Cloud Native Security Japan Kickoff Meetupの講演資料を公開しました！ 会場に行けなかったけど資料は気になる、という声をいくつか頂いていたので、ご興味がある方は見てみてください！ #CNCJ speakerdeck.com/pfn/20240517_c…

Cloud Native Security Japan Kick Off Meeting に参加させていただいた。 これまでは、認証認可だと参加していないのだが、脅威モデリングする上では広い知識があると楽しめるし気づきを得られるので参加した意図がある。 学ぶ意欲が広がってしまった。 #CNCJ

#CNCJ Passkeyの鍵の安全性とか生体認証の意味が気になる人はこちらを、 x.com/kocko/status/1… EUDIDとかモバイル運転免許証とはなんぞやという方はこちらをご参照ください x.com/kocko/status/1…

OPA/Rego入門見てる。 並列の評価結果が異なる場合エラーになるのは、ポリシーをMutually Exclusiveにするという意味ではよさそう。でも評価時までわからないのはちょっと怖いと思った。 zenn.dev/mizutani/books… #CNCJ pic.twitter.com/M9HSrrjSES

Catena-X、こういうものか xtech.nikkei.com/atcl/nxt/colum… → ｢データ主権｣が謳われているという欧州が実現したい8つのコト #CNCJ

VC/VPの話は、学位証明書の例で話題になったやつか #CNCJ

Verifiable Credentialsを利用したデジタル運転免許証の実装、おもしろい #CNCJ

IDSA、GAIA-X、Catena-Xの事例29選、欧州が主導する「データ共有ネットワーク」の全体像 sbbit.jp/article/cont1/… #CNCJ

NRI 佐藤高志さんの発表。 以前在籍していたのがOpenStandiaなつかしい。 #CNCJ

本日最後の発表は株式会社野村総合研究所 佐藤さんから「欧州データ連携基盤におけるKeycloakの事例」の発表です。 #CNCJ pic.twitter.com/s7pfhLUJX0

サービスメッシュではないものの、API GatewayとKeycloakの間にOPAを挟んで、認可制御の柔軟性や処理の再利用性を向上させる取り組みは以前うちのチームの人が発表してたりします #CNCJ speakerdeck.com/enori/authoriz…

例がhooli\.comなのがいいw #CNCJ

mizutani さん作、SOAR の AlertChain のワークフローの記述に Rego を活用 github.com/m-mizutani/ale… #CNCJ

Envoyの認可でRego使えるの知らなかった。 IstioだとAuthorization Policyとの兼ね合いはどうなんだろ #CNCJ

OPAとEnvoyとKeycloakを連携させると、頑張ればOIDC認証認可をService Meshで実施することもできるはず。ただ、Regoで認証プロキシ相当のルールを自前実装することになるので品質保証が大変 #CNCJ

EnvoyでもRegoが使えるらしい #CNCJ

Gatekeeper、Envoyのルーティング認可もできる。 qiita.com/yoshimi0227/it… #CNCJ

tfsec/trivyでのOPAテストは辛かったな。通常の opa test が使えず、Printモードも対応してない、inputに関するドキュメントもなかった。 #CNCJ

レビューの観点とかpolcyにしておくと便利そう #CNCJ

Rego + OPA 独自 DSL を作らなくて良いよね。 と言いつつ、DSL 使うのは苦手。 DSL 作るのは楽しいのだけど。 #CNCJ

あと試行錯誤になると思うので、The Rego Playgroundとかでポリシーを作ると便利 #CNCJ The Rego Playground play.openpolicyagent.org

@m_mizutaniさんの資料にはいつもお世話になっています。 #cncj

休憩明けの最初の発表はUbie株式会社 水谷さんから「汎用ポリシー言語Rego + OPAと認証認可事例の紹介」の発表です。 #CNCJ pic.twitter.com/SU74p2eGo8

裏切りからの一人Advent calendarは辛いｗｗｗ #CNCJ

大変お世話になっております。 zenn.dev/mizutani/books… #CNCJ

OPAちゃんと使っていきたい気持ちある #CNCJ

休憩終わり。後半戦！ #CNCJ

PasskeysとWebAuthnの話とか、OAuth 2.1の話とか聞けて良かった #CNCJ

OAuth2.1完全に理解した #CNCJ

Keycloak の認可 OAuth 2.1 対応 OAuth 2.0 RFC6750 Bearer Token (CSRF されるリスクあり)から、 Sender Constrained Token へ。 RFC8705 Mutual TLS RFC9449 DPoP Keycloak は両方サポート！ #CNCJ

Passkey、毎回スマホで認証とかしたくないので、1PasswordでSyncedなPasskeyとして運用しているけど、対応してないサイト（Appleさんのとか）だと、あーってなるんだよなぁ。 ユーザーエクスペリエンスが悪いとかの課題があるって記事を前に読んだけど、今後はどうなるのかなぁ。 #CNCJ

PasskeysってGoogleアカウントのログインをiPhoneのFaceIDでできるようになったりするやつかしら。あれがKeycloakでもできるのなら便利そう #CNCJ

発表終わりました。駆け足で話しすぎて聞き苦しかったかもです。。。🙇‍♂️ 20分発表ｷﾋﾞｼｲ（詰め込みすぎ #CNCJ

Keycloak Passkeys ( FIDO Standard) - Synced Passkey : クラウドサービスで複数のデバイスで同期(Google Account, Apple ID, ...) - Deviced-bound Passkey : 単一のデバイスにバインドされるもの #CNCJ

続いては株式会社日立製作所 乗松さんから「Keycloak最新動向 - 認証及び認可」の発表です。 #CNCJ pic.twitter.com/o9J0H7HmyO

Kubernetesの認証、kubeadmで設定されるデフォルトの有効期限が1年なので、ある日突然みんなアクセスできなくなってびっくりするというのかあるあるになってる #CNCJ

聴いてますー！ #CNCJ pic.twitter.com/6jZSwsJ625

遅れて着弾 #CNCJ

認可処理をValidationAdmissionPolicyでやってるのね。ポリシーチェック用途しか想定してなかったので興味深い #CNCJ

テナントごとに Root Namespace を作り、Hierarchical Namespaces を活用することで、テナント内での Namespace を実現し、さらに上位に管理Namespace を割り当てる。 #CNCJ