタンダードです。今から13分ほどお話しすることをお勧めします。最後にお聞かせください。私の名前はヒロキアキバーです。私はオーディスハイフンRI日本のコンパニーコードを作っています。クルバネーシスは呼ばれなくてもターミナットチームベースがあります。私たちにでも毎つのレベルを供給することが勧めですね。クルバネーシスは情けられるカンセート才に関して、私たちは种類をもうか docのカンセート又は總存型を治さなければならないので多分ないです。クルバネーシス効果を変えにしています。私たちが日後ギターとして制限を選んでいます。この後、私たちはこのコンパニーコブラネースとオケステクの代性パレ ethics ピケを使っている様子を聴いた Mash overlook mt クルバネスがついて、クロネットセキュリティツールとなります。次に、クロネットセキュリティツールとは、公開空中サービスや AWSと、クロネットセキュリティのフィッシャル、クロネットコンピューティングファンデーションエクスステムや、次に、クロネットセキュリティメジャーのクラウドネイティブセキュリティメジャー ツールス、クラウドベンダー ソリューション、モアを使います。レッドコンパンツのオプションは、クバネスコンテナーマネジメントツールスにより、プロダクションエンバイルメントにより、クラウドネイティブコンピューティング パンデーションサービルレポートを公開しています。このサービルレポートをご覧ください。たくさんのコンパネイティブセキュリティメジャーをご覧いただきいただき、是我々は豊分なサービス割icas、GCPJKE、 Transferenedajun, エッケースなどに 使います。なごなるほど実績な制限を使用したものです。一つのプロダクションを保護 Claraレッドコンヌフラットホムが、スクラッチネイティム選定で補修での 室でサービスを保つ特別 Budへのパプリクラウド gradientサービス製サービスホームからの後で有効です。クラウドペンダー&the userこのメッセージは全国ペンダーでおスチ czyli AWS, エドボレス、GCP & Azure他にはクラウドペンダーが売るのはファイシリティリア describing as a physical server Dahge & Networksクラウドペンダーの萎縮のリアル例に言うのファイシリティリア名を教えてコンテナは受け取りを行ったときに料理や相対策を考えてみるのが、どっか2つの特徴があります。第一は配信制同のコンテナ管理の指導を使っています。二つは配信制同のコンテナ管理の指導を使っています。その指導や配信制同のコンテナ管理の指導を使っています。就是このコンテナを使用するためにAWSで使用することもできます。2つのオプションは、Use ECSやEKSの使用者です。この2つのオプションは、コントロールのコンテナアオキストレーションにより、上手く、管理のサービスを使用することもできます。この2つのオプションは、ワークノードラアーのファゲットとタイプを使用する必要があります。ワークノードラアーのファゲットのワークノードは、ふくのは 。石像のように。ホとか温もどに下に行くのだろう。ファゲット郵団は宇宙広くする.衔広にA coyote1に配送させる.エルョ選挙自体の綺麗等についてお知らせ。服部の具体的件についてお見頂きささせる。 means��のアニメでブレ前の谢谢された。クファグタイプのVCSやEKSは、WC2サーバーのリスポンスのWC2サーバーは、ドカエンジンのコンテナを使用しています。WC2サーバーのオプレーションは、WC2サーバーのアプリケーショと、WC2サーバーのユーシットサーバーは、多くのエッシェントを作ることができます。しかし、WC2サーバーは、 Easy to start because it starts from the OSB and the writing of the container.In the case of FACTタイプ,this kind of consideration is necessary.From here, let us talk about security solutions in the CloudNative Computing Foundation Land scapeand SecurityConstruation for the Kubernetes Container Platform.It's a copy of the security and compliance of CloudNative Computing Foundation Land scape2020年2月に、サイトの数値を上げて、ツールの数値を上げて、オーススとペードツールを使うことができます。サイトとコンサルティングの方法です。例えば、オーススをオーディングするツールを使うことができます。最近、インキベイティータです。クーベベンチはCRS、クルバネス、ベンチマックツールです。クーベハンターはプレイントレーションテストツールです。プレインチはコンテナイメージバイナブリティチェックツールです。アクアセキュリティアーズオーススで、クレアはエラブレスECRのコンテナイメージバイナブリティチェックツールです。スディングとパラットは、オーファリング・ペット・インキベイティックセキュリティーマレージメントツールです。クーベネスはサトルリーミーチャルのウェルアドプティックコンテナーオーケストリーションプラットオンです。クレアはコンテナイメージマレージメントツールです。クーベネスワークロードのセキュリティアーズについて説明します。まずは、アクアセキュリティーマメージアーズのコンストを考えています。これをクーベネスの上から、クロブネス化のセキュリティーを追加してみません。こちらのリバックはクーベネスインファレスエクリティー.infoウェブサイトです。クバネスクラスターの組み合わせは多くのコンポネットが外側からアタックされます。例えば、コントロープレーン、ワークノード、コンテナンス等のセクリティのセクリティのセクリティはアタックされます。このセクリティはセクリティのレッティッ・メスコンフィレーションでアタックされます。このセクリティはクバネスクラスターの組み合わせを限定するため、そうすると、その left はサクリティのセクリティのセクリティの should be considered for each component of the kubanesit クラスターの組み合わせOn the right, I would recommend organizing security measures into 10 security categories.For example, on the Public Cloud, kubanesit クラスター consist of master node and worker node.Inside the kubanesit クラスター, its logicary divided by name space.コンテナーでランニングすることは重要です。このクヴァネスバンドリースについては重要です。1つの位置については重要です。しかし、バラストラディースを減らせることは重要です。デプスについては重要です。でも、マレシアのアタックがパフォームedです。左側に、10セキュリティカテゴリースをクラシファイルについては重要です。私は、一つの位置については重要です。左側に、パフォーマンクリアルをクラシファイルについては重要です。例えば、EDWCセキュリティースサービスです。次は、クヴァネスバンドリースの特徴です。次は、エコシステムモードクラウドネイティブコンピューティングファンデーションです。EDWCパフォーマンクリアルをクラウドについては重要です。IAMホールオーセンティケーション&オーサリーゼーションを使います。インスペクトやバネラブッティーコントメジャーを使います。GuardDuty、Messi、and Security Hub for Governance and Compliance applicationsを使います。クヴァネスバンドリースを使います。サービスアカウントやロールホールオーセンティケーション&オーサリーゼーションを使います。ネットワークプロジェクトやファイアウォールを使います。リミットシップユーシッピーやメモリリーリソースユーシッチを使います。エクシストモブクラウドネイティブコンピューティングファンデーションを使います。クヴァネスバンドリースを使います。オーサリーゼーション、Governance、and Complianceを使います。オープンポリシーアジェントを使います。コントロールコミュニケーション&エッグリップのBit linksを使います。レア7やヘアを使います。エンボリーやエンボリーなどを使います。コンピューシブセクリティブコンティナーのメジャーはアクアやパラーラットやシステークを使います。ここで1つのメジャーのセクリティブファンデーションを使います。3昏目の言葉はオーゼンテンション、オンサレセサイズ、オーツイ台をぶれるか、実際に內容品をかけること、起來資料では willプロ戻して結果1人ドリルくらい待ち butter National第4章將物は負動湿々の運転动用ポストを行って、オーゼンテンション、クラスターのクリアを採用することをしていきます。次はそのアドミッションコントロール。GAMELAZE4エプリアオペレーションのクラスターを採用するのはGAMLALAZE4エプリアオペレーションのクラスターは取り組んでいます。例えば、イヴィニフのエプリアをイメージすることでデプロイアニューポットとオンサイレゼーションが配置されることができるのです。CPUとメモリーリソースクオートルリメットセッティンアドミッションコントロールがデプロイアニューポットのクラスターを映ることができるのか?デプロイメントの新のパーツがデフォーズになります。アドミシオンコントローズはコーバレスアドミンスを助け、デプロイメントのセキュリティを使用しています。このコーバレスアドミンスは、リソースコントローズとビルビジョニングを使用しています。セキュリティアスピクスは、クーバネスエピュアサーバーでクーバネスオブジェクトを使用しています。次に、パターンゾートを考え、仮従面 meatバンドリーズと愛してくれます。個性を違うわけた赤社交才がないかどう είναι?それぞれの答えは、14�りのクーバネスクラスターは、このクーバネスクラスターでも同�に値itchaしたアクラスのコーバネスクラスタイルを使用します。このクーバネス看看、中では3位のクーバネスクラスタイルを使うことを調べていません。3位のクーバネスクラスタイルは、カッチューシステムで ХCVや Drum踏み把握保握保護所を作ります。千 나�や Prem Gaussian明らですが、コミュニケーションコントローがシンプルでマネージすることはすることです。これらの Publixを クロスターと同じだまいに作業しています。その価値を スプレーするために 全体的に広告で少しずつ structure 上からネーム・スペースで 解幕をすることができます。このために ブルー・ファンの登場で ダメージします。コミュニケーションコントローと リスペーストで デメージが多く受け入れます。 This is useful for managing security and governance.In addition, you may need to control which port runs on which work node.For example, you want to run a port on a work node with GPU.You may need to run multiple work nodes, controlling the relevant share of your web application.You may need to run some batch application on same work node in order to increase the usage destiny of shipping and memory resources.In some case, you may not want to share the same storage space between multiple workflows.Next, let's talk about wire and network communication and encryption.They are multiple use network communication in Kubernetes cluster.There are two types of communication.The green lines network communication for application services.The red line network communication for operation and maintenance of the Kubernetes cluster.In this configuration diagram,the work node that runs the work load is located in the private network segment.Consider whether the master node should expose the APR request endpoint to the Internetor limit APR request only from private network segment.Or other communications.APR request from the maintenance server to the master node. Network communication to deploy parts from master nodes to work and node. Network communication that chooses the container image from the container registry.The application control running on the work node connects to the database outside the Kubernetes cluster.Performs HTTPS network communication from the Internet via the load balancer.Activate boundary of network communication.It's necessary to consider network communication controlled by file and encryption.Next, let's talk about encrypting stored data.In Kubernetes cluster,make two states storage with persistent volume and persistent volume claim.In the case of AWS,you can use persistent volume with block storage like EBS and network file system like elastic file services.Furthermore,it's often operated in combination with cloud layer storage services.For example,you can use objects storage like S3,usional database like RDS,container history like ECL,github store like code commit.EBS, EFS,S3 and RDS has transparent trip home server side encryptionby enabling encrypt options in combination with services such as key management tool.Consider client side encryption.Where the application encrypt and decrypt the data and stores it in storage.In Kubernetes,there is a secret object resource that handles secret values such as login id and password to the database.However,this secret object resource only base 16.4 encrypts the secret value.It's insufficient for security to save or update it in the git repository as it is.It's good to combine tools that can manage the secret values securely.For example,Kubesek,Kubanesh external secrets,Shield secrets,Hashcop port and so on.A brief introduction to shield secrets.If you want to know more details,please see GitHub directly.Encrypt your secret values as a shield secret,which is safe to store even to public repository.The shield secrets can be decrypt only by the controller running in the target cluster.And nobody else is able to obtain the original secret values from the shield secrets.You can install using a method such as HelmChart or customize.The Shield secrets control transparency encrypt and decrypt secret values.The Shield secrets control allow you to rotate and update encrypt keys.This is consideration for managing secret values.Don't hard code your application and manage file.Change the secret values of each protection and staging and development.Set the expression date and rotation of the encrypt key file.There are several ways to pass the secret values to the application container.But it should be passed via the volume.Because there are cases where environment variables are written to the log when a process crashes.In addition,there are cases where it can be built with the kubekontroldescribe port commandor lockinspect command.You can use the variable.This is also the rule of Bumiatan's project.You can use the variable to backup the kubanese resource such as persistent volume,development, port, and confirm map running in kubanese cluster.The other step is the extension of the backup data.You can specify the volume of the variable server or a public cloud band storage with access previous such as AWS S3 or Google storage service or azure-broom storage.If we want to backup object storage and additional database of a public cloud such as RDS and S3 outside kubanese cluster,use the backup function provided by each public cloud vendor.If you use the kubanese workload as status,you may not need to backup the ur-running kubanese resource.For example,if you have made a GitHub scene in your CI-CD pipeline,all your application code and monies computation files are in the Git repository.If you want to update or rollback your kubanese workload,you may run the CI-CD pipeline to update or rollback your kubanese workload.Typical GitOps tools are Flux,Argo, and Jenkins-X, and so on.Next,let's talk about multi-countermeasures.Consider multi-countermeasures from the control life cycle.From left to right,there are three phases,build, ship, and run.The build phase.You may use the best control image such as docker hub and build the container with the docker file.At the times,the home vulnerability check of best control image and unit test and configuration test.The ship phase.You may store the build control image and must file in the container history and Git repository.At the times,check for the build control image regularly for vulnerabilities.The run phase.You may deploy container and must file for the kubanese cluster and the kubanese workload is running.At the times,check ship benchmark and penetration test to kubanese cluster.The home security check and testing in each phase.At the more,left side more than right side.Namely,upstream measures are more effective.Kubanese has minor updates every three months.Therefore,you should update the kubanese version regularly and you should update the host voice version of master node and worker node of your kubanese cluster regularly.In addition,if you have used kubanese package manager such as HelmChart,customize and operator,also update this version regularly.Next,manage node security.Use host voice optimized for the container platform.Restrict use for privileged users.For example,use rootless model.Restrict access to node and promotion to privileged users.Limit mounting of the nodes file system.The build phase.Creator control image with the minimum required package and library tool.Don't include compile tool and cache date at big time.Use the container-based image on real control registry.For example,redheart container catalog.Google Cloud Platform Marketplace and so on.Use the redset version and vulnerability checked on container image.The ship phase.Check the control image regularly,not just once.Add a version control of the container image tag.Direct old container image regularly.Use the control image signature using Docker content trust.Add the build phase and ship phase.Use appropriate checking and testing tool for each layer.For example,cloud spread checklist layer security risk of user structure as a code such as telephone and AWS cloud formation.QSX check security risk and best practice for Kubernetes Managed file.Open policy agent conf test check custom security risk for Kubernetes Managed file.Add a link to check best practice for Docker file.Prohibit check static parameter for container images.Round phase.Prohibit container startup and promotion are the privilege to do users.Prohibit access to the root file system.Disable unused listen port to eliminate unnecessary access to interface.Sets appropriate ship and memory in the container to eliminate neighbor no g.Let's challenge DevSecOps.Some of these settings can be controlled by the port security policy of Kubernetes.I'll talk about the port security policy setting example later.In addition,Limit input and output access from container to storage.Limit network communication on containers.Limit the number of process startup on containers.Make effective use of app armor or sec comps.Also,Consider pet security products that can detect and block suspicious container behavior.Port security policy can control the behavior on but on container from the Kubernetes layer.For example,prohibit containers in privilege mode.Prohibit promotion to root user.Prohibit writing to the role file system.Unnecessary capabilities should be disable.For example,CAPS NetRoll capabilities can send and receive ability incident packets.This should be disabled to prevent misuse of apps proofing.Their discussion in the OSS community that port security policy will move to the open policy agent in the future.So be careful about future tense.At the run phase.Use appropriate checking and testing tools for each layer.For example,cloudsploit check cloud layer security risk.cubehunter check penetration test for the Kubernetes cluster and node-level security vulnerability.cubehunter check cis benchmark for the Kubernetes cluster.Open policy agent gatekeeper check custom security risk and governance setting for Kubernetes resource.Polarless check best practice in Kubernetes workload configuration.Goldilocks recommend CPU memory resource limit and request based on actual resource usage of the container.Prohibit static check vulnerability for container image.Next is monitoring.From security point of view.Collecting and aggregating the Kubernetes stapler request logs.So that it can be detected when now errors work out. Furthermore,it's important to be ready for a forensic investigation.OBWT is talking about in three pairs.It's metrics and logs and place.This pair is taken from blog site published by elastic.co and graphalan.com site.It's important to be able to capture and detect and track the applicator logs and metrics.For example,if you have used awks,enable the case logs option and transfer the API request logs to cloud.logs.This pair is end user technology leader of cloud native computing foundation.It's crushed part in three categories.Adapt,Trial and Assess.According to the results of this survey,many companies have adapted OSS through such as Prometheus and Graphana and Elastic and so on.You can see that many companies use multiple monitoring tools.If you have also interested,take a look at radar.cf.io site.It's important to perform appropriate logging for each component at the cloud layer.There are cloud operation logs and host OS access logs and network communication logs and so on.Enable auditing and network cloud logging options at the Kubernetes layer.There are Kubernetes API server request logs and network communication logs between master node and worker node.Enable the Kubernetes audit policy at the container and application layer.Collecting and aggregating application logs.Next,set ROM,several control logging architecture patterns to suit your container platform.Next,let's talk about governance and compliance.OpenPolicy agent getKeeper provides more free and extended governance control by uploading the Kubernetes admission control with the web hook.OpenPolicy agent defines policies and rules in the language label.OpenPolicy agent can define access rules for Kubernetes resource for specific user's API and operation.So,it will separate permission control from the application code.Farco is used to hold container auditing.For example,mixed startup FarcoPot with demo set.The FarcoPot monitor system calls for container running on worker node.MBehaviable container deviates from the Farco rules.FarcoPot outputs alert logs.Farco has rules defined by default.In addition,you can customize Farco audit rules.Introducing more about Farco.Farco can monitor the behavior of the following containers.For example,in the container study team privilege mode,mounted a sensitive directory path.Reader and write sensitive files.genic Farco rules are published on the security hub.dev site.There are nodes.Farco can't detect writes to host passband mounted by processing the container.Or write pure simple clink.Therefore,if you want to detect it,multify access with auditing functions provided by each relaxed distribution.Final year summary.We must take measures in all direction.But there are various security measures to consider.It's important to depends in depth,not just in one place.Disacrifice and cloud-native computing foundation ecosystem are recently updated and complex.Therefore,if you have used public cloud such as AWS or Azure or GCP,consider using the security features provided by each public cloud vendor.Also,consider using the cloud-native security tools of cloud-native computing foundation ecosystem.This is the end of my presentation.Thank you for watching.I hope this content will be useful to you.