re:Inforce 2024 コンテナセキュリティアップデートまとめ

by takakuni

Slide 1

Slide 1 text

クラスメソッド株式会社   たかくに  2024.06.17   1  re:Inforce 2024   コンテナセキュリティアップデートまとめ  

Slide 2

Slide 2 text

2  自己紹介  たかくに  • 所属：クラスメソッド株式会社  • 部署：AWS 事業本部コンサルティング部  • ロール：ソリューションアーキテクト  • 最近の推し：Amazon Bedrock 周り 

Slide 3

Slide 3 text

3  アジェンダ   ● AWS Fargate の一時ストレージ暗号化  ● Inspector のコンテナイメージスキャン  ○ GHA, CodeCatalyst の統合サポート  ○ Dockerfile の設定不備を検出 

Slide 4

Slide 4 text

4  AWS Fargate の一時ストレージ暗号化  

Slide 5

Slide 5 text

5  Dance like nobody’s watching,   encrypt like everybody is.     人目を気にせず、自分らしく踊りましょう   みんながしているように暗号化しましょう   Werner Vogels, Amazon CTO  

Slide 6

Slide 6 text

6  AWS Fargate の一時ストレージ暗号化  

Slide 7

Slide 7 text

7  AWS Fargate の一時ストレージ暗号化  

Slide 8

Slide 8 text

8  AWS Fargate の一時ストレージ暗号化   ● 一時ストレージを CMK で暗号化可能に  ○ CMK：カスタマーマネージドキー  ● ECS で扱う全てのストレージ領域で KMS が利用可能に  ○ Platform v1.4.0 以降  ○ Linux コンテナのみ対応 

Slide 9

Slide 9 text

● キーポリシーで許可  ○ タスク実行ロール、タスクロールでは特に何もしない  ● 既存サービスへの適用  ○ タスクの置き換えが必要   9 AWS Fargate の⼀時ストレージ暗号化

Slide 10

Slide 10 text

10  Inspector のコンテナイメージスキャン  

Slide 11

Slide 11 text

11 Inspector のコンテナイメージスキャン

Slide 12

Slide 12 text

● Inspector Scan API が提供された  ○ API 自体の利用は無料  ■ Inspector v2 API とはスキーマが異なる  ○ CI/CD パイプラインでスキャンの実装が楽になった  ● SBOM（ソフトウェアの部品表）から脆弱性スキャン  ● Jenkins, TeamCity は発表初期からマネージド統合  12 re:Invent 2023 のおさらい

Slide 13

Slide 13 text

● コンテナイメージスキャンに加え  ○ Dockerfile の設定不備をスキャン可能に   ● Jenkins, TeamCity に加え、  ○ Github Actions と CodeCatalyst に統合  13 今回のアップデート

Slide 14

Slide 14 text

● コンテナイメージスキャンに加え  ○ Dockerfile の設定不備をスキャン可能に   ● Jenkins, TeamCity に加え、  ○ Github Actions と CodeCatalyst に統合  14 今回のアップデート

Slide 15

Slide 15 text

● コンテナイメージの脆弱性以外に   ○ Dockerfile の設定不備（misconfiguration）を検出  ● スキャン方法  ○ コンテナイメージ内の Dockerfile   ○ Dockerfile を含むディレクトリ  ○ Dockerfile 本体をターゲットにした場合  15 Dockerﬁle の設定不備をスキャン可能に

Slide 16

Slide 16 text

検出項目  ● sudo のバイナリが含まれる  ● apt-get update/install を複数行の RUN で実行  ● 認証情報がハードコードされている  ● 特権モードで実行している  ● 各ランタイムでの脆弱な環境変数の設定  ● 各ランタイムでの脆弱なコマンドフラグの設定  16 Dockerﬁle の設定不備をスキャン可能に

Slide 17

Slide 17 text

17 Dockerﬁle の設定不備をスキャン可能に

Slide 18

Slide 18 text

18 Dockerﬁle の設定不備をスキャン可能に

Slide 19

Slide 19 text

● コンテナイメージスキャンに加え  ○ Dockerfile の設定不備をスキャン可能に   ● Jenkins, TeamCity に加え、  ○ Github Actions と CodeCatalyst に統合  19 今回のアップデート

Slide 20

Slide 20 text

● コンテナイメージスキャンに加え  ○ Dockerfile の設定不備をスキャン可能に   ● Jenkins, TeamCity に加え、  ○ Github Actions と CodeCatalyst に統合  20 今回のアップデート

Slide 21

Slide 21 text

● uses で簡単に設定可能  21 Github Actions と CodeCatalyst に統合

Slide 22

Slide 22 text

● スキャン結果をマークダウンで出力可能  22 Github Actions と CodeCatalyst に統合

Slide 23

Slide 23 text

23 Github Actions と CodeCatalyst に統合

Slide 24

Slide 24 text

24 Github Actions と CodeCatalyst に統合

Slide 25

Slide 25 text

● コンテナセキュリティアップデートがいくつかあった  ● ECS の一時ストレージ暗号化対応  ○ ストレージ領域の暗号化をコンプリート  ● Inspector v2  ○ Github Actions と CodeCatalyst で CI/CD 統合  ○ Dockerfile の設定不備もみるようになった  ■ これからに期待ですね  25 まとめ