Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
re:Inforce 2024 コンテナセキュリティアップデートまとめ
Search
takakuni
June 21, 2024
0
440
re:Inforce 2024 コンテナセキュリティアップデートまとめ
takakuni
June 21, 2024
Tweet
Share
More Decks by takakuni
See All by takakuni
AWS WAF Anti-DDoS Protection in 5 Minutes!
takakuni
0
350
AWS Backup Air-Gapped Vaults with Multi-Party Approval Explained in 5 Minutes!
takakuni
0
150
5min GuardDuty Extended Threat Detection EKS
takakuni
0
240
OpenAI models overview 202505
takakuni
0
310
[Sample] Validate hyperlink for Amazon Bedrock Data Automation
takakuni
0
160
Classmethod AI Talks #13
takakuni
0
280
About Extended Threat Detection in Amazon GuardDuty
takakuni
0
300
SageMaker Hyperpod 101 #regrowth_sapporo
takakuni
1
320
What is Amazon Bedrock knowledge base with an Amazon Kendra GenAI index?
takakuni
0
570
Featured
See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
127
53k
Speed Design
sergeychernyshev
32
1.1k
Why Our Code Smells
bkeepers
PRO
339
57k
Bootstrapping a Software Product
garrettdimon
PRO
307
110k
The World Runs on Bad Software
bkeepers
PRO
71
11k
VelocityConf: Rendering Performance Case Studies
addyosmani
332
24k
Site-Speed That Sticks
csswizardry
11
870
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
45
2.5k
Documentation Writing (for coders)
carmenintech
75
5k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Git: the NoSQL Database
bkeepers
PRO
431
66k
Balancing Empowerment & Direction
lara
4
670
Transcript
クラスメソッド株式会社 たかくに 2024.06.17 1 re:Inforce 2024 コンテナセキュリティアップデートまとめ
2 自己紹介 たかくに • 所属:クラスメソッド株式会社 • 部署:AWS 事業本部コンサルティング部 • ロール:ソリューションアーキテクト
• 最近の推し:Amazon Bedrock 周り
3 アジェンダ • AWS Fargate の一時ストレージ暗号化 • Inspector のコンテナイメージスキャン
◦ GHA, CodeCatalyst の統合サポート ◦ Dockerfile の設定不備を検出
4 AWS Fargate の一時ストレージ暗号化
5 Dance like nobody’s watching, encrypt like everybody is.
人目を気にせず、自分らしく踊りましょう みんながしているように暗号化しましょう Werner Vogels, Amazon CTO
6 AWS Fargate の一時ストレージ暗号化
7 AWS Fargate の一時ストレージ暗号化
8 AWS Fargate の一時ストレージ暗号化 • 一時ストレージを CMK で暗号化可能に ◦
CMK:カスタマーマネージドキー • ECS で扱う全てのストレージ領域で KMS が利用可能に ◦ Platform v1.4.0 以降 ◦ Linux コンテナのみ対応
• キーポリシー で許可 ◦ タスク実行ロール、タスクロールでは特に何もしない • 既存サービスへの適用 ◦ タスクの置き換えが必要
9 AWS Fargate の⼀時ストレージ暗号化
10 Inspector のコンテナイメージスキャン
11 Inspector のコンテナイメージスキャン
• Inspector Scan API が提供された ◦ API 自体の利用は無料 ▪ Inspector
v2 API とはスキーマが異なる ◦ CI/CD パイプラインでスキャンの実装が楽になった • SBOM(ソフトウェアの部品表)から脆弱性スキャン • Jenkins, TeamCity は発表初期からマネージド統合 12 re:Invent 2023 のおさらい
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 13 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 14 今回のアップデート
• コンテナイメージの脆弱性以外に ◦ Dockerfile の設定不備(misconfiguration)を検出 • スキャン方法 ◦ コンテナイメージ内の
Dockerfile ◦ Dockerfile を含むディレクトリ ◦ Dockerfile 本体をターゲットにした場合 15 Dockerfile の設定不備をスキャン可能に
検出項目 • sudo のバイナリが含まれる • apt-get update/install を複数行の RUN で実行
• 認証情報がハードコードされている • 特権モードで実行している • 各ランタイムでの脆弱な環境変数の設定 • 各ランタイムでの脆弱なコマンドフラグの設定 16 Dockerfile の設定不備をスキャン可能に
17 Dockerfile の設定不備をスキャン可能に
18 Dockerfile の設定不備をスキャン可能に
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 19 今回のアップデート
• コンテナイメージスキャンに加え ◦ Dockerfile の設定不備をスキャン可能に • Jenkins, TeamCity に加え、
◦ Github Actions と CodeCatalyst に統合 20 今回のアップデート
• uses で簡単に設定可能 21 Github Actions と CodeCatalyst に統合
• スキャン結果をマークダウン で出力可能 22 Github Actions と CodeCatalyst に統合
23 Github Actions と CodeCatalyst に統合
24 Github Actions と CodeCatalyst に統合
• コンテナセキュリティアップデートがいくつかあった • ECS の一時ストレージ暗号化対応 ◦ ストレージ領域の暗号化をコンプリート • Inspector v2
◦ Github Actions と CodeCatalyst で CI/CD 統合 ◦ Dockerfile の設定不備もみるようになった ▪ これからに期待ですね 25 まとめ