Kubernetes Novice Tokyo #15 で登壇しました

これはふりかえり Advent Calendar 2021 11日目の記事です。 ふりかえり Advent Calendar 2021

12/7に開催されたKubernetes Novice Tokyo #15で「最小権限を目指して」という発表をしました。 過去回のアンケートで「セキュリティ」の話を聞きたいとリクエストがあったようで、今回は4セッションすべてセキュリティの話でした。

speakerdeck.com

私は2月のKubernetes Novice Tokyo #8で自称Cloud Native Security ArchitectとしてLTをしました。 それが縁で今回登壇依頼をいただいたようで、たいへん光栄です。

speakerdeck.com

前置きはここまでとして、ふりかえりをしていきます。

ひとりふりかえりでは、Kubernetes Meetup Tokyo #47 で登壇しました同様、タイムラインとKPTを混ぜたような手法を採用しました。 細かく触れるとキリがないので、1つに絞ってYWT(やったこと、わかったこと、次にやること)で紹介していきます。

やったこと: 早めにフィードバックを得る

セキュリティの話をリクエストされたわけですが、Kubernetes Novice Tokyoの想定参加者 = Kubernetes初学者は何を期待しているのだろうかと頭を悩ませました。 コンテナセキュリティといえば、NIST SP 800-190は外せない風潮があり、実際そうだと思います。 しかし、初学者がNIST SP 800-190からセキュリティをはじめるべきかというと違う気がしました。

もっと身近で、すぐに試せることを伝えたいと考え、Notionにいろいろ書き出しました。 ボツ案は話の本筋ではなく長くなるため最後に記載しておきます。

社内で実施している『Docker/Kubernetes開発・運用のためのセキュリティ実践ガイド』輪読会で構想を話したところ「どれか1つだけで時間使い切りそう」と意見がありました。初期に客観的なフィードバックが得られてよかったです。

昨日、以下の記事を読みました。「フィードフォワード」と呼ぶみたいですね。

president.jp

テーマを1つに絞った後はスライドをつくりはじめるのではなく、手書きで大雑把にスライドの下書きをしました。 これは学生時代に教わったコツで、PCを使っていると細部を気にしすぎてしまうため、まずはアナログスライドでストーリー構成、ラフデザイン、時間配分をチェックすべし。 自分自身の気付きではありますが、これも早めにフィードバックを得る一例ではないでしょうか。

わかったこと

フィードフォワードとアナログスライドの効果として「作り込みすぎ」「深堀りしすぎ」を回避できました。

次にやること

アナログスライド作成時点で頭の中に発表イメージはできているのですが、リハーサルをしてみると想定通りにはいきません。 言葉が出てきません。変な間がある、ゆっくりすぎる。本番は適度にゆっくり話せた気がしますが、リハーサルは倍ぐらいゆっくりでした。

早めに資料作成をしてリハーサルに時間をかけたいです。また、リハーサルを録画して構成や話し方の見直しに活用しようと思います。

おわりに

今年は登壇納めとなりました。来年も続けるべく、ふりかえりをして改善していきたいです。

今回もmiroを使いました。miro最高。もうmiroがない生活は考えられません。 ふりかえり

ボツ案

  • シフトレフト
    • 要件定義、設計フェーズからセキュリティを考える
    • 構成変更を容易にする
      • テストを書いておく
      • 塩漬けにしない、こまめにアップデート、脆弱性対応
    • 全許可から許可する範囲を絞るアプローチはたいへん
      • NetworkPolicyは初期にやった方がいい
  • 最小特権の原則
    • 非rootユーザーでプロセスを実行する
    • セキュリティプロファイル
      • seccomp
      • AppArmor
    • 軽量VM
      • Firecracker
      • gVisor
    • 期待しているアップデート
  • Attach Surfaceを減らす
    • コンテナ最適化OS
      • Bottlerocket
      • Container-Optimezed OS
    • ベースイメージ
      • alpine
      • distroless
    • イメージを小さくする
      • dockerslim