2018.06.27

コンテナ時代の体系的情報セキュリティ対策入門

次世代システム研究室のT.Tです。

2018年6月25日に行われた社内の研究発表会の内容をご紹介します。
Webアプリケーションの開発運用(ゲートウェイ)部分について、OWASPやコンテナ型仮想化技術を利用したセキュリティ対策の一例について発表しました。

補足

今回の研究としてはHashiCorp Vaultの検証を中心に進めました。

発表資料内のVaultの検証では、VaultもDocker環境で検証しています。
デプロイ用のVaultをDocker環境で動かすには少し設定が必要なのでその手順をまとめておきます。
構築する環境は、VMとして立ち上げたCentOS 7にDockerをインストールしてある状態です。

以下検証用の設定内容で、本番環境に適用するには一部危険な内容となっているためご注意ください。

$ sudo mkdir -p /etc/vault/config

/etc/vault/config/config.hclに以下の内容を書き込んで保存する。

ui = true

backend "file" {
  path = "/vault/file"
}

listener "tcp" {
  address = "0.0.0.0:8200"
  tls_disable = 1
}
$ sudo docker run -itd -v /etc/vault:/vault --cap-add=IPC_LOCK -p 8200:8200 vault server
$ sudo docker exec -it $(sudo docker ps -q) /bin/sh
/ # export VAULT_ADDR='http://127.0.0.1:8200'
/ # vault operator init
/ # vault operator unseal ${unseal_token1} // initコマンド実行後にコンソールに表示されるUnseal Keyの値を入力する
/ # vault operator unseal ${unseal_token2}
/ # vault operator unseal ${unseal_token3}
/ # vault auth
Token (will be hidden): // initコマンド実行後にコンソールに表示されるInitial Root Tokenの値を入力する
/ # vault audit enable file file_path=/vault/logs/vault_audit.log

これ以降は検証の内容に応じてGUIやAPIで変更できます。

次世代システム研究室では、アプリケーション開発や設計を行うアーキテクトを募集しています。アプリケーション開発者の方、次世代システム研究室にご興味を持って頂ける方がいらっしゃいましたら、ぜひ 募集職種一覧 からご応募をお願いします。

皆さんのご応募をお待ちしています。