Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
re:Inforce 2024 コンテナセキュリティアップデートまとめ
Search
takakuni
June 21, 2024
0
390
re:Inforce 2024 コンテナセキュリティアップデートまとめ
takakuni
June 21, 2024
Tweet
Share
More Decks by takakuni
See All by takakuni
About Extended Threat Detection in Amazon GuardDuty
takakuni
0
120
SageMaker Hyperpod 101 #regrowth_sapporo
takakuni
0
170
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
takakuni
0
220
New Security Challenges and Countermeasures Brought by Generative AI in Classmethod Cloud Security Fes
takakuni
0
200
サンプルサンプル株式会社 会社説明資料
takakuni
0
1.7k
AWS re:Inforce 2024 個人的推しアップデート総まとめ(仮)
takakuni
0
1.2k
Backlog Git を AWS に繋ぎ コンテナイメージをビルドしてみた
takakuni
0
170
巷で話題の SOCI についてのお話
takakuni
0
220
NW-JAWS #11 re:Cap 2023 Amazon Q network trouble shooting について
takakuni
0
1.3k
Featured
See All Featured
Facilitating Awesome Meetings
lara
50
6.1k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
1.2k
Making Projects Easy
brettharned
116
5.9k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Optimizing for Happiness
mojombo
376
70k
It's Worth the Effort
3n
183
28k
Producing Creativity
orderedlist
PRO
341
39k
GraphQLの誤解/rethinking-graphql
sonatard
67
10k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
2
290
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
Raft: Consensus for Rubyists
vanstee
137
6.7k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
7k
Transcript
クラスメソッド株式会社 たかくに 2024.06.17 1 re:Inforce 2024 コンテナセキュリティアップデートまとめ
2 自己紹介 たかくに • 所属:クラスメソッド株式会社 • 部署:AWS 事業本部コンサルティング部 • ロール:ソリューションアーキテクト
• 最近の推し:Amazon Bedrock 周り
3 アジェンダ • AWS Fargate の一時ストレージ暗号化 • Inspector のコンテナイメージスキャン
◦ GHA, CodeCatalyst の統合サポート ◦ Dockerfile の設定不備を検出
4 AWS Fargate の一時ストレージ暗号化
5 Dance like nobody’s watching, encrypt like everybody is.
人目を気にせず、自分らしく踊りましょう みんながしているように暗号化しましょう Werner Vogels, Amazon CTO
6 AWS Fargate の一時ストレージ暗号化
7 AWS Fargate の一時ストレージ暗号化
8 AWS Fargate の一時ストレージ暗号化 • 一時ストレージを CMK で暗号化可能に ◦
CMK:カスタマーマネージドキー • ECS で扱う全てのストレージ領域で KMS が利用可能に ◦ Platform v1.4.0 以降 ◦ Linux コンテナのみ対応
• キーポリシー で許可 ◦ タスク実行ロール、タスクロールでは特に何もしない • 既存サービスへの適用 ◦ タスクの置き換えが必要
9 AWS Fargate の⼀時ストレージ暗号化
10 Inspector のコンテナイメージスキャン
11 Inspector のコンテナイメージスキャン
• Inspector Scan API が提供された ◦ API 自体の利用は無料 ▪ Inspector
v2 API とはスキーマが異なる ◦ CI/CD パイプラインでスキャンの実装が楽になった • SBOM(ソフトウェアの部品表)から脆弱性スキャン • Jenkins, TeamCity は発表初期からマネージド統合 12 re:Invent 2023 のおさらい
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 13 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 14 今回のアップデート
• コンテナイメージの脆弱性以外に ◦ Dockerfile の設定不備(misconfiguration)を検出 • スキャン方法 ◦ コンテナイメージ内の
Dockerfile ◦ Dockerfile を含むディレクトリ ◦ Dockerfile 本体をターゲットにした場合 15 Dockerfile の設定不備をスキャン可能に
検出項目 • sudo のバイナリが含まれる • apt-get update/install を複数行の RUN で実行
• 認証情報がハードコードされている • 特権モードで実行している • 各ランタイムでの脆弱な環境変数の設定 • 各ランタイムでの脆弱なコマンドフラグの設定 16 Dockerfile の設定不備をスキャン可能に
17 Dockerfile の設定不備をスキャン可能に
18 Dockerfile の設定不備をスキャン可能に
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 19 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 20 今回のアップデート
• uses で簡単に設定可能 21 Github Actions と CodeCatalyst に統合
• スキャン結果をマークダウン で出力可能 22 Github Actions と CodeCatalyst に統合
23 Github Actions と CodeCatalyst に統合
24 Github Actions と CodeCatalyst に統合
• コンテナセキュリティアップデートがいくつかあった • ECS の一時ストレージ暗号化対応 ◦ ストレージ領域の暗号化をコンプリート • Inspector v2
◦ Github Actions と CodeCatalyst で CI/CD 統合 ◦ Dockerfile の設定不備もみるようになった ▪ これからに期待ですね 25 まとめ