Upgrade to Pro — share decks privately, control downloads, hide ads and more …

TrivyでAWSセキュリティをシフトレフトしよう

株式会社ビットキー / Bitkey Inc.
PRO
May 24, 2023
Technology
2
1.4k

 TrivyでAWSセキュリティをシフトレフトしよう

株式会社ビットキー / Bitkey Inc.
PRO

May 24, 2023
Tweet

More Decks by 株式会社ビットキー / Bitkey Inc.

See All by 株式会社ビットキー / Bitkey Inc.
多領域インシデントマネジメントへの挑戦:ハードウェアとソフトウェアの融合が生む課題/Challenge to multidisciplinary incident management: Issues created by the fusion of hardware and software
bitkey
PRO
2
78
GORM v1 → v2に移行したときの変更点/Changes when moving from GORM v1 to v2
bitkey
PRO
1
44
うまくいく! を実現するための質問力 / It works! The Power of Questions to Make It Happen
bitkey
PRO
1
320
ビットキーの中核を担うプロダクトで テスト自動化を駆使して安定的なリリースを実現する/At the core of BitKey's products Achieving stable releases through the use of test automation
bitkey
PRO
1
83
共創するアーキテクチャ ~チーム全体で築く持続可能な開発エコシステム~ / Co-Creating Architecture - A Sustainable Development Ecosystem Built by the Entire Team
bitkey
PRO
2
5.7k
キャンセルします!処理を / Cancels the process!
bitkey
PRO
1
130
Waroomを使って ハードウェアからソフトウェアまで 領域横断してインシデントマネジメント始めてみた /I started incident management using Waroom across domains from hardware to software.
bitkey
PRO
1
120
データを用いてサービス品質の向上に貢献!! SREのプラクティスを用いた守りのデータ分析 / Using Data to Improve Service Quality! Defensive data analysis using SRE practices
bitkey
PRO
2
140
“共通化”で失敗したモデリング実例 / Modeling examples of failures due to "commonization
bitkey
PRO
3
210

Other Decks in Technology

See All in Technology
Kubernetesトラフィックルーティング徹底解説/Kubernetes-traffic-deep-dive
oracle4engineer
PRO
5
1.1k
Oracle Database Release and Support Timelines 2024/12/11
wmo6hash
0
300
継続的にアウトカムを生み出し ビジネスにつなげる、 戦略と運営に対するタイミーのQUEST(探求)
zigorou
0
360
10分で学ぶKubernetesコンテナセキュリティ/10min-k8s-container-sec
mochizuki875
2
150
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて
nagisa53
0
200
[Ruby] Develop a Morse Code Learning Gem & Beep from Strings
oguressive
1
110
How to be an AWS Community Builder | 君もAWS Community Builderになろう!〜2024 冬 CB募集直前対策編?!〜
coosuke
PRO
2
2.7k
目玉アップデート!のSageMaker LakehouseとUnified Studioは何たるかを見てみよう!
nayuts
0
250
生成AIのガバナンスの全体像と現実解
fnifni
1
150
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
1
130
Amazon SageMaker Unified Studio(Preview)、Lakehouse と Amazon S3 Tables
ishikawa_satoru
0
150
ずっと昔に Star をつけたはずの 思い出せない GitHub リポジトリを見つけたい!
rokuosan
0
140

Featured

See All Featured
GitHub's CSS Performance
jonrohan
1030
460k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
Unsuck your backbone
ammeep
669
57k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
8.3k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Making the Leap to Tech Lead
cromwellryan
133
9k
How STYLIGHT went responsive
nonsquared
95
5.2k
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
Side Projects
sachag
452
42k
The Language of Interfaces
destraynor
154
24k
Faster Mobile Websites
deanohume
305
30k
Thoughts on Productivity
jonyablonski
67
4.3k

Transcript

  1. Copyright © 2023 Bitkey Inc. All right reserved. TrivyでAWSセキュリティをシフトレフトしよう Qiita

    Night 〜AWS vol.2〜 登壇資料 (2023/05/24) 株式会社ビットキー 星野貴信 2023/05/24

  2. 2 Copyright © 2023 Bitkey Inc. All right reserved. 発表スライドは公開済みのためBitkey

    DevelopersのTwitterアカウントから手 元に開いてお楽しみください スライドへのリンク

  3. 3 Copyright © 2023 Bitkey Inc. All right reserved. 自己紹介

    星野 貴信 Hoshino Takanobu 2014.03 2020.01 2022.11 ソフトウェアエンジニアとしてキャリアを開始 受託開発でRubyやPHPによるWebアプリケーションを 開発する過程で、AWSの面白さに目覚め、インフラ方 面に進む 株式会社LCL クラウドエンジニアとしてサービス運用改善やAWSの 活用をリード 株式会社ビットキー SREとして入社し、現在はSETとのハイブリッド 品質を軸に多方面に活動 好きなAWSサービス

  4. 4 Copyright © 2023 Bitkey Inc. All right reserved. Devトークの案内

    We are hiring ! & Devトークあります https://jobs.qiita.com/employers/240/dev_talks/566

  5. 5 Copyright © 2023 Bitkey Inc. All right reserved. 会社紹介

    https://speakerdeck.com/bitkey/yuzati-yan-woxiang-shang-saserukagiha-fen-duan-nojie-xiao-jue-dui-nizhi-merare naisumatorotukuwoxi-usisutemunoli-ce?slide=2

  6. 6 Copyright © 2023 Bitkey Inc. All right reserved. 会社紹介

    https://speakerdeck.com/bitkey/yuzati-yan-woxiang-shang-saserukagiha-fen-duan-nojie-xiao-jue-dui-nizhi-merare naisumatorotukuwoxi-usisutemunoli-ce?slide=11

  7. 7 Copyright © 2023 Bitkey Inc. All right reserved. 会社紹介

    https://speakerdeck.com/bitkey/yuzati-yan-woxiang-shang-saserukagiha-fen-duan-nojie-xiao-jue-dui-nizhi-merare naisumatorotukuwoxi-usisutemunoli-ce?slide=15

  8. 8 Copyright © 2023 Bitkey Inc. All right reserved. この発表から得られること

    1. クラウドインフラ、特にAWSに対する Infrastructure as Codeのテスト技法 2. セキュリティスキャナ Trivyの概要と導 入時のポイント

  9. 9 Copyright © 2023 Bitkey Inc. All right reserved. 今日話すこと

    SREかつSETということで、 今日はクラウドインフラのテストについ て話します!

  10. 10 Copyright © 2023 Bitkey Inc. All right reserved. 今日話すこと

    クラウドインフラのテストの中から Infrastructure as Code(IaC)のテスト技 法を取り上げます

  11. 11 Copyright © 2023 Bitkey Inc. All right reserved. Outline

    1. なぜクラウドインフラをテストするのか 2. Infrastructure as Codeのテスト技法 3. Trivyの概要 4. Trivy運用時のTips 5. まとめ

  12. 12 Copyright © 2023 Bitkey Inc. All right reserved. 1.

    なぜクラウドインフラをテストするのか

  13. 13 Copyright © 2023 Bitkey Inc. All right reserved. ビットキーは事業領域が広く、プロダクトが多

    岐に渡ります そのようなプロダクト群を支えるインフラは、 マルチクラウドで、携わる開発者も増加します 1. なぜクラウドインフラをテストするのか クラウドインフラをテストする目的

  14. 14 Copyright © 2023 Bitkey Inc. All right reserved. 規模が大きくなればなるほど、セキュリティな

    ど、チェックしなければいけない項目は増加し ます 全容を把握するのが難しく、包括的なチェック には時間がかかってしまいます 1. なぜクラウドインフラをテストするのか クラウドインフラをテストする目的

  15. 15 Copyright © 2023 Bitkey Inc. All right reserved. ソフトウェアを開発するようにクラウドインフ

    ラもデプロイ前にテストがしたい テストによるフィードバックを早める「シフト レフト」をします 1. なぜクラウドインフラをテストするのか クラウドインフラをテストする目的

  16. 16 Copyright © 2023 Bitkey Inc. All right reserved. IaC化をすることで、事前のテストを容易にし

    てシフトレフトを加速させることができます 1. なぜクラウドインフラをテストするのか クラウドインフラをテストする目的

  17. 17 Copyright © 2023 Bitkey Inc. All right reserved. 2.

    Infrastructure as Codeのテスト技法

  18. 18 Copyright © 2023 Bitkey Inc. All right reserved. 2.

    Infrastructure as Codeのテスト技法 IaCにどのようなテスト技法があるか 1. リンターによるシンタックスチェック + α 2. Policy as Codeによるカスタムチェック 3. 静的解析によるセキュリティチェック 4. 実際にデプロイしてリソースを作成する

  19. 19 Copyright © 2023 Bitkey Inc. All right reserved. 2.

    Infrastructure as Codeのテスト技法 1. リンターによるシンタックスチェック + α ・terraform validate CLIにビルトインされているシンタックスチェック ・TFLint 事前定義されたルールセットでベストプラクティスなどをチェック ・cfn-lint CloudFormation Resource Specificationに沿っているかやベストプラク ティスのチェック

  20. 20 Copyright © 2023 Bitkey Inc. All right reserved. 2.

    Infrastructure as Codeのテスト技法 2. Policy as Codeによるカスタムチェック ・Hachicorp Sentinel Hashicorpのプロダクト専用のPolicy as Codeのフレームワーク ・Conftest Policy記述言語RegoによるOpen Policy AgentのPolicy適用をサポートす るユーティリティ CloudFormation専用ではなく汎用のツールのため、Terraformでも使え ます ※Policy as Codeは前述のリンターでカバーしきれない、独自のルールを定義してチェックすることを支援 します

  21. 21 Copyright © 2023 Bitkey Inc. All right reserved. 2.

    Infrastructure as Codeのテスト技法 3. 静的解析によるセキュリティチェック ・Trivy ・Checkcov ・Terrascan ・Synk Infrastructure 主にOSSとして提供されていたり、SaaS の1機能として利用可能です

  22. 22 Copyright © 2023 Bitkey Inc. All right reserved. 2.

    Infrastructure as Codeのテスト技法 ・Terratest TerraformをApplyしてリソースを検証可能なユーティリティを提供して いる ・TaskCat CloudFormation Templateをマルチリージョンにデプロイして成否のレ ポートを生成するツール ※これらのツールは大規模環境でプラットフォームエンジニアリングチームが、社内に配布するTerraform モジュールやCloudFormation Templateを継続的にメンテし続ける用途で使われると想像しています 4. 実際にデプロイしてリソースを作成する

  23. 23 Copyright © 2023 Bitkey Inc. All right reserved. クラウドインフラの主要なテスト技法

    1. 静的なコード検査 2. 動的なデプロイ実行 ここまでのまとめ

  24. 24 Copyright © 2023 Bitkey Inc. All right reserved. ここまでのまとめ

    特に静的なコード検査は、素早いフィード バックを得ることで、インフラ構築をより 安全にミスなく行うことを支援します

  25. 25 Copyright © 2023 Bitkey Inc. All right reserved. 3.

    Trivyの概要

  26. 26 Copyright © 2023 Bitkey Inc. All right reserved. ここからは紹介したツー

    ルのうちセキュリティス キャナのTrivyを取り上げ ます 3. Trivyの概要 Trivyの紹介

  27. 27 Copyright © 2023 Bitkey Inc. All right reserved. ・コンテナイメージ

    ・ファイルシステム ・Gitリポジトリ ・VMイメージ ・Kubernetes ・AWS 3. Trivyの概要 Trivyの紹介 多様なスキャン対象

  28. 28 Copyright © 2023 Bitkey Inc. All right reserved. ・OSパッケージ

    ・SWの依存パッケージ ・既知の脆弱性(CVEs) ・IaCのセキュリティ ・AWSアクセスキーなど ・ソフトウェアライセンス 3. Trivyの概要 Trivyの紹介 多様な検出対象

  29. 29 Copyright © 2023 Bitkey Inc. All right reserved. Trivyの前身にあたるTerraformのセキュリ

    ティスキャナとしてtfsecが開発されていま した https://github.com/aquasecurity/tfsec 3. Trivyの概要 tfsecとの関係

  30. 30 Copyright © 2023 Bitkey Inc. All right reserved. tfsecもAqua

    Securityによって買収された ことでTrivyに統合されることとなりました 3. Trivyの概要 tfsecとの関係

  31. 31 Copyright © 2023 Bitkey Inc. All right reserved. Trivyに移行を推奨するアナウンスが出てい

    ますので、もし利用中の方が移行を進めま しょう https://github.com/aquasecurity/tfsec/discussions/1994 3. Trivyの概要 tfsecとの関係

  32. 32 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips

  33. 33 Copyright © 2023 Bitkey Inc. All right reserved. TerraformでS3バケットを作成します

    4. Trivy運用時のTips Tirvyを実際に使ってみる

  34. 34 Copyright © 2023 Bitkey Inc. All right reserved. Trivyを実行します

    4. Trivy運用時のTips Tirvyを実際に使ってみる

  35. 35 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  36. 36 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  37. 37 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  38. 38 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  39. 39 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  40. 40 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  41. 41 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  42. 42 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  43. 43 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる

  44. 44 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips Tirvyを実際に使ってみる 😳

  45. 45 Copyright © 2023 Bitkey Inc. All right reserved. 1.

    パブリックアクセスブロックの未設定 2. バケット暗号化の未設定 3. バケットロギングの未設定 4. バケットバージョニングの未設定 5. カスタマーマネージドキーによる暗号化の未設定 4. Trivy運用時のTips チェックの内訳

  46. 46 Copyright © 2023 Bitkey Inc. All right reserved. 紹介したチェックのうち、この2つの項目は可能な限り対

    応するのが望ましいと考えます ・パブリックアクセスブロックの未設定 ・バケット暗号化の未設定 4. Trivy運用時のTips チェックとの向き合い方 ※ 2023年4月から全ての新しいバケットに対してパブリックアクセスブロックが有効化、アクセス コントロールリストが無効化されているため、誤ってバケットがパブリックになるリスクは減って いますが明示的に設定することは依然として有効です https://aws.amazon.com/jp/about-aws/whats-new/2022/12/amazon-s3-automatically-ena ble-block-public-access-disable-access-control-lists-buckets-april-2023/

  47. 47 Copyright © 2023 Bitkey Inc. All right reserved. 他の項目は要件と相談して対応可否を決定しましょう

    ・バケットロギングの未設定 ・バケットバージョニングの未設定 ・カスタマーマネージドキーによる暗号化の未設定 4. Trivy運用時のTips チェックとの向き合い方

  48. 48 Copyright © 2023 Bitkey Inc. All right reserved. 4.

    Trivy運用時のTips チェックを解消したコード バケットバージョニング とバケットロギングは ignoreするコメントを追 加 Customer Managed Key でバケットを暗号化 パブリックアクセスをブ ロック

  49. 49 Copyright © 2023 Bitkey Inc. All right reserved. Trivyの実行を開発者が毎回手で実行していては抜け漏れ

    が発生しがちです アプリケーション開発と同じように、Gitのpre-commit hookや、GitHub ActionsなどのCI環境で自動実行される ようにしましょう 4. Trivy運用時のTips 自動で実行しよう ※ Trivyのようなリポジトリで利用するCLIはaquaで管理すると導入がスムーズです https://aquaproj.github.io/

  50. 50 Copyright © 2023 Bitkey Inc. All right reserved. 5.

    まとめ

  51. 51 Copyright © 2023 Bitkey Inc. All right reserved. 5.

    まとめ Trivyによって、TerraformやCloudFormationで記述さ れたAWSインフラのセキュリティチュックを自動化して シフトレフトすることできました チェックは鵜呑みにせず、要件に応じて向き合っていき ましょう Happy Testing !

  52. 52 End of File Copyright © 2023 Bitkey Inc. All

    right reserved.