Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ECS × AWS Signer を使ったイメージ署名ワークフローを試してみた

k-ozawa
May 28, 2024
Technology
0
730

ECS × AWS Signer を使ったイメージ署名ワークフローを試してみた

k-ozawa

May 28, 2024
Tweet

More Decks by k-ozawa

See All by k-ozawa
our_eks_to_ecs_migration_chronicle.pdf
ozawa
0
26
コンソールで学ぶ!ECSの機能とオプション
ozawa
0
210
コンテナのCIについてインフラ目線で気にしておきたいこと
ozawa
0
84
Finchを触ってみて現状運用で使えそうか考えてみた
ozawa
0
330

Other Decks in Technology

See All in Technology
WACATE2024冬セッション資料(ユーザビリティ)
scarletplover
0
190
Wantedly での Datadog 活用事例
bgpat
1
430
プロダクト開発を加速させるためのQA文化の築き方 / How to build QA culture to accelerate product development
mii3king
1
260
PHPからGoへのマイグレーション for DMMアフィリエイト
yabakokobayashi
1
170
生成AIをより賢く エンジニアのための RAG入門 - Oracle AI Jam Session #20
kutsushitaneko
4
220
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
hirotomotaguchi
2
740
Fanstaの1年を大解剖! 一人SREはどこまでできるのか!?
syossan27
2
160
KubeCon NA 2024 Recap: How to Move from Ingress to Gateway API with Minimal Hassle
ysakotch
0
200
AWS re:Invent 2024 ふりかえり
kongmingstrap
0
130
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
280
5分でわかるDuckDB
chanyou0311
10
3.2k
あの日俺達が夢見たサーバレスアーキテクチャ/the-serverless-architecture-we-dreamed-of
tomoki10
0
430

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
44
9.3k
Unsuck your backbone
ammeep
669
57k
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
The Cult of Friendly URLs
andyhume
78
6.1k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
2
290
Building an army of robots
kneath
302
44k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Building Better People: How to give real-time feedback that sticks.
wjessup
365
19k
Designing Experiences People Love
moore
138
23k
Building Adaptive Systems
keathley
38
2.3k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k

Transcript

  1. ECS × AWS Signer を使った イメージ署名ワークフローを試してみた 2024年05⽉28⽇ NRIネットコム株式会社 NT事業本部 NTシステム事業⼆部

    尾澤公亮

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy デジタル署名/コンテナイメージ署名とは

    01 AWS Signerとは 02 イメージ署名・検証プロセスを組み込んだ ワークフローの⽅式例 03 運⽤上の考慮点 04 まとめ 05

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ⾃⼰紹介

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy nクラウドアーキテクト

    nAWS、コンテナを中⼼とした、 Webシステム設計/開発/運⽤/保守 nex.: ECS, EKS, Codeシリーズ 尾澤 公亮(KOSUKE OZAWA)

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy デジタル署名/コンテナイメージ署名とは

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy そもそも。。。

    n デジタル署名とは? デジタル署名とは どうぞ You Me

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 送信者が意図するファイルが送られているかどうか

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ファイルへの署名

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 秘密鍵 ハッシュ

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 秘密鍵を使って署名(ハッシュの作成)

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 署名

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 本当にYouのファイルかどうか検証する

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 公開鍵を使ってファイルからハッシュを作成し、署名と突合

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ 検証

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 公開鍵を使ってファイルからハッシュを作成し、署名と突合

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ Meのハッシュ(ドポテト)と⼀緒や 検証

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 署名は「誰が作ったか」を証明するもの

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ Meのハッシュ(ドポテト)と⼀緒や 署名 検証

  14. 13 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 署名は「誰が作ったか」を証明するもの

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ Meのハッシュ(ドポテト)と⼀緒や 署名 検証 署名と検証によって完全性を担保

  15. 14 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ちなみに。。。

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ

  16. 15 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 改ざんされると。。。

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ 改ざん

  17. 16 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ハッシュが異なる

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ Meのハッシュ(ドビーフ)とちゃうやんけ 改ざん

  18. 17 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ハッシュが異なる

    n デジタル署名とは? デジタル署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ Meのハッシュ(ドビーフ)とちゃうやんけ 改ざん ハッシュが違う =想定するファイルではない (※改ざんされている)

  19. 18 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy コンテナイメージ署名とは

    n コンテナイメージ署名とは? コンテナイメージ署名とは どうぞ これほんまにYouが書いたん? You Me 署名⾒てや 秘密鍵 ハッシュ 公開鍵 ハッシュ Meのハッシュ(ドポテト)と⼀緒や 署名 検証

  20. 19 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy コンテナイメージに置き換わっただけ

    コンテナイメージ署名とは You Me 秘密鍵 ハッシュ 公開鍵 ハッシュ 署名 検証 コンテナ イメージ コンテナ イメージ コンテナ イメージ

  21. 20 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy コンテナイメージ署名を実現するツール

    nCosign l Sigstoreプロジェクトのツール l AWSだとKMSと連携して署名・検証が可能 l Finchに統合されている署名検証ツール nNotary l CNCFホストのプロジェクト l AWS Signer プラグインを⽤いてECR統合が可能 コンテナイメージ署名とは

  22. 21 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy コンテナイメージ署名を実現するツール

    nCosign l Sigstoreプロジェクトのツール l AWSだとKMSと連携して署名・検証が可能 l Finchに統合されている署名検証ツール nNotary l CNCFホストのプロジェクト l AWS Signer プラグインを⽤いてECR統合が可能 コンテナイメージ署名とは タグベース OCI準拠

  23. 22 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWS

    SignerではNotaryを使う nCosign l Sigstoreプロジェクトのツール l AWSだとKMSと連携して署名・検証が可能 l Finchに統合されている署名検証ツール nNotary l CNCFホストのプロジェクト l AWS Signer プラグインを⽤いてECR統合が可能 コンテナイメージ署名とは タグベース OCI準拠

  24. 23 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy コンテナイメージにおける署名の実体

    コンテナイメージ署名とは ORAS「Understanding OCI artifacts」 https://oras.land/docs/concepts/artifact/

  25. 24 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy コンテナイメージ署名のユースケース

    コンテナイメージ署名とは Image Amazon ECR Amazon ECS 開発 テスト

  26. 25 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy テストを通過したイメージだけを環境にデプロイしたい

    コンテナイメージ署名とは Image Amazon ECR Amazon ECS 開発 テスト Image

  27. 26 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy テストを通過したイメージだけを環境にデプロイしたい

    コンテナイメージ署名とは Image Amazon ECR Amazon ECS 開発 テスト Image テストを通過したイメージに対して署名 ↓ 検証できたイメージのみデプロイ (例:CodeBuild, Lambda等によるフック処理)

  28. 27 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWS

    Signerとは

  29. 28 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy フルマネージドなコード署名サービス

    n署名プロファイルを作成することで、 これによる署名・検証が可能 nNotary統合による コンテナイメージ署名が可能 AWS Signerとは AWS Signer

  30. 29 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy コンソール画⾯

    AWS Signerとは

  31. 30 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 署名プラットフォーム

    AWS Signerとは Notation⽤プラットフォームを選択

  32. 31 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ざっくり署名・検証フロー

    AWS Signerとは AWS Signer Client Image

  33. 32 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy notationコマンドを使う

    AWS Signerとは AWS Signer Client notation sign/verify (notation = Notary CLI) Image

  34. 33 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy Signerプラグイン経由で署名プロファイルを呼び出す

    AWS Signerとは AWS Signer Client notation sign/verify (notation = Notary CLI) 署名プロファイルの呼び出し Image

  35. 34 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy イメージ署名・検証プロセスを組み込んだ

    ワークフローの⽅式例

  36. 35 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ⽅式図

    イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeCommit AWS CodeBuild Amazon ECR AWS CodeBuild Amazon ECS Source Pull Image Push Image Pull AWS CodeCommit Source Pull AWS Signer Im age Signing Image Verify

  37. 36 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ⽅式図

    イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeCommit AWS CodeBuild Amazon ECR AWS CodeBuild Amazon ECS Source Pull Image Push Image Pull AWS CodeCommit Source Pull 署名 検証 AWS Signer Im age Signing Image Verify

  38. 37 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 署名プロセス

    nAWS CodeCommit l Dockerfile l 各種ソースファイル nAWS CodeBuild l Notaryクライアントのセットアップ l コンテナイメージへの署名(notation sign) l Amazon ECRにイメージをPush イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeCommit AWS CodeBuild Source Pull Image Push Amazon ECR AWS Signer Im age Signing

  39. 38 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 署名プロセス

    nAWS CodeCommit l Dockerfile l 各種ソースファイル nAWS CodeBuild l Notaryクライアントのセットアップ l コンテナイメージへの署名(notation sign) l Amazon ECRにイメージをPush イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeCommit AWS CodeBuild Source Pull Image Push Amazon ECR AWS Signer Im age Signing

  40. 39 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy buildspecの中⾝

    イメージ署名・検証プロセスを組み込んだワークフローの⽅式例

  41. 40 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy Notaryクライアントのセットアップ

    イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 installフェーズで、AWSが公開するインストーラパッケージを取得 https://docs.aws.amazon.com/signer/latest/developerguide/image- signing-prerequisites.html

  42. 41 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy コンテナイメージへの署名(notation

    sign) イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 buildフェーズでコンテナイメージに署名 イメージダイジェストの取得→notation signの実⾏

  43. 42 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 検証プロセス

    nAWS CodeCommit l trust_policy.json ※後述 nAWS CodeBuild l Notaryクライアントのセットアップ l Amazon ECRからイメージをPull l イメージ署名の検証(notation verify) l ECSデプロイ 実際は下記で制御する想定 ・AWS CodePipeline ・AWS CodeDeploy イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeBuild Amazon ECS Image Pull AWS CodeCommit Amazon ECR AWS Signer Image Verify

  44. 43 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 検証プロセス

    nAWS CodeCommit l trust_policy.json ※後述 nAWS CodeBuild l Notaryクライアントのセットアップ l Amazon ECRからイメージをPull l イメージ署名の検証(notation verify) l ECSデプロイ 実際は下記で制御する想定 ・AWS CodePipeline ・AWS CodeDeploy イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeBuild Amazon ECS Image Pull AWS CodeCommit Amazon ECR AWS Signer Image Verify

  45. 44 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy buildspecの中⾝

    イメージ署名・検証プロセスを組み込んだワークフローの⽅式例

  46. 45 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy Notaryクライアントのセットアップ

    イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 上の⽅はさっきと⼀緒

  47. 46 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy Notaryクライアントのセットアップ

    イメージ署名・検証プロセスを組み込んだワークフローの⽅式例

  48. 47 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy trust

    policyのimport イメージ署名・検証プロセスを組み込んだワークフローの⽅式例

  49. 48 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy trust

    policyのimport イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 署名検証する際にNotaryクライアント側で truststore の設定が必要 フォーマットは下記参照 https://docs.aws.amazon.com/ja_jp/AmazonE CR/latest/userguide/image-signing.html

  50. 49 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy イメージ署名の検証(notation

    verify) イメージ署名・検証プロセスを組み込んだワークフローの⽅式例

  51. 50 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy イメージ署名の検証(notation

    verify) イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 イメージダイジェストをもとに署名検証する

  52. 51 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 作ってみて思ったこと

    イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeCommit AWS CodeBuild Amazon ECR AWS CodeBuild Amazon ECS Source Pull Image Push Image Pull AWS CodeCommit Source Pull AWS Signer Im age Signing Image Verify

  53. 52 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 作ってみて思ったこと

    その① Lambdaでいけたのでは? イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 AWS CodeCommit Amazon ECR Amazon ECS Image Push Image Pull AWS CodeCommit Source Pull AWS Lambda AWS Lambda Source Pull コンテナイメージ化すればいけそう AWS Signer Im age Signing Image Verify

  54. 53 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 作ってみて思ったこと

    その① Lambdaでいけたのでは?→できてそうだった イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 n AWSの中の⼈のブログ l https://containersonaws.com/pattern/ecs-fargate-container-image-signing- and-verification

  55. 54 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 作ってみて思ったこと

    その② Notary環境構築の⼿間 イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 n notationを実⾏できる環境を作らないといけない l truststoreの設定とか

  56. 55 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 作ってみて思ったこと

    その② Notary環境構築の⼿間 イメージ署名・検証プロセスを組み込んだワークフローの⽅式例 n notationを実⾏できる環境を作らないといけない l truststoreの設定とか ECR/ECSの機能に統合されれば、導⼊コストは下がりそう

  57. 56 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 運⽤上の考慮点

  58. 57 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWS

    Signerへの監査は必要 nつよつよIAM権限で証明書プロファイルも作成してワークフローも更新できると意味ない 運⽤上の考慮点 AWS Signer AWS CodeBuild AWS Lambda

  59. 58 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy BYOLな署名鍵には対応していない

    nAWS Signerによるフルマネージド管理 nサクッと署名・検証プロセスを導⼊するには良い選択肢 運⽤上の考慮点

  60. 59 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy あくまで「誰が作ったか」を確認する処理

    n検証プロセスも含めて実装しないと効⼒を持たない n現状は整備するのにコストがかかる 運⽤上の考慮点 AWS CodeCommit AWS CodeBuild Amazon ECR AWS CodeBuild Amazon ECS Source Pull Image Push Image Pull AWS CodeCommit Source Pull AWS Signer Im age Signing Image Verify

  61. 60 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy あくまで「誰が作ったか」を確認する処理

    n検証プロセスも含めて実装しないと効⼒を持たない n現状は整備するのにコストがかかる 運⽤上の考慮点 AWS CodeCommit AWS CodeBuild Amazon ECR AWS CodeBuild Amazon ECS Source Pull Image Push Image Pull AWS CodeCommit Source Pull これでワンセット AWS Signer Im age Signing Image Verify

  62. 61 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy まとめ

  63. 62 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy そもそもなぜイメージ署名なのか

    n2021 年 5 ⽉、⽶国⼤統領府は国家のサイバーセキュリティ向上に関する⼤統領令を発表し ました。この命令の重点分野の 1 つにソフトウェアサプライチェーンのセキュリティ強化があり、サ プライチェーンのリスクへの対処に関する要件として、以下が挙げられています。 l 強⼒なアクセス制御による開発環境の保護 l ⾃動コードスキャンによるソフトウェアの脆弱性の発⾒および修正 l コードの完全性の担保による信頼できるサプライチェーンの維持 l ソフトウェアコンポーネントの来歴 (例 : 作成元) に関する正確かつ最新のデータの保持 まとめ 下記より抜粋 ・Amazon Web Services ブログ 「コンテナにおけるデジタル署名」 https://aws.amazon.com/jp/blogs/news/cryptographic-signing-for-containers/

  64. 63 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy そもそもなぜイメージ署名なのか

    n2021 年 5 ⽉、⽶国⼤統領府は国家のサイバーセキュリティ向上に関する⼤統領令を発表し ました。この命令の重点分野の 1 つにソフトウェアサプライチェーンのセキュリティ強化があり、サ プライチェーンのリスクへの対処に関する要件として、以下が挙げられています。 l 強⼒なアクセス制御による開発環境の保護 l ⾃動コードスキャンによるソフトウェアの脆弱性の発⾒および修正 l コードの完全性の担保による信頼できるサプライチェーンの維持 l ソフトウェアコンポーネントの来歴 (例 : 作成元) に関する正確かつ最新のデータの保持 まとめ 下記より抜粋 ・Amazon Web Services ブログ 「コンテナにおけるデジタル署名」 https://aws.amazon.com/jp/blogs/news/cryptographic-signing-for-containers/

  65. 64 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy よくあるコンテナワークロードのセキュリティ

    まとめ Amazon ECR Amazon ECS Client 脆弱性確認 静的解析 etc… APM トレース ホストセキュリティ etc…

  66. 65 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy デリバリーの部分をどうするか

    まとめ Amazon ECR Amazon ECS Client 脆弱性確認 静的解析 etc… APM トレース ホストセキュリティ etc… ?

  67. 66 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy デリバリーの部分をどうするか

    まとめ Amazon ECR Amazon ECS Client 脆弱性確認 静的解析 etc… APM トレース ホストセキュリティ etc… ? サプライチェーンのセキュリティ強化 ≒コンテナイメージの完全性担保

  68. 67 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy AWS

    Signerを使うと署名・検証プロセスを簡素化できる n署名プロファイルを作れば、API操作で署名・検証ができる nNotary統合を使えばコンテナイメージへの署名も可能 まとめ AWS Signer

  69. 68 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 署名・検証プロセスの組み込みは現状コストがかかる

    nユーザ側で組み込みが必要 l notation実⾏環境の構築が必要 まとめ AWS CodeBuild AWS Lambda OR

  70. 69 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy ECR、ECSとの統合が実現されるとより導⼊障壁は下がる

    nサービス側で完結する処理になると、より簡単に導⼊することができそう l 今後のアップデートに期待 まとめ

  71. 70 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy n

    Sigstore l https://www.sigstore.dev/ n Signing container images: Comparing Sigstore, Notary, and Docker Content Trust l https://snyk.io/jp/blog/signing-container-images/ n Content trust in Docker l https://docs.docker.com/engine/security/trust/ n opencontainers/image-spec l https://github.com/opencontainers/image-spec n Container image signing and verification using AWS Signer for Amazon ECS and AWS Fargate l https://containersonaws.com/pattern/ecs-fargate-container-image-signing-and-verification n Amazon Web Services ブログ 「コンテナにおけるデジタル署名」 l https://aws.amazon.com/jp/blogs/news/cryptographic-signing-for-containers/ n Understanding OCI artifacts l https://oras.land/docs/concepts/artifact/ 参考⽂献
  72. None