Dockerコンテナのセキュリティを考えてみよう@TOKUSHIMA Cybersecurity Meetup #14

Transcript

1. Dockerコンテナのセキュリティを考えてみよう 2024 author: GANGAN

2. About me 2024 author: GANGAN

3. About me 岩丸慎平 (@gangan_nikki) AI Webアプリケーションの開発・運用やってました (Vue.js, Java, AWS, k8s,

   etc.) Nuxt, UnJS Core contributor, etc. Vue・Nuxt 情報が集まる広場 / Plaza for Vue・Nuxt. Publication Owner 2024 author: GANGAN

4. About me (学生時代) 北九州高専(制御系) → 鹿児島大学・大学院(情報系) → 東京でAI Webアプリ開発 7,8社ほどインターンに参加

   学生時代に200本以上、現在300本弱の技術記事を執筆 逆求人系の会社で就職支援・登壇なども行ってました 2024 author: GANGAN

5. なお、本日Nuxt・フロントの話はしないです。 2024 author: GANGAN

6. 本日はDockerの話をします。 2024 author: GANGAN

7. 皆さん、Dockerを使ったことありますか？ ✋ 2024 author: GANGAN

8. コンテナはWebアプリケーションで広く使われて いる AWS: ECS (Elastic Container Service) Google Cloud: CLoud

   Run Microsoft Azure: Azure Container Apps, Azure Container Instance, etc. Kubernetes: コンテナの運用管理・スケーリングをサポートするOSS 2024 author: GANGAN

9. 皆さん、環境構築は楽しい/好きですか？ ✋ 2024 author: GANGAN

10. 環境構築は大体しんどい 何回も同じ作業を繰り返す必要がある 同じものをインストールしてもバージョン違いで詰むことがある 共同PCの場合、環境差分でエラーが発生する PC1でもPC2でも同じ環境を構築したい 2024 author: GANGAN

11. Upgrade to Pro — share decks privately, control downloads, hide

    ads and more … Docker との戦い ～研究室インフラおじさんへの… gangan December 20, 2019 Technology 0 99 2024 author: GANGAN

12. 出典: https://matsuand.github.io/docs.docker.jp.onthefly/get-started/overview/ 2024 author: GANGAN

13. Dockerfileの例 (Python) Dockerfile というものを用意することで 環境をコード化することが可能 強強エンジニアが作った環境のベストプラクティ スを流用できる 言語、ライブラリのバージョンを指定して明示す ることができる FROM

    python:3.7.5 RUN mkdir /var/www # workdir の指定 WORKDIR /var/www # 依存Python ライブラリ一覧コピー COPY requirements.txt ./ # 依存Python ライブラリインストール RUN pip install --no-cache-dir -r requirements.txt WORKDIR /var/www/src CMD ["uwsgi","--ini","/var/www/uwsgi.ini"] 2024 author: GANGAN

14. これで環境の冪等性を担保することができますね 2024 author: GANGAN

15. めでたしめでたし 2024 author: GANGAN

16. セキュリティおじさん 「そのコンテナ、セキュリティ大丈夫？ 🤔」 2024 author: GANGAN

17. Q. では、どんなところがリスクなのでしょうか？ 2024 author: GANGAN

18. 考えうるセキュリティリスク 1. OSのバージョンは問題ないか 2. ライブラリのバージョンは最新か 3. 脆弱性を放置していないか 4. 権限はどうなっているのか =>

    不備があると犯罪の踏み台や顧客情報の漏洩などに繋がる => OSレベルの知識が要求される 2024 author: GANGAN

19. 適切な対応 1. 適切なイメージを選定しましょう 2. マルチステージビルドを利用しましょう 3. 不要なものは積極的に削除しましょう 4. CI/CDで脆弱性を監視しましょう 2024

    author: GANGAN

20. 適切な対応 1. 適切なイメージを選定しましょう -> LinuxではなくPython, NodeJSなどに限定する -> alipine、slim、distroressなど最適なサイズのイメージを選ぶ 2. マルチステージビルドを利用しましょう

    -> パッケージのビルド時に生成される不要なものを含めないように -> 必要に応じてShellすら削除する 3. 不要なものは積極的に削除しましょう -> 開発時のみ使うツール、スクリプト、ライブラリ、本番環境で必要ですか？ 4. CI/CDで脆弱性を監視しましょう -> Trivyや各クラウドが用意するチェックツールを利用する 2024 author: GANGAN

21. Dockerを見ながら… 1. 適切なイメージを選ぶ 2. alipine, slim, distroressなど、適切なイメージを 選ぶ 3. 「開発で必要なもの、本番で必要なものは異な

    る」 # syntax=docker/dockerfile:1.4 FROM --platform=$BUILDPLATFORM python:3.10-alpine AS build WORKDIR /app COPY requirements.txt /app RUN --mount=type=cache,target=/root/.cache/pip \ pip3 install -r requirements.txt COPY . /app ENTRYPOINT ["python3"] CMD ["app.py"] FROM builder as dev-envs RUN <<EOF apk update apk add git EOF RUN <<EOF addgroup -S docker adduser -S --shell /bin/bash --ingroup docker vscode EOF # install Docker tools (cli, buildx, compose) COPY --from=gloursdocker/docker / / 2024 author: GANGAN

22. 便利なツールは適切に利用することで効果を発揮 しやすい 2024 author: GANGAN

23. 実際のセキュリティ対応事例 2024 author: GANGAN

24. Javaのセキュリティ対応に追われた話… タイトル「Amazon CorrettoイメージでJava11+Gradle+Spring Bootプロジェクトを動かす: Java SE脆弱性対応」 https://tech-blog.optim.co.jp/entry/2023/02/16/100000 (時間あれば記事を見ながら話したい) 2024 author:

    GANGAN

25. さいごに 2024 author: GANGAN

26. About me 岩丸慎平 (@gangan_nikki) AI Webアプリケーションの開発・運用やってました (Vue.js, AWS, k8s, etc.)

    Nuxt, UnJS Core contributor, etc. Vue・Nuxt 情報が集まる広場 / Plaza for Vue・Nuxt. Publication Owner 2024 author: GANGAN

27. Vue・Nuxt 情報が集まる広場 / Plaza for Vue・Nuxt. Vue.js / Nuxtユーザーが気軽に 情報を得られる場所を目指して作成しました

    初学者がVue2系、Vue3系で迷わないよう に、初学者がとりあえず最初に調べてみる場 所を目指して広場という名前にしています 執筆してくれる方は随時募集中です https://github.com/shinGangan/comm_vue_nuxt 2024 author: GANGAN

28. おしまい 2024 author: GANGAN