Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Inforce 2024 コンテナセキュリティアップデートまとめ

takakuni
June 21, 2024
0
270

re:Inforce 2024 コンテナセキュリティアップデートまとめ

takakuni

June 21, 2024
Tweet

More Decks by takakuni

See All by takakuni
AWS re:Inforce 2024 個人的推しアップデート総まとめ(仮)
takakuni
0
1.1k
Backlog Git を AWS に繋ぎ
 コンテナイメージをビルドしてみた

takakuni
0
86
巷で話題の SOCI についてのお話
takakuni
0
150
NW-JAWS #11 re:Cap 2023 Amazon Q network trouble shooting について
takakuni
0
1.1k
re:Invent 2023 コンテナイメージスキャンどうなった!?
takakuni
0
1.7k
AWS Engineer Meetsup 2023 登壇資料
takakuni
0
3.2k
JAWS-UG 朝会 #43 登壇資料
takakuni
0
1k
JAWS-UG 横浜 #54 資料
takakuni
0
560
JAWS-UG 朝会 #40 登壇資料
takakuni
0
920

Featured

See All Featured
Navigating Team Friction
lara
180
13k
VelocityConf: Rendering Performance Case Studies
addyosmani
321
23k
Clear Off the Table
cherdarchuk
87
320k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
323
21k
What's in a price? How to price your products and services
michaelherold
238
11k
Unsuck your backbone
ammeep
664
57k
Speed Design
sergeychernyshev
6
180
We Have a Design System, Now What?
morganepeng
45
6.9k
A designer walks into a library…
pauljervisheath
201
24k
Build your cross-platform service in a week with App Engine
jlugia
227
17k
Thoughts on Productivity
jonyablonski
62
4k
Atom: Resistance is Futile
akmur
260
25k

Transcript

  1. クラスメソッド株式会社 
 たかくに
 2024.06.17 
 1
 re:Inforce 2024 
 コンテナセキュリティアップデートまとめ

  2. 2
 自己紹介
 たかくに
 • 所属:クラスメソッド株式会社
 • 部署:AWS 事業本部コンサルティング部
 • ロール:ソリューションアーキテクト


    • 最近の推し:Amazon Bedrock 周り


  3. 3
 アジェンダ 
 • AWS Fargate の一時ストレージ暗号化
 • Inspector のコンテナイメージスキャン


    ◦ GHA, CodeCatalyst の統合サポート
 ◦ Dockerfile の設定不備を検出


  4. 4
 AWS Fargate の一時ストレージ暗号化 


  5. 5
 Dance like nobody’s watching, 
 encrypt like everybody is.

    
 
 人目を気にせず、自分らしく踊りましょう 
 みんながしているように暗号化しましょう 
 Werner Vogels, Amazon CTO 


  6. 6
 AWS Fargate の一時ストレージ暗号化 


  7. 7
 AWS Fargate の一時ストレージ暗号化 


  8. 8
 AWS Fargate の一時ストレージ暗号化 
 • 一時ストレージを CMK で暗号化可能に
 ◦

    CMK:カスタマーマネージドキー
 • ECS で扱う全てのストレージ領域で KMS が利用可能に
 ◦ Platform v1.4.0 以降
 ◦ Linux コンテナのみ対応


  9. • キーポリシー で許可
 ◦ タスク実行ロール、タスクロールでは特に何もしない
 • 既存サービスへの適用
 ◦ タスクの置き換えが必要 


    9 AWS Fargate の⼀時ストレージ暗号化

  10. 10
 Inspector のコンテナイメージスキャン 


  11. 11 Inspector のコンテナイメージスキャン

  12. • Inspector Scan API が提供された
 ◦ API 自体の利用は無料
 ▪ Inspector

    v2 API とはスキーマが異なる
 ◦ CI/CD パイプラインでスキャンの実装が楽になった
 • SBOM(ソフトウェアの部品表)から脆弱性スキャン
 • Jenkins, TeamCity は発表初期からマネージド統合
 12 re:Invent 2023 のおさらい

  13. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 13 今回のアップデート

  14. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 14 今回のアップデート

  15. • コンテナイメージの脆弱性以外に 
 ◦ Dockerfile の設定不備(misconfiguration)を検出
 • スキャン方法
 ◦ コンテナイメージ内の

    Dockerfile 
 ◦ Dockerfile を含むディレクトリ
 ◦ Dockerfile 本体をターゲットにした場合
 15 Dockerfile の設定不備をスキャン可能に

  16. 検出項目
 • sudo のバイナリが含まれる
 • apt-get update/install を複数行の RUN で実行


    • 認証情報がハードコードされている
 • 特権モードで実行している
 • 各ランタイムでの脆弱な環境変数の設定
 • 各ランタイムでの脆弱なコマンドフラグの設定
 16 Dockerfile の設定不備をスキャン可能に

  17. 17 Dockerfile の設定不備をスキャン可能に

  18. 18 Dockerfile の設定不備をスキャン可能に

  19. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 19 今回のアップデート

  20. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 20 今回のアップデート

  21. • uses で簡単に設定可能
 21 Github Actions と CodeCatalyst に統合

  22. • スキャン結果をマークダウン で出力可能
 22 Github Actions と CodeCatalyst に統合

  23. 23 Github Actions と CodeCatalyst に統合

  24. 24 Github Actions と CodeCatalyst に統合

  25. • コンテナセキュリティアップデートがいくつかあった
 • ECS の一時ストレージ暗号化対応
 ◦ ストレージ領域の暗号化をコンプリート
 • Inspector v2


    ◦ Github Actions と CodeCatalyst で CI/CD 統合
 ◦ Dockerfile の設定不備もみるようになった
 ▪ これからに期待ですね
 25 まとめ