Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Lizさんに届け! AWS Jr. ChampionとTop Engineerが 書籍コンテナ...

Avatar for x-blood x-blood
October 16, 2023
Technology
1.6k
0

Lizさんに届け! AWS Jr. ChampionとTop Engineerが 書籍コンテナセキュリティを読んで感じたこと

Avatar for x-blood

x-blood

October 16, 2023

More Decks by x-blood

See All by x-blood
Amazon Q Developerで テストコードを生成してみた
Avatar for x-blood xblood
0
44
re:Inventで現地参加したコンテナ関連セッションを振り返る
Avatar for x-blood xblood
0
550
Amazon EKS Pod Identityで何が変わるのか
Avatar for x-blood xblood
0
1.1k
サーバーレスJava パフォーマンス選手権 at AWS Dev Day 2023 Tokyo
Avatar for x-blood xblood
2
1.5k
サーバーレスJavaの今 ~SnapStartとWeb Adapterを寄せて~
Avatar for x-blood xblood
4
3.7k
Finch OSSコードリーディング
Avatar for x-blood xblood
0
1.4k
ECS Service Connectでマイクロサービスを繋いでみた
Avatar for x-blood xblood
0
2.5k
AWS Glue Git統合のPoCでの活用
Avatar for x-blood xblood
0
230
Spring BootとKubernetesで実現する今どきのDevOps入門
Avatar for x-blood xblood
1
1.2k

Other Decks in Technology

See All in Technology
Databricks における 生成AIガバナンスの実践
Avatar for Takaaki Yayoi taka_aki
1
330
Platform Engineering as a Product: Criteria for Improvement and Multi-Tenant Design
Avatar for Kumo Ishikawa kumorn5s
0
510
実装は速くなった、レビューはどうする? ― 自身のレビューをAIで再現させるサーヴァントエンジニアリングのすゝめ / Implementation got faster. So what about reviews? — An invitation to Servant Engineering: Recreating your own code reviews with AI
Avatar for nrs nrslib
7
4.1k
サイバーセキュリティ概論 / Introduction to Cybersecurity
Avatar for Kenji Saito ks91
PRO
0
170
BigQuery の Cross-cloud Lakehouse への歩み
Avatar for Tomonori Hayashi / ぴーはや phaya72
2
590
Building applications in the Gemini API family.
Avatar for LINE Developers Taiwan line_developers_tw
PRO
0
2k
もりもり新機能を一挙紹介! AgentCoreに入門して、AWS上にAIエージェントを構築しよう
Avatar for みのるん minorun365
PRO
6
840
GoとSIMDとWasmの今。
Avatar for asuka askua
3
510
Oracle AI Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.5k
AI-DLCを活用した高品質・安全なAI駆動開発実践 / AI Driven Development with AI-DLC
Avatar for 吉田真吾 yoshidashingo
0
140
探して_入れて_作って_使う_Agent_Skills___LT.pdf
Avatar for 松尾淳平 peintangos
2
170
サプライチェーンセキュリティの空白地帯 - 信頼できる”依存性”の未来を考える
Avatar for Hiroki Suezawa (@rung) rung
PRO
2
740

Featured

See All Featured
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7.1k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2.3k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.4k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.5k
Measuring Dark Social's Impact On Conversion and Attribution
Avatar for Stephen Akadiri stephenakadiri
2
210
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
210
New Earth Scene 8
Avatar for Sydney Stone popppiees
3
2.3k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
21
1.5k
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
11
38k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
460

Transcript

  1. Lizさんに届け︕ AWS Jr. ChampionとTop Engineerが 書籍コンテナセキュリティを読んで 感じたこと 廣原 花⾳ &

    佐藤 靖幸 JAWS-UG コンテナ⽀部 x JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 1

  2. 本セッション(LT)について 本セッションでは、Japan AWS Jr. Champion として表彰された コンテナ初⼼者の視点で書籍コンテナセキュリティを 読んだ感想や、保護者的な⽴ち位置の Japan AWS

    Top Engineer が実践していること、 そしてAWSのコンテナ関連の機能追加についてお話します。 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 2

  3. ⾃⼰紹介 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 3

    廣原 花⾳(hiropy) @hiropy6387 好きな領域 フロント開発 バックエンド開発 クラウドインフラ(AWS) 好きなAWSサービス ControlTower

  4. ⾃⼰紹介 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 4

    佐藤 靖幸 @yasai_ls 得意領域 バックエンド開発 クラウドインフラ(AWS) © 佐藤靖幸 2023

  5. HiropyのJr.Champions活動について APN参加企業に所属する若⼿エンジニアが 未来のTop Engineersを⽬指しガンガン活動中︕ • 限定イベントへの参加 • Jr.Champions内での勉強会。 • 最近はTop

    Engineersも巻き込み中 • 社外イベントへの登壇 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 5 AWS界全体を若⼿の⼒で盛り上げていきます︕

  6. アジェンダ 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 6

    書籍「コンテナセキュリティ」を読了してみて コンテナセキュリティの取り組みで実践したこと AWS Security Hub による Amazon ECS コントロール ECRイメージの脆弱性スキャン Amazon EKS における GitOps その他の取り組み AWSにおけるコンテナセキュリティの機能トピック AWS Signer EKSクラスター 拡張サポート まとめ

  7. 書籍「コンテナセキュリティ」を 読了してみて 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ

    7

  8. 読書感想 – From 廣原 • コンテナセキュリティ初⼼者なので、 そもそものコンテナの仕組みから触れていただくことで 「なぜこの脅威が発⽣するのか」から知ることができました。 • Docker

    buildの危険性については、そもそも考えたことが なかったので、何事にも脅威は潜んでいることを 改めて認識させられました。 • CI/CDを組む時のセキュリティも何となくしか 知らなかったので、特に「マルチステージビルドにして サイズを⼩さくし、攻撃の範囲を狭くする」は とても勉強になりました。 • 個⼈的にはコマンドがあるのが嬉しいです。 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 8

  9. 読書感想 – From 佐藤 • 脅威の定義・関係するアクター・攻撃⼿段が明確に 記載されており、体系的な知識を網羅する書籍として ⼤変重宝しています。 • 最後のチェックリストは神がかっている。業務でそのまま

    利⽤してもよいくらいに。 • コンテナセキュリティのはじめの1歩は Linuxの権限制御の仕組みを知ること。 • コンテナのビルドは継続的デプロイの仕組みを利⽤して ⾃動化を徹底したほうがよさそう。 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 9

  10. コンテナセキュリティの取り組みで 実践したこと 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ

    10

  11. AWS Security Hub による Amazon ECS コントロール 2023/10/16 JAWS-UG コンテナ⽀部

    × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 11 Amazon ECS コントロール [ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードと ユーザー定義が必要です。 [ECS.2] ECS サービスには、パブリック IP アドレスを ⾃動で割り当てないでください [ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を 共有しないでください [ECS.4] ECS コンテナは、⾮特権として実⾏する必要があります [ECS.5] ECS コンテナは、ルートファイルシステムへの 読み取り専⽤アクセスに制限する必要があります。 [ECS.8] シークレットは、コンテナ環境の変数として渡さないでください [ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実⾏する必要があります。 [ECS.12] ECS クラスターはコンテナインサイトを使⽤する必要があります

  12. ECRイメージの脆弱性スキャン • ECRのイメージスキャン機能によるスキャン • Amazon Inspector V2による拡張スキャン 2023/10/16 JAWS-UG コンテナ⽀部

    × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 12

  13. Amazon EKS における GitOPS 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部

    #1 今知りたいコンテナセキュリティ 13

  14. その他の取り組み • Synkによる脆弱性スキャンのシフトレフト • kubesec や ArgoCD Vault Pluginによるシークレット管理 2023/10/16

    JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 14 https://blog.mmmcorp.co.jp/2022/02/24/yassan-argocd-with-aws-secrets-manager/

  15. AWSにおけるコンテナセキュリティの 気になるトピック 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ

    15 今をときめくAWSにおける コンテナセキュリティの トピック

  16. AWS Signer • AWSのコード署名機能である AWS Signerがコード署名だけ でなく、コンテナイメージの 署名をサポート • ECRのOCIディストリビューショ

    ン機能を使⽤して署名情報を イメージと⼀緒に格納可能 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 16

  17. AWS Signer with EKS • EKSでDynamic Admission Controlを⽤いて、Podのデプロ イメントを⾏うタイミングでコ ンテナイメージの署名を検証す

    ることが出来る。 • OSS プロジェクト kyverno-notation-aws がある 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 17

  18. Amazon EKSクラスター 拡張サポート • Amazon EKSは常に少なくとも4つの Kubernetesバージョンをサポート • 拡張サポートは、初期サポートで14ヶ⽉、 拡張サポートで12ヶ⽉の合計26ヶ⽉、

    Kubernetesのバージョンを実⾏可能 • 現在はプレビュー中のため無料。2024年 初頭に拡張サポートが⼀般提供されると 時間毎に追加料⾦が発⽣ 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 18

  19. まとめ 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 19

  20. 書籍コンテナセキュリティを読んで コンテナセキュリティに取り組もう︕ • コンテナ初⼼者・経験者の視点で書籍コンテナセキュリティを 読了した感想をお届けしました︕ • 書籍コンテナセキュリティはとてもいい本です︕ 本書を読んで、コンテナセキュリティに 取り組んでいきましょう︕ 2023/10/16

    JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 20

  21. 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 21