Slide 1

Slide 1 text

クラスメソッド株式会社 
 たかくに
 2024.06.17 
 1
 re:Inforce 2024 
 コンテナセキュリティアップデートまとめ 


Slide 2

Slide 2 text

2
 自己紹介
 たかくに
 • 所属:クラスメソッド株式会社
 • 部署:AWS 事業本部コンサルティング部
 • ロール:ソリューションアーキテクト
 • 最近の推し:Amazon Bedrock 周り


Slide 3

Slide 3 text

3
 アジェンダ 
 ● AWS Fargate の一時ストレージ暗号化
 ● Inspector のコンテナイメージスキャン
 ○ GHA, CodeCatalyst の統合サポート
 ○ Dockerfile の設定不備を検出


Slide 4

Slide 4 text

4
 AWS Fargate の一時ストレージ暗号化 


Slide 5

Slide 5 text

5
 Dance like nobody’s watching, 
 encrypt like everybody is. 
 
 人目を気にせず、自分らしく踊りましょう 
 みんながしているように暗号化しましょう 
 Werner Vogels, Amazon CTO 


Slide 6

Slide 6 text

6
 AWS Fargate の一時ストレージ暗号化 


Slide 7

Slide 7 text

7
 AWS Fargate の一時ストレージ暗号化 


Slide 8

Slide 8 text

8
 AWS Fargate の一時ストレージ暗号化 
 ● 一時ストレージを CMK で暗号化可能に
 ○ CMK:カスタマーマネージドキー
 ● ECS で扱う全てのストレージ領域で KMS が利用可能に
 ○ Platform v1.4.0 以降
 ○ Linux コンテナのみ対応


Slide 9

Slide 9 text

● キーポリシー で許可
 ○ タスク実行ロール、タスクロールでは特に何もしない
 ● 既存サービスへの適用
 ○ タスクの置き換えが必要 
 9 AWS Fargate の⼀時ストレージ暗号化

Slide 10

Slide 10 text

10
 Inspector のコンテナイメージスキャン 


Slide 11

Slide 11 text

11 Inspector のコンテナイメージスキャン

Slide 12

Slide 12 text

● Inspector Scan API が提供された
 ○ API 自体の利用は無料
 ■ Inspector v2 API とはスキーマが異なる
 ○ CI/CD パイプラインでスキャンの実装が楽になった
 ● SBOM(ソフトウェアの部品表)から脆弱性スキャン
 ● Jenkins, TeamCity は発表初期からマネージド統合
 12 re:Invent 2023 のおさらい

Slide 13

Slide 13 text

● コンテナイメージスキャンに加え
 ○ Dockerfile の設定不備をスキャン可能に 
 ● Jenkins, TeamCity に加え、
 ○ Github Actions と CodeCatalyst に統合
 13 今回のアップデート

Slide 14

Slide 14 text

● コンテナイメージスキャンに加え
 ○ Dockerfile の設定不備をスキャン可能に 
 ● Jenkins, TeamCity に加え、
 ○ Github Actions と CodeCatalyst に統合
 14 今回のアップデート

Slide 15

Slide 15 text

● コンテナイメージの脆弱性以外に 
 ○ Dockerfile の設定不備(misconfiguration)を検出
 ● スキャン方法
 ○ コンテナイメージ内の Dockerfile 
 ○ Dockerfile を含むディレクトリ
 ○ Dockerfile 本体をターゲットにした場合
 15 Dockerfile の設定不備をスキャン可能に

Slide 16

Slide 16 text

検出項目
 ● sudo のバイナリが含まれる
 ● apt-get update/install を複数行の RUN で実行
 ● 認証情報がハードコードされている
 ● 特権モードで実行している
 ● 各ランタイムでの脆弱な環境変数の設定
 ● 各ランタイムでの脆弱なコマンドフラグの設定
 16 Dockerfile の設定不備をスキャン可能に

Slide 17

Slide 17 text

17 Dockerfile の設定不備をスキャン可能に

Slide 18

Slide 18 text

18 Dockerfile の設定不備をスキャン可能に

Slide 19

Slide 19 text

● コンテナイメージスキャンに加え
 ○ Dockerfile の設定不備をスキャン可能に 
 ● Jenkins, TeamCity に加え、
 ○ Github Actions と CodeCatalyst に統合
 19 今回のアップデート

Slide 20

Slide 20 text

● コンテナイメージスキャンに加え
 ○ Dockerfile の設定不備をスキャン可能に 
 ● Jenkins, TeamCity に加え、
 ○ Github Actions と CodeCatalyst に統合
 20 今回のアップデート

Slide 21

Slide 21 text

● uses で簡単に設定可能
 21 Github Actions と CodeCatalyst に統合

Slide 22

Slide 22 text

● スキャン結果をマークダウン で出力可能
 22 Github Actions と CodeCatalyst に統合

Slide 23

Slide 23 text

23 Github Actions と CodeCatalyst に統合

Slide 24

Slide 24 text

24 Github Actions と CodeCatalyst に統合

Slide 25

Slide 25 text

● コンテナセキュリティアップデートがいくつかあった
 ● ECS の一時ストレージ暗号化対応
 ○ ストレージ領域の暗号化をコンプリート
 ● Inspector v2
 ○ Github Actions と CodeCatalyst で CI/CD 統合
 ○ Dockerfile の設定不備もみるようになった
 ■ これからに期待ですね
 25 まとめ