re:Inforce 2024 コンテナセキュリティアップデートまとめ
by
takakuni
Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
クラスメソッド株式会社 たかくに 2024.06.17 1 re:Inforce 2024 コンテナセキュリティアップデートまとめ
Slide 2
Slide 2 text
2 自己紹介 たかくに • 所属:クラスメソッド株式会社 • 部署:AWS 事業本部コンサルティング部 • ロール:ソリューションアーキテクト • 最近の推し:Amazon Bedrock 周り
Slide 3
Slide 3 text
3 アジェンダ ● AWS Fargate の一時ストレージ暗号化 ● Inspector のコンテナイメージスキャン ○ GHA, CodeCatalyst の統合サポート ○ Dockerfile の設定不備を検出
Slide 4
Slide 4 text
4 AWS Fargate の一時ストレージ暗号化
Slide 5
Slide 5 text
5 Dance like nobody’s watching, encrypt like everybody is. 人目を気にせず、自分らしく踊りましょう みんながしているように暗号化しましょう Werner Vogels, Amazon CTO
Slide 6
Slide 6 text
6 AWS Fargate の一時ストレージ暗号化
Slide 7
Slide 7 text
7 AWS Fargate の一時ストレージ暗号化
Slide 8
Slide 8 text
8 AWS Fargate の一時ストレージ暗号化 ● 一時ストレージを CMK で暗号化可能に ○ CMK:カスタマーマネージドキー ● ECS で扱う全てのストレージ領域で KMS が利用可能に ○ Platform v1.4.0 以降 ○ Linux コンテナのみ対応
Slide 9
Slide 9 text
● キーポリシー で許可 ○ タスク実行ロール、タスクロールでは特に何もしない ● 既存サービスへの適用 ○ タスクの置き換えが必要 9 AWS Fargate の⼀時ストレージ暗号化
Slide 10
Slide 10 text
10 Inspector のコンテナイメージスキャン
Slide 11
Slide 11 text
11 Inspector のコンテナイメージスキャン
Slide 12
Slide 12 text
● Inspector Scan API が提供された ○ API 自体の利用は無料 ■ Inspector v2 API とはスキーマが異なる ○ CI/CD パイプラインでスキャンの実装が楽になった ● SBOM(ソフトウェアの部品表)から脆弱性スキャン ● Jenkins, TeamCity は発表初期からマネージド統合 12 re:Invent 2023 のおさらい
Slide 13
Slide 13 text
● コンテナイメージスキャンに加え ○ Dockerfile の設定不備をスキャン可能に ● Jenkins, TeamCity に加え、 ○ Github Actions と CodeCatalyst に統合 13 今回のアップデート
Slide 14
Slide 14 text
● コンテナイメージスキャンに加え ○ Dockerfile の設定不備をスキャン可能に ● Jenkins, TeamCity に加え、 ○ Github Actions と CodeCatalyst に統合 14 今回のアップデート
Slide 15
Slide 15 text
● コンテナイメージの脆弱性以外に ○ Dockerfile の設定不備(misconfiguration)を検出 ● スキャン方法 ○ コンテナイメージ内の Dockerfile ○ Dockerfile を含むディレクトリ ○ Dockerfile 本体をターゲットにした場合 15 Dockerfile の設定不備をスキャン可能に
Slide 16
Slide 16 text
検出項目 ● sudo のバイナリが含まれる ● apt-get update/install を複数行の RUN で実行 ● 認証情報がハードコードされている ● 特権モードで実行している ● 各ランタイムでの脆弱な環境変数の設定 ● 各ランタイムでの脆弱なコマンドフラグの設定 16 Dockerfile の設定不備をスキャン可能に
Slide 17
Slide 17 text
17 Dockerfile の設定不備をスキャン可能に
Slide 18
Slide 18 text
18 Dockerfile の設定不備をスキャン可能に
Slide 19
Slide 19 text
● コンテナイメージスキャンに加え ○ Dockerfile の設定不備をスキャン可能に ● Jenkins, TeamCity に加え、 ○ Github Actions と CodeCatalyst に統合 19 今回のアップデート
Slide 20
Slide 20 text
● コンテナイメージスキャンに加え ○ Dockerfile の設定不備をスキャン可能に ● Jenkins, TeamCity に加え、 ○ Github Actions と CodeCatalyst に統合 20 今回のアップデート
Slide 21
Slide 21 text
● uses で簡単に設定可能 21 Github Actions と CodeCatalyst に統合
Slide 22
Slide 22 text
● スキャン結果をマークダウン で出力可能 22 Github Actions と CodeCatalyst に統合
Slide 23
Slide 23 text
23 Github Actions と CodeCatalyst に統合
Slide 24
Slide 24 text
24 Github Actions と CodeCatalyst に統合
Slide 25
Slide 25 text
● コンテナセキュリティアップデートがいくつかあった ● ECS の一時ストレージ暗号化対応 ○ ストレージ領域の暗号化をコンプリート ● Inspector v2 ○ Github Actions と CodeCatalyst で CI/CD 統合 ○ Dockerfile の設定不備もみるようになった ■ これからに期待ですね 25 まとめ