Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Inforce 2024 コンテナセキュリティアップデートまとめ

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for takakuni takakuni
June 21, 2024
470
0

re:Inforce 2024 コンテナセキュリティアップデートまとめ

Avatar for takakuni

takakuni

June 21, 2024

More Decks by takakuni

See All by takakuni
ECS Express Mode
Avatar for takakuni takakuni
0
36
AWS WAF Anti-DDoS Protection in 5 Minutes!
Avatar for takakuni takakuni
0
610
AWS Backup Air-Gapped Vaults with Multi-Party Approval Explained in 5 Minutes!
Avatar for takakuni takakuni
0
310
5min GuardDuty Extended Threat Detection EKS
Avatar for takakuni takakuni
0
380
OpenAI models overview 202505
Avatar for takakuni takakuni
0
440
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
Avatar for takakuni takakuni
0
300
Classmethod AI Talks #13
Avatar for takakuni takakuni
0
430
About Extended Threat Detection in Amazon GuardDuty
Avatar for takakuni takakuni
0
410
SageMaker Hyperpod 101 #regrowth_sapporo
Avatar for takakuni takakuni
1
430

Featured

See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
123
22k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
57
7k
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.5k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
490
Abbi's Birthday
Avatar for Violet Bock coloredviolet
2
8.1k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
49
10k
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
8
720
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
Building Applications with DynamoDB
Avatar for Matt Wood mza
96
7.1k
Discover your Explorer Soul
Avatar for Emna emna__ayadi
2
1.1k

Transcript

  1. クラスメソッド株式会社 
 たかくに
 2024.06.17 
 1
 re:Inforce 2024 
 コンテナセキュリティアップデートまとめ

  2. 2
 自己紹介
 たかくに
 • 所属:クラスメソッド株式会社
 • 部署:AWS 事業本部コンサルティング部
 • ロール:ソリューションアーキテクト


    • 最近の推し:Amazon Bedrock 周り


  3. 3
 アジェンダ 
 • AWS Fargate の一時ストレージ暗号化
 • Inspector のコンテナイメージスキャン


    ◦ GHA, CodeCatalyst の統合サポート
 ◦ Dockerfile の設定不備を検出


  4. 4
 AWS Fargate の一時ストレージ暗号化 


  5. 5
 Dance like nobody’s watching, 
 encrypt like everybody is.

    
 
 人目を気にせず、自分らしく踊りましょう 
 みんながしているように暗号化しましょう 
 Werner Vogels, Amazon CTO 


  6. 6
 AWS Fargate の一時ストレージ暗号化 


  7. 7
 AWS Fargate の一時ストレージ暗号化 


  8. 8
 AWS Fargate の一時ストレージ暗号化 
 • 一時ストレージを CMK で暗号化可能に
 ◦

    CMK:カスタマーマネージドキー
 • ECS で扱う全てのストレージ領域で KMS が利用可能に
 ◦ Platform v1.4.0 以降
 ◦ Linux コンテナのみ対応


  9. • キーポリシー で許可
 ◦ タスク実行ロール、タスクロールでは特に何もしない
 • 既存サービスへの適用
 ◦ タスクの置き換えが必要 


    9 AWS Fargate の⼀時ストレージ暗号化

  10. 10
 Inspector のコンテナイメージスキャン 


  11. 11 Inspector のコンテナイメージスキャン

  12. • Inspector Scan API が提供された
 ◦ API 自体の利用は無料
 ▪ Inspector

    v2 API とはスキーマが異なる
 ◦ CI/CD パイプラインでスキャンの実装が楽になった
 • SBOM(ソフトウェアの部品表)から脆弱性スキャン
 • Jenkins, TeamCity は発表初期からマネージド統合
 12 re:Invent 2023 のおさらい

  13. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 13 今回のアップデート

  14. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 14 今回のアップデート

  15. • コンテナイメージの脆弱性以外に 
 ◦ Dockerfile の設定不備(misconfiguration)を検出
 • スキャン方法
 ◦ コンテナイメージ内の

    Dockerfile 
 ◦ Dockerfile を含むディレクトリ
 ◦ Dockerfile 本体をターゲットにした場合
 15 Dockerfile の設定不備をスキャン可能に

  16. 検出項目
 • sudo のバイナリが含まれる
 • apt-get update/install を複数行の RUN で実行


    • 認証情報がハードコードされている
 • 特権モードで実行している
 • 各ランタイムでの脆弱な環境変数の設定
 • 各ランタイムでの脆弱なコマンドフラグの設定
 16 Dockerfile の設定不備をスキャン可能に

  17. 17 Dockerfile の設定不備をスキャン可能に

  18. 18 Dockerfile の設定不備をスキャン可能に

  19. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 19 今回のアップデート

  20. • コンテナイメージスキャンに加え
 ◦ Dockerfile の設定不備をスキャン可能に 
 • Jenkins, TeamCity に加え、


    ◦ Github Actions と CodeCatalyst に統合
 20 今回のアップデート

  21. • uses で簡単に設定可能
 21 Github Actions と CodeCatalyst に統合

  22. • スキャン結果をマークダウン で出力可能
 22 Github Actions と CodeCatalyst に統合

  23. 23 Github Actions と CodeCatalyst に統合

  24. 24 Github Actions と CodeCatalyst に統合

  25. • コンテナセキュリティアップデートがいくつかあった
 • ECS の一時ストレージ暗号化対応
 ◦ ストレージ領域の暗号化をコンプリート
 • Inspector v2


    ◦ Github Actions と CodeCatalyst で CI/CD 統合
 ◦ Dockerfile の設定不備もみるようになった
 ▪ これからに期待ですね
 25 まとめ