Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
re:Inforce 2024 コンテナセキュリティアップデートまとめ
Search
takakuni
June 21, 2024
0
370
re:Inforce 2024 コンテナセキュリティアップデートまとめ
takakuni
June 21, 2024
Tweet
Share
More Decks by takakuni
See All by takakuni
サンプルサンプル株式会社 会社説明資料
takakuni
0
690
AWS re:Inforce 2024 個人的推しアップデート総まとめ(仮)
takakuni
0
1.2k
Backlog Git を AWS に繋ぎ コンテナイメージをビルドしてみた
takakuni
0
140
巷で話題の SOCI についてのお話
takakuni
0
190
NW-JAWS #11 re:Cap 2023 Amazon Q network trouble shooting について
takakuni
0
1.2k
re:Invent 2023 コンテナイメージスキャンどうなった!?
takakuni
0
1.8k
AWS Engineer Meetsup 2023 登壇資料
takakuni
0
3.2k
JAWS-UG 朝会 #43 登壇資料
takakuni
0
1.2k
JAWS-UG 横浜 #54 資料
takakuni
0
600
Featured
See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
167
49k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Building Applications with DynamoDB
mza
90
6k
How to train your dragon (web standard)
notwaldorf
87
5.6k
For a Future-Friendly Web
brad_frost
174
9.4k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
225
22k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
126
18k
A better future with KSS
kneath
237
17k
Into the Great Unknown - MozCon
thekraken
31
1.4k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
26
4.1k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Transcript
クラスメソッド株式会社 たかくに 2024.06.17 1 re:Inforce 2024 コンテナセキュリティアップデートまとめ
2 自己紹介 たかくに • 所属:クラスメソッド株式会社 • 部署:AWS 事業本部コンサルティング部 • ロール:ソリューションアーキテクト
• 最近の推し:Amazon Bedrock 周り
3 アジェンダ • AWS Fargate の一時ストレージ暗号化 • Inspector のコンテナイメージスキャン
◦ GHA, CodeCatalyst の統合サポート ◦ Dockerfile の設定不備を検出
4 AWS Fargate の一時ストレージ暗号化
5 Dance like nobody’s watching, encrypt like everybody is.
人目を気にせず、自分らしく踊りましょう みんながしているように暗号化しましょう Werner Vogels, Amazon CTO
6 AWS Fargate の一時ストレージ暗号化
7 AWS Fargate の一時ストレージ暗号化
8 AWS Fargate の一時ストレージ暗号化 • 一時ストレージを CMK で暗号化可能に ◦
CMK:カスタマーマネージドキー • ECS で扱う全てのストレージ領域で KMS が利用可能に ◦ Platform v1.4.0 以降 ◦ Linux コンテナのみ対応
• キーポリシー で許可 ◦ タスク実行ロール、タスクロールでは特に何もしない • 既存サービスへの適用 ◦ タスクの置き換えが必要
9 AWS Fargate の⼀時ストレージ暗号化
10 Inspector のコンテナイメージスキャン
11 Inspector のコンテナイメージスキャン
• Inspector Scan API が提供された ◦ API 自体の利用は無料 ▪ Inspector
v2 API とはスキーマが異なる ◦ CI/CD パイプラインでスキャンの実装が楽になった • SBOM(ソフトウェアの部品表)から脆弱性スキャン • Jenkins, TeamCity は発表初期からマネージド統合 12 re:Invent 2023 のおさらい
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 13 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 14 今回のアップデート
• コンテナイメージの脆弱性以外に ◦ Dockerfile の設定不備(misconfiguration)を検出 • スキャン方法 ◦ コンテナイメージ内の
Dockerfile ◦ Dockerfile を含むディレクトリ ◦ Dockerfile 本体をターゲットにした場合 15 Dockerfile の設定不備をスキャン可能に
検出項目 • sudo のバイナリが含まれる • apt-get update/install を複数行の RUN で実行
• 認証情報がハードコードされている • 特権モードで実行している • 各ランタイムでの脆弱な環境変数の設定 • 各ランタイムでの脆弱なコマンドフラグの設定 16 Dockerfile の設定不備をスキャン可能に
17 Dockerfile の設定不備をスキャン可能に
18 Dockerfile の設定不備をスキャン可能に
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 19 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 20 今回のアップデート
• uses で簡単に設定可能 21 Github Actions と CodeCatalyst に統合
• スキャン結果をマークダウン で出力可能 22 Github Actions と CodeCatalyst に統合
23 Github Actions と CodeCatalyst に統合
24 Github Actions と CodeCatalyst に統合
• コンテナセキュリティアップデートがいくつかあった • ECS の一時ストレージ暗号化対応 ◦ ストレージ領域の暗号化をコンプリート • Inspector v2
◦ Github Actions と CodeCatalyst で CI/CD 統合 ◦ Dockerfile の設定不備もみるようになった ▪ これからに期待ですね 25 まとめ