社員ブログ／イベント

Cloud Native Security? 先月、シアトルで開催されたCloudnativeSecurityConに現地参加してきました。
昨年CNCFに加盟、デトロイト開催のKubeCon+CloudNativeConに社員２名が現地参加、年末の横浜開催のKubeDay Japanのスポンサーに引き続いての、CNCF関連イベントになります。
https://events.linuxfoundation.org/cloudnativesecuritycon-north-america/

過去のブログで、社内でCloudNativeの定義について議論があると話がありましたが、今回はさらにCloud Native + Security というまた、より議論になる言葉です。とはいえ、弊社ではプライベートクラウドとしてKubernetesを運用しサービス基盤としてお客様に提供しています。CloudNativeでは、どのようにセキュリティを考えているのか、興味があるところです。

オープニングの基調講演で、「Cloud Native Security Whitepaper」の紹介がありました。 これは、CNCF Security Technical Advisory Groupがリリースしたもので、CNCFが考えているCloudNative Securityについてまとまっています。
Announcing the Refreshed Cloud Native Security Whitepaper https://www.cncf.io/blog/2022/05/18/announcing-the-refreshed-cloud-native-security-whitepaper/

以下は、Yahooでの実例をあげて紹介していました。「Cloud Native Security Whitepaper」の内容をどのように実践しているか参考になります。

https://cloudnativesecurityconna23.sched.com/event/1FV2I/how-to-secure-your-supply-chain-at-scale-hemil-kadakia-yonghe-zhao-yahoo

その他、サプライチェーン攻撃についての話題が多くありました。以下は、コンテナなどソフトウェアの成果物に対する業界標準の電子署名サービス「Sigstore」に関するセッションです。CNCFは、オープンソースを基盤としてエコシステムを構築しています。このあたりのセキュリティは重要だと感じます。

https://cloudnativesecurityconna23.sched.com/event/1FV3Y/so-you-want-to-run-your-own-sigstore-recommendations-for-a-secure-setup-hayden-blauzvern-google

今回参加して、最新の動向をキャッチアップし、セキュリティについて考えるよい機会となりました。弊社では、CNCFに参加し、プライベートクラウドでKubernetesを運用、サービスを提供しています。
また、そのクラスタをエッジにまで拡張しようとしています。考えるべきセキュリティ観点は多くあり、また日々新しい課題に取り組んでいます。腕に覚えのあるエンジニアの皆さんをお待ちしております。

Waku