証明されたスケーラビリティ:Cedar を用いた大規模アクセス制御の理論と応用 Tweet
Proposal: (エントリー済み)
中級者
Security
本講演では、AWSが開発した「証明付きポリシーエンジン」であるCedarを紹介し、理論を踏まえたポリシー設計や最適化の仕組みを解説します。
Webシステムのセキュリティにおいて、認可ポリシーの設計は欠かせない要素です。しかし大規模なマイクロサービスに対する認可では、スケーラビリティの問題は避けて通れません。再発明を避け一貫性を保つ上で認可ロジックをポリシーエンジンとして集約することは有効ですが、エンジン自身に高い応答性能が要求されます。
そこで本講演では、AWSによるOSSポリシーエンジンCedarを紹介します。広く使用されているOPAと比較したCedarの特性は、ポリシー数が増えた際の応答性能にあります。この性能は不要な判定をバイパスする最適化によって実現されており、さらに最適化の正当性は、なんとCIを用いて「数学的に証明」されています。高度な理論が実際のプロダクトに役立つ面白い事例です。
主なターゲットはプラットフォーム設計者です。参加者がポリシーエンジンの内部機構や「証明」の特性を深く理解し、実際のセキュリティ設計に役立てられるよう、理論と応用の両面からDeep DIveします。
Cheshire Cat
ProofCafe
Software Engineer
業務では Kubernetes を中心に、AWS を基盤としたコンテナ環境の検証・運用改善とアプリケーション設計・実装を担当。個人では関数型プログラミングや形式手法(モデル検査・定理証明)の探究と実践を通じ、その知見のクラウドネイティブへの適用を継続的に試みる。Developers Summit や CloudNative Days Tokyo など技術カンファレンスでの登壇多数。2023 年より AWS Community Builder(Security)。トレードマークは猫耳。