Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Inforce 2024 コンテナセキュリティアップデートまとめ

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for takakuni takakuni
June 21, 2024
460
0

re:Inforce 2024 コンテナセキュリティアップデートまとめ

Avatar for takakuni

takakuni

June 21, 2024

More Decks by takakuni

See All by takakuni
ECS Express Mode
Avatar for takakuni takakuni
0
28
AWS WAF Anti-DDoS Protection in 5 Minutes!
Avatar for takakuni takakuni
0
500
AWS Backup Air-Gapped Vaults with Multi-Party Approval Explained in 5 Minutes!
Avatar for takakuni takakuni
0
230
5min GuardDuty Extended Threat Detection EKS
Avatar for takakuni takakuni
0
300
OpenAI models overview 202505
Avatar for takakuni takakuni
0
370
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
Avatar for takakuni takakuni
0
230
Classmethod AI Talks #13
Avatar for takakuni takakuni
0
360
About Extended Threat Detection in Amazon GuardDuty
Avatar for takakuni takakuni
0
350
SageMaker Hyperpod 101 #regrowth_sapporo
Avatar for takakuni takakuni
1
380

Featured

See All Featured
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
133
19k
Bridging the Design Gap: How Collaborative Modelling removes blockers to flow between stakeholders and teams @FastFlow conf
Avatar for Kenny Baas-Schwegler baasie
0
500
How to make the Groovebox
Avatar for あそなす asonas
2
2.1k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
230
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.5k
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
7.2k
The Illustrated Guide to Node.js - THAT Conference 2024
Avatar for David Neal reverentgeek
1
320
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
230
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
460
Building Flexible Design Systems
Avatar for Yesenia Perez-Cruz yeseniaperezcruz
330
40k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
Avatar for Helen Beal helenjbeal
1
140

Transcript

  1. クラスメソッド株式会社 
 たかくに
 2024.06.17 
 1
 re:Inforce 2024 
 コンテナセキュリティアップデートまとめ

  2. 2
 自己紹介
 たかくに
 • 所属:クラスメソッド株式会社
 • 部署:AWS 事業本部コンサルティング部
 • ロール:ソリューションアーキテクト


    • 最近の推し:Amazon Bedrock 周り


  3. 3
 アジェンダ 
 • AWS Fargate の一時ストレージ暗号化
 • Inspector のコンテナイメージスキャン


    ◦ GHA, CodeCatalyst の統合サポート
 ◦ Dockerfile の設定不備を検出


  4. 4
 AWS Fargate の一時ストレージ暗号化 


  5. 5
 Dance like nobody’s watching, 
 encrypt like everybody is.

    
 
 人目を気にせず、自分らしく踊りましょう 
 みんながしているように暗号化しましょう 
 Werner Vogels, Amazon CTO 


  6. 6
 AWS Fargate の一時ストレージ暗号化 


  7. 7
 AWS Fargate の一時ストレージ暗号化 


  8. 8
 AWS Fargate の一時ストレージ暗号化 
 • 一時ストレージを CMK で暗号化可能に
 ◦

    CMK:カスタマーマネージドキー
 • ECS で扱う全てのストレージ領域で KMS が利用可能に
 ◦ Platform v1.4.0 以降
 ◦ Linux コンテナのみ対応


  9. • キーポリシー で許可
 ◦ タスク実行ロール、タスクロールでは特に何もしない
 • 既存サービスへの適用
 ◦ タスクの置き換えが必要 


    9 AWS Fargate の⼀時ストレージ暗号化

  10. 10
 Inspector のコンテナイメージスキャン 


  11. 11 Inspector のコンテナイメージスキャン

  12. • Inspector Scan API が提供された
 ◦ API 自体の利用は無料
 ▪ Inspector

    v2 API とはスキーマが異なる
 ◦ CI/CD パイプラインでスキャンの実装が楽になった
 • SBOM(ソフトウェアの部品表)から脆弱性スキャン
 • Jenkins, TeamCity は発表初期からマネージド統合
 12 re:Invent 2023 のおさらい

  13. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 13 今回のアップデート

  14. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 14 今回のアップデート

  15. • コンテナイメージの脆弱性以外に 
 ◦ Dockerfile の設定不備(misconfiguration)を検出
 • スキャン方法
 ◦ コンテナイメージ内の

    Dockerfile 
 ◦ Dockerfile を含むディレクトリ
 ◦ Dockerfile 本体をターゲットにした場合
 15 Dockerfile の設定不備をスキャン可能に

  16. 検出項目
 • sudo のバイナリが含まれる
 • apt-get update/install を複数行の RUN で実行


    • 認証情報がハードコードされている
 • 特権モードで実行している
 • 各ランタイムでの脆弱な環境変数の設定
 • 各ランタイムでの脆弱なコマンドフラグの設定
 16 Dockerfile の設定不備をスキャン可能に

  17. 17 Dockerfile の設定不備をスキャン可能に

  18. 18 Dockerfile の設定不備をスキャン可能に

  19. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 19 今回のアップデート

  20. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 20 今回のアップデート

  21. • uses で簡単に設定可能
 21 Github Actions と CodeCatalyst に統合

  22. • スキャン結果をマークダウン で出力可能
 22 Github Actions と CodeCatalyst に統合

  23. 23 Github Actions と CodeCatalyst に統合

  24. 24 Github Actions と CodeCatalyst に統合

  25. • コンテナセキュリティアップデートがいくつかあった
 • ECS の一時ストレージ暗号化対応
 ◦ ストレージ領域の暗号化をコンプリート
 • Inspector v2


    ◦ Github Actions と CodeCatalyst で CI/CD 統合
 ◦ Dockerfile の設定不備もみるようになった
 ▪ これからに期待ですね
 25 まとめ