Slide 14
Slide 14 text
NIST SP800-190項目※1 設計時の考慮 対策
イメージの脆弱性 コンテナ CI/CD + Trivy
ECR拡張スキャン(Inspector)
イメージの設定の不備 コンテナ、ECSタスク Dockle
埋め込まれたマルウェア コンテナ ベースイメージの選定(予防)
GuardDury(検出)
埋め込まれた平文の秘密情報 アプリケーション、コンテナ SSMパラメータストア
SecretManager
信頼できないイメージの使用 コンテナ ECRとDCTの利用
レジストリ内の古いイメージ レジストリ(ECR) ECRライフサイクルポリシー
認証・許可の不十分な制限 IAM パブリックリポジトリの禁止※2
リソースベースポリシーの活用
制限のない管理者アクセス IAM 開発者IAMの最適化
コンテナ間NWトラフィックの不十分な分離 ネットワーク設定 EC2のNW設計のノウハウ適用
(ipの枯渇にだけ注意)
コンテナからの無制限のNWアクセス ネットワーク設定
アプリケーションの脆弱性 アプリケーション WAF(境界),セキュアコーディング
Amazon CodeGuru
未承認コンテナ コンテナ CI/CD + 開発ステージの分離
ECS利用時のNIST SP800-190 ※1ユーザの責務範囲に該当する項目のみ抽出
これらは書籍で言及がなされ
ておらず勝手に追加。
(Inspector適用は発刊後に
発表された)
14/19