Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
re:Inforce 2024 コンテナセキュリティアップデートまとめ
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
takakuni
June 21, 2024
460
0
Share
re:Inforce 2024 コンテナセキュリティアップデートまとめ
takakuni
June 21, 2024
More Decks by takakuni
See All by takakuni
ECS Express Mode
takakuni
0
31
AWS WAF Anti-DDoS Protection in 5 Minutes!
takakuni
0
550
AWS Backup Air-Gapped Vaults with Multi-Party Approval Explained in 5 Minutes!
takakuni
0
260
5min GuardDuty Extended Threat Detection EKS
takakuni
0
330
OpenAI models overview 202505
takakuni
0
390
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
takakuni
0
260
Classmethod AI Talks #13
takakuni
0
380
About Extended Threat Detection in Amazon GuardDuty
takakuni
0
370
SageMaker Hyperpod 101 #regrowth_sapporo
takakuni
1
390
Featured
See All Featured
BBQ
matthewcrist
89
10k
Odyssey Design
rkendrick25
PRO
2
610
Code Review Best Practice
trishagee
74
20k
Paper Plane (Part 1)
katiecoart
PRO
0
7.3k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
560
Balancing Empowerment & Direction
lara
6
1.1k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
54k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
5.9k
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
290
The #1 spot is gone: here's how to win anyway
tamaranovitovic
2
1k
Chasing Engaging Ingredients in Design
codingconduct
0
190
Transcript
クラスメソッド株式会社 たかくに 2024.06.17 1 re:Inforce 2024 コンテナセキュリティアップデートまとめ
2 自己紹介 たかくに • 所属:クラスメソッド株式会社 • 部署:AWS 事業本部コンサルティング部 • ロール:ソリューションアーキテクト
• 最近の推し:Amazon Bedrock 周り
3 アジェンダ • AWS Fargate の一時ストレージ暗号化 • Inspector のコンテナイメージスキャン
◦ GHA, CodeCatalyst の統合サポート ◦ Dockerfile の設定不備を検出
4 AWS Fargate の一時ストレージ暗号化
5 Dance like nobody’s watching, encrypt like everybody is.
人目を気にせず、自分らしく踊りましょう みんながしているように暗号化しましょう Werner Vogels, Amazon CTO
6 AWS Fargate の一時ストレージ暗号化
7 AWS Fargate の一時ストレージ暗号化
8 AWS Fargate の一時ストレージ暗号化 • 一時ストレージを CMK で暗号化可能に ◦
CMK:カスタマーマネージドキー • ECS で扱う全てのストレージ領域で KMS が利用可能に ◦ Platform v1.4.0 以降 ◦ Linux コンテナのみ対応
• キーポリシー で許可 ◦ タスク実行ロール、タスクロールでは特に何もしない • 既存サービスへの適用 ◦ タスクの置き換えが必要
9 AWS Fargate の⼀時ストレージ暗号化
10 Inspector のコンテナイメージスキャン
11 Inspector のコンテナイメージスキャン
• Inspector Scan API が提供された ◦ API 自体の利用は無料 ▪ Inspector
v2 API とはスキーマが異なる ◦ CI/CD パイプラインでスキャンの実装が楽になった • SBOM(ソフトウェアの部品表)から脆弱性スキャン • Jenkins, TeamCity は発表初期からマネージド統合 12 re:Invent 2023 のおさらい
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 13 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 14 今回のアップデート
• コンテナイメージの脆弱性以外に ◦ Dockerfile の設定不備(misconfiguration)を検出 • スキャン方法 ◦ コンテナイメージ内の
Dockerfile ◦ Dockerfile を含むディレクトリ ◦ Dockerfile 本体をターゲットにした場合 15 Dockerfile の設定不備をスキャン可能に
検出項目 • sudo のバイナリが含まれる • apt-get update/install を複数行の RUN で実行
• 認証情報がハードコードされている • 特権モードで実行している • 各ランタイムでの脆弱な環境変数の設定 • 各ランタイムでの脆弱なコマンドフラグの設定 16 Dockerfile の設定不備をスキャン可能に
17 Dockerfile の設定不備をスキャン可能に
18 Dockerfile の設定不備をスキャン可能に
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 19 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 20 今回のアップデート
• uses で簡単に設定可能 21 Github Actions と CodeCatalyst に統合
• スキャン結果をマークダウン で出力可能 22 Github Actions と CodeCatalyst に統合
23 Github Actions と CodeCatalyst に統合
24 Github Actions と CodeCatalyst に統合
• コンテナセキュリティアップデートがいくつかあった • ECS の一時ストレージ暗号化対応 ◦ ストレージ領域の暗号化をコンプリート • Inspector v2
◦ Github Actions と CodeCatalyst で CI/CD 統合 ◦ Dockerfile の設定不備もみるようになった ▪ これからに期待ですね 25 まとめ
Your Podcast. Everywhere. Effortlessly.
takakuni
matthewcrist
rkendrick25
trishagee
katiecoart
tammyeverts
lara
rocio
destraynor
reverentgeek
skoyamalab
tamaranovitovic
codingconduct
