Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
re:Inforce 2024 コンテナセキュリティアップデートまとめ
Search
takakuni
June 21, 2024
0
430
re:Inforce 2024 コンテナセキュリティアップデートまとめ
takakuni
June 21, 2024
Tweet
Share
More Decks by takakuni
See All by takakuni
OpenAI models overview 202505
takakuni
0
270
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
takakuni
0
100
Classmethod AI Talks #13
takakuni
0
230
Allowed to prefixes
takakuni
0
470
About Extended Threat Detection in Amazon GuardDuty
takakuni
0
260
SageMaker Hyperpod 101 #regrowth_sapporo
takakuni
1
280
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
takakuni
0
450
New Security Challenges and Countermeasures Brought by Generative AI in Classmethod Cloud Security Fes
takakuni
0
480
サンプルサンプル株式会社 会社説明資料
takakuni
0
4.2k
Featured
See All Featured
Large-scale JavaScript Application Architecture
addyosmani
512
110k
Gamification - CAS2011
davidbonilla
81
5.3k
Rebuilding a faster, lazier Slack
samanthasiow
81
9k
The Cost Of JavaScript in 2023
addyosmani
50
8.4k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
43
2.4k
A better future with KSS
kneath
239
17k
A designer walks into a library…
pauljervisheath
206
24k
Documentation Writing (for coders)
carmenintech
71
4.9k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
8
780
Visualization
eitanlees
146
16k
Making the Leap to Tech Lead
cromwellryan
134
9.3k
Transcript
クラスメソッド株式会社 たかくに 2024.06.17 1 re:Inforce 2024 コンテナセキュリティアップデートまとめ
2 自己紹介 たかくに • 所属:クラスメソッド株式会社 • 部署:AWS 事業本部コンサルティング部 • ロール:ソリューションアーキテクト
• 最近の推し:Amazon Bedrock 周り
3 アジェンダ • AWS Fargate の一時ストレージ暗号化 • Inspector のコンテナイメージスキャン
◦ GHA, CodeCatalyst の統合サポート ◦ Dockerfile の設定不備を検出
4 AWS Fargate の一時ストレージ暗号化
5 Dance like nobody’s watching, encrypt like everybody is.
人目を気にせず、自分らしく踊りましょう みんながしているように暗号化しましょう Werner Vogels, Amazon CTO
6 AWS Fargate の一時ストレージ暗号化
7 AWS Fargate の一時ストレージ暗号化
8 AWS Fargate の一時ストレージ暗号化 • 一時ストレージを CMK で暗号化可能に ◦
CMK:カスタマーマネージドキー • ECS で扱う全てのストレージ領域で KMS が利用可能に ◦ Platform v1.4.0 以降 ◦ Linux コンテナのみ対応
• キーポリシー で許可 ◦ タスク実行ロール、タスクロールでは特に何もしない • 既存サービスへの適用 ◦ タスクの置き換えが必要
9 AWS Fargate の⼀時ストレージ暗号化
10 Inspector のコンテナイメージスキャン
11 Inspector のコンテナイメージスキャン
• Inspector Scan API が提供された ◦ API 自体の利用は無料 ▪ Inspector
v2 API とはスキーマが異なる ◦ CI/CD パイプラインでスキャンの実装が楽になった • SBOM(ソフトウェアの部品表)から脆弱性スキャン • Jenkins, TeamCity は発表初期からマネージド統合 12 re:Invent 2023 のおさらい
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 13 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 14 今回のアップデート
• コンテナイメージの脆弱性以外に ◦ Dockerfile の設定不備(misconfiguration)を検出 • スキャン方法 ◦ コンテナイメージ内の
Dockerfile ◦ Dockerfile を含むディレクトリ ◦ Dockerfile 本体をターゲットにした場合 15 Dockerfile の設定不備をスキャン可能に
検出項目 • sudo のバイナリが含まれる • apt-get update/install を複数行の RUN で実行
• 認証情報がハードコードされている • 特権モードで実行している • 各ランタイムでの脆弱な環境変数の設定 • 各ランタイムでの脆弱なコマンドフラグの設定 16 Dockerfile の設定不備をスキャン可能に
17 Dockerfile の設定不備をスキャン可能に
18 Dockerfile の設定不備をスキャン可能に
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 19 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 20 今回のアップデート
• uses で簡単に設定可能 21 Github Actions と CodeCatalyst に統合
• スキャン結果をマークダウン で出力可能 22 Github Actions と CodeCatalyst に統合
23 Github Actions と CodeCatalyst に統合
24 Github Actions と CodeCatalyst に統合
• コンテナセキュリティアップデートがいくつかあった • ECS の一時ストレージ暗号化対応 ◦ ストレージ領域の暗号化をコンプリート • Inspector v2
◦ Github Actions と CodeCatalyst で CI/CD 統合 ◦ Dockerfile の設定不備もみるようになった ▪ これからに期待ですね 25 まとめ
takakuni
addyosmani
davidbonilla
samanthasiow
bcantrill
kneath
pauljervisheath
carmenintech
aarron
irinanazarova
eitanlees
cromwellryan
