Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Inforce 2024 コンテナセキュリティアップデートまとめ

takakuni
June 21, 2024
0
400

re:Inforce 2024 コンテナセキュリティアップデートまとめ

takakuni

June 21, 2024
Tweet

More Decks by takakuni

See All by takakuni
Classmethod AI Talks #13
takakuni
0
160
Allowed to prefixes
takakuni
0
220
About Extended Threat Detection in Amazon GuardDuty
takakuni
0
200
SageMaker Hyperpod 101 #regrowth_sapporo
takakuni
1
230
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
takakuni
0
320
New Security Challenges and Countermeasures Brought by Generative AI in Classmethod Cloud Security Fes
takakuni
0
320
サンプルサンプル株式会社 会社説明資料
takakuni
0
2.6k
AWS re:Inforce 2024 個人的推しアップデート総まとめ(仮)
takakuni
0
1.2k
Backlog Git を AWS に繋ぎ
 コンテナイメージをビルドしてみた

takakuni
0
190

Featured

See All Featured
Docker and Python
trallard
44
3.3k
Being A Developer After 40
akosma
89
590k
Fashionably flexible responsive web design (full day workshop)
malarkey
406
66k
Writing Fast Ruby
sferik
628
61k
Building an army of robots
kneath
303
45k
Measuring & Analyzing Core Web Vitals
bluesmoon
6
250
Designing for humans not robots
tammielis
250
25k
GitHub's CSS Performance
jonrohan
1030
460k
Building Flexible Design Systems
yeseniaperezcruz
328
38k
What's in a price? How to price your products and services
michaelherold
244
12k
Making Projects Easy
brettharned
116
6k
jQuery: Nuts, Bolts and Bling
dougneiner
63
7.6k

Transcript

  1. クラスメソッド株式会社 
 たかくに
 2024.06.17 
 1
 re:Inforce 2024 
 コンテナセキュリティアップデートまとめ

  2. 2
 自己紹介
 たかくに
 • 所属:クラスメソッド株式会社
 • 部署:AWS 事業本部コンサルティング部
 • ロール:ソリューションアーキテクト


    • 最近の推し:Amazon Bedrock 周り


  3. 3
 アジェンダ 
 • AWS Fargate の一時ストレージ暗号化
 • Inspector のコンテナイメージスキャン


    ◦ GHA, CodeCatalyst の統合サポート
 ◦ Dockerfile の設定不備を検出


  4. 4
 AWS Fargate の一時ストレージ暗号化 


  5. 5
 Dance like nobody’s watching, 
 encrypt like everybody is.

    
 
 人目を気にせず、自分らしく踊りましょう 
 みんながしているように暗号化しましょう 
 Werner Vogels, Amazon CTO 


  6. 6
 AWS Fargate の一時ストレージ暗号化 


  7. 7
 AWS Fargate の一時ストレージ暗号化 


  8. 8
 AWS Fargate の一時ストレージ暗号化 
 • 一時ストレージを CMK で暗号化可能に
 ◦

    CMK:カスタマーマネージドキー
 • ECS で扱う全てのストレージ領域で KMS が利用可能に
 ◦ Platform v1.4.0 以降
 ◦ Linux コンテナのみ対応


  9. • キーポリシー で許可
 ◦ タスク実行ロール、タスクロールでは特に何もしない
 • 既存サービスへの適用
 ◦ タスクの置き換えが必要 


    9 AWS Fargate の⼀時ストレージ暗号化

  10. 10
 Inspector のコンテナイメージスキャン 


  11. 11 Inspector のコンテナイメージスキャン

  12. • Inspector Scan API が提供された
 ◦ API 自体の利用は無料
 ▪ Inspector

    v2 API とはスキーマが異なる
 ◦ CI/CD パイプラインでスキャンの実装が楽になった
 • SBOM(ソフトウェアの部品表)から脆弱性スキャン
 • Jenkins, TeamCity は発表初期からマネージド統合
 12 re:Invent 2023 のおさらい

  13. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 13 今回のアップデート

  14. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 14 今回のアップデート

  15. • コンテナイメージの脆弱性以外に 
 ◦ Dockerfile の設定不備(misconfiguration)を検出
 • スキャン方法
 ◦ コンテナイメージ内の

    Dockerfile 
 ◦ Dockerfile を含むディレクトリ
 ◦ Dockerfile 本体をターゲットにした場合
 15 Dockerfile の設定不備をスキャン可能に

  16. 検出項目
 • sudo のバイナリが含まれる
 • apt-get update/install を複数行の RUN で実行


    • 認証情報がハードコードされている
 • 特権モードで実行している
 • 各ランタイムでの脆弱な環境変数の設定
 • 各ランタイムでの脆弱なコマンドフラグの設定
 16 Dockerfile の設定不備をスキャン可能に

  17. 17 Dockerfile の設定不備をスキャン可能に

  18. 18 Dockerfile の設定不備をスキャン可能に

  19. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 19 今回のアップデート

  20. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 20 今回のアップデート

  21. • uses で簡単に設定可能
 21 Github Actions と CodeCatalyst に統合

  22. • スキャン結果をマークダウン で出力可能
 22 Github Actions と CodeCatalyst に統合

  23. 23 Github Actions と CodeCatalyst に統合

  24. 24 Github Actions と CodeCatalyst に統合

  25. • コンテナセキュリティアップデートがいくつかあった
 • ECS の一時ストレージ暗号化対応
 ◦ ストレージ領域の暗号化をコンプリート
 • Inspector v2


    ◦ Github Actions と CodeCatalyst で CI/CD 統合
 ◦ Dockerfile の設定不備もみるようになった
 ▪ これからに期待ですね
 25 まとめ