SPIFFE Meetup Tokyo #3
イベント内容
概要
SPIFFE Meetup Tokyo #3 を開催します! このミートアップは SPIFFE/SPIREを中心として Service Mesh、Zero Trust Network、Secure Introduction などの技術について共有する会です。
SPIFFEとは?
SPIFFEはZero Trust Networkの考え方にもとづくサービス間認証の仕様です。2002年に発表されたPlan9 security design、2005年に発表されたGoogleのLOASの流れを汲んで作られています。
近年のMicroservice化されたシステムのようなworkload間の通信において、「送信元が信頼できるか」 、「メッセージの正当性を信じられるか」というような課題を、どのような環境(cloud/on-prem, container/VM)であっても、各workloadは 同一インタフェースで確認できるフレームワークの仕様です。また、SPIFFEは異なるドメイン間で利用する場合においても中央管理を必要しないという特徴があります。
より詳細な説明は、次の資料からご覧いただけます。
タイムテーブル
| 時間 | 内容 | スピーカー |
|---|---|---|
| 19:00~19:05 | Opening (5min) | |
| 19:05~19:35 | Isolated multiple trust domain mTLS in Envoy and Istio | Takeshi Yoneda (mathetake), Tetrate.io |
| 19:35~19:40 | 5分休憩 | |
| 19:40~20:10 | SPIRE Updates | 吉田 龍馬 (ryysud), ゼットラボ株式会社 |
| 20:10~20:15 | 5分休憩 | |
| 20:15~20:55 | Using SPIRE as Identity Provider for Athenz at Yahoo! JAPAN | 矢野 達也 (GitHub: tatyano), ヤフー株式会社 / 藤代 大介, ヤフー株式会社 / 宇佐美友也(hiyosi), ゼットラボ株式会社 |
| 20:55~21:00 | Closing (5min) | |
| 21:00~21:30 | オンライン懇親会 (30min) |
19:05~19:35 Isolated multiple trust domain mTLS in Envoy and Istio (30min)
複数の独立したTrust Domainがお互いに通信し合う環境下では, サーバーは提示されたSVIDを元にTrust Bundleを選択し,そのbundleを用いてクライアント証明書の検証を行わなければなりません. サービスメッシュにおいて, 複数のクラスタが透過的にmTLSを行うためには, この機能は必要不可欠です.
本セッションでは, これに関連したEnvoyに実装した新機能と,Istioに提案中の新しい認証認可の仕組みについてお話します.
Bio: Software Engineer at Tetrate.io, Member of Envoy and Proxy-Wasm
19:40~20:10 SPIRE Updates (30min)
昨年 SPIRE が SPIFFE と共に Cloud Native Computing Foundation(CNCF)の Sandbox プロジェクトから Incubating プロジェクトに昇格したことからもわかるとおり、SPIRE の開発はとても活発に進められています。前回の SPIFFE Meetup Tokyo 開催時点からも多くの機能が追加されており、v1.0.0 のリリースもすぐそこまで迫っています。
このセッションでは直近いくつかのリリースにおいて SPIRE に追加された機能や改善された機能、今後実装が予定されている機能などを紹介します。なお、SPIRE の基本的な説明は割愛したセッションとなりますのでご注意ください。
Bio: 2015年に DMM\.com に新卒として入社。Hadoop Ecosystem を利用したデータ分析基盤の開発と運用に従事。2018年12月よりゼットラボ株式会社で Kubernetes をベースとしたインフラ基盤の研究開発を行っており、現在はゼロトラストネットワークの実現に向けた研究開発を担当している。SPIFFE/SPIRE プロジェクトのコントリビューター。
20:15~20:55 Using SPIRE as Identity Provider for Athenz at Yahoo! JAPAN (40min)
Yahoo! JAPANではサービス間通信のアクセス制御にAthenzが使われており、アクセス制御のためのIdentityとしてX.509証明書が利用できます。マイクロサービスを始めとする大量のワークロードが存在する環境では、X.509証明書やその秘密鍵の手動管理はセキュリティ面や運用コスト面で問題があります。Yahoo! JAPANでは証明書の自動配付を進めており、一部の本番環境向けにSPIREを採用しました。本セッションでは、SPIRE導入の背景から始まり、独自の実装についての話や、導入にあたってのSPIRE Serverの構成や課題など、それぞれの担当者から共有したいと思います。
Bio: 矢野 達也 ヤフー株式会社, Web ServiceやSmartphone Appの開発/運用に従事した後、現在はYahoo! JAPANにおけるアプリケーション間アクセス制御のDevOpsを行うチームでProduct Ownerを担当しています。AthenzのContributorとしても活動しており、KubeCon等のカンファレンスでの発表も行なっています
Bio: 藤代 大介, ヤフー株式会社, ヤフー株式会社でプライベートクラウドの構築、運用に従事。
Bio: 宇佐美 友也, 2016年よりゼットラボ株式会社に入社、現在はゼロトラストなセキュリティの実現にむけて研究開発に従事。SPIFFE/SPIREプロジェクトへ積極的に参加している。
21:00~21:30 オンライン懇親会
Zoom を利用してオンライン懇親会を実施します。
https://zoom.us/j/98990596527?pwd=VjNUbHRKR1pyVmdmaWpCSENBMjB2QT09
質疑応答について
質疑は Slido (#spiffejp3) で受け付けています。
質疑の中から主催者がいくつかピックアップして登壇者に代理で質問します。
https://app.sli.do/event/4btso855
参加枠
オンライン参加枠(先着)
オンライン参加枠です。登録いただいた皆様には中継用のURLをお送りさせていただきます。
LT枠(抽選)
LT枠です。当日はZoomに入って頂き、リアルタイムでご登壇いただきます。 LTは5分厳守です。LTをやりたい方はLT枠で参加してください。参加が確認できたら管理者の方から個別に連絡します。
⚠ LT枠で参加されていても連絡がとれない場合はキャンセルとさせていただきます。ご了承ください。
参加費
無料
中継
- YouTube Live で配信を予定しています。SPIFFE Meetup Tokyo - YouTube
- 当日はこちらのURLで配信します。 https://www.youtube.com/watch?v=n51KGAAgxeY
行動規範
運営者、登壇者、その他すべての参加者が行動規範に同意して頂く必要があります。
https://github.com/spiffe/spiffe/blob/master/CODE-OF-CONDUCT.md
問い合わせ先
「イベントへのお問い合わせ」からご連絡ください。
注意事項
※ 掲載タイミングや更新頻度によっては、情報提供元ページの内容と差異が発生しますので予めご了承ください。
※ 最新情報の確認や参加申込手続き、イベントに関するお問い合わせ等は情報提供元ページにてお願いします。
