3. dotScale 2017 - Mitchell Hashimoto - Scaling Security

Security DevSecOps

Youtube


dotScale 2017 - Mitchell Hashimoto - Scaling Security

GitHub

github.com

概要

Vaultを使うとDev, Sec, Opsがやりやすくなるよ。 Dev, Sec, Opsな人それぞれの視点を整理。 システムのスケールさせようとするDevのボトルネックにならないようにセキュリティを担保するやり方。

時間

18:28

対象者

DevSecOps

レベル

初級

メモ

  • 10年前くらいからDevとOpsが仲良くなった。
  • Securityはどうよ?
  • 開発をデプロイをいかに短いサイクルでやるかって感じだけど、セキュリティはそのサイクルに入ってなかった。
  • セキュリティは、素早くパラレルにプロダクトを拡大していくスケーリングと相性悪い。セキュリティの優先順位は低かった。
  • ここ10年間は開発者はどーやって早く構築するか、オペレータはどーやってレスポンシブルにするかを考えてた。
  • 2年前くらいから、どーやってセキュアなシステムを作っていけばいいのか?ってのが加わった。
  • f:id:kotakanbe:20170629235017p:plain
  • Vault
  • f:id:kotakanbe:20170629235648p:plain
  • アプリケーション開発で必要なセキュリティ機能をVaultが提供し、HTTPSAPI化する
  • パスワードはハッシュしてDBに格納してるけど、名前、住所とかの個人情報、秘密の質問とかDB内部は平文じゃだめよね。漏れたらやばいよ。
  • Vaultに平文なげたら暗号化してVaultの後ろにあるDBに格納して、暗号化した文字列を返してくれるよ。
  • 鍵管理、ローテーション、auditはVaultがやってくれるよ。
  • Let’s encryptなどのお陰でサーバブラウザ間はHTTPS化された
  • 内部のサービス間はHTTPS化されてない
  • Vaultは有料だけどHA化できる
  • f:id:kotakanbe:20170630000053p:plain
  • f:id:kotakanbe:20170630000249p:plain
  • セキュリティ的に重要なデータはVaultに集約される
  • f:id:kotakanbe:20170630000654p:plain
  • Trust But Verify Every Level
  • Devの人たちはSecurityなんぞ気にしていない。どんだけ早く開発、デプロイするか。
  • セキュリティな人がアプリケーションを把握してダブルチェックしないといけない。
  • セキュリティな人にとってはVaultがあるとセンシティブなデータは中央に集約されるし、このAPIたたいてねというだけで良いので助かる。
  • Vaultを使えばアプリケーション、システムのスケールを邪魔することなくセキュリティな人とうまくやれるよ。

感想

  • Mitchell Hashimotoの英語は聞き取りやすい
  • だた字幕なしだと辛い部分がある。悔しい。
  • Vaultの機能をもっと調べてみよっと。