Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dockerセキュリティ対策の現状と対策ツールの仕組み&使い方

Tomoya Amachi
June 17, 2019
Technology
2
1.4k

 Dockerセキュリティ対策の現状と対策ツールの仕組み&使い方

Vuls祭り #5で話した内容です。
コンテナのセキュリティ対策であるTrivy, Dockle, Vulsのすべてに深く関わっている人間として話しました。

各ツールでの役割
- Vuls : コンテナスキャナ機能の実装/Trivyからライブラリスキャン機能をインポート etc
- Dockle : Author
- Trivy : 初期から深く関わっているコミッタ

Tomoya Amachi

June 17, 2019
Tweet

More Decks by Tomoya Amachi

See All by Tomoya Amachi
Azureで守るマルチクラウド
tomoyamachi
0
380
XDPを利用したエッジデバイスでのネットワーク制御
tomoyamachi
0
380
クラウド時代のセキュリティをふりかえる
tomoyamachi
1
820
Integrating Service Mesh with Kubernetes-based connected vehicle platform
tomoyamachi
1
830
Cloud Native Development Design Patterns
tomoyamachi
2
3.3k
Check Container Images with Original Rules@GoConference 2019 Autumn
tomoyamachi
2
2.9k
GAE FEのdeployストレスを軽減する10の方法
tomoyamachi
0
350

Other Decks in Technology

See All in Technology
ChatGPTを前に頭が真っ白を乗り越え人が答えることが困難な認知負荷MAXなタフクエスチョンをどんどん回答させてプロダクト価値を爆速探求するぞ/cognitive_load_question_and_chatgpt
moriyuya
2
320
TechNight#71 - Oracle Database 23c 新機能#1 JSON関連新機能
oracle4engineer
PRO
0
110
cache rules everything
csswizardry
0
260
監視とオブザーバビリティ 〜 悩む前に確認しておくべきこと / 20230926-ssmjp-monitoring-and-observability
opelab
9
1.2k
self-hosted runnerと actions/cache の噛み合わせが悪かった件 #githubactionsmeetup
whywaita
PRO
1
490
事業や組織の変化に柔軟に適応するIVRyのプロダクト開発チーム運営 / IVRy's Product Development
yrhorita
1
120
セキュアエレメントによるWireGuardのセキュリティ強化
kmwebnet
0
140
セルフホストランナーとインターネットとの間の転送量を削減している話
defaultcf
0
130
kanto_kaggler_senkin13
senkin13
1
970
【IoT-Tech Meetup #5】IoTとは?WireGuard概要とIoTで通信を守る理由
soracom
PRO
0
130
サービスへの影響を抑えてデータベースの移行を実施したはなし Aurora MySQL -> Cloud SQL
pistatium
0
250
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
7
90k

Featured

See All Featured
How to Ace a Technical Interview
jacobian
272
22k
How GitHub Uses GitHub to Build GitHub
holman
467
280k
Fashionably flexible responsive web design (full day workshop)
malarkey
395
64k
Fontdeck: Realign not Redesign
paulrobertlloyd
74
4.6k
Statistics for Hackers
jakevdp
787
210k
Fireside Chat
paigeccino
18
2.2k
Clear Off the Table
cherdarchuk
81
300k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
12
5.7k
How to name files
jennybc
56
84k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
16k
What's new in Ruby 2.0
geeforr
336
30k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
101
6.4k

Transcript

  1. Dockerセキュリティ対策の現状と
    対策ツールの仕組み & 使い方
    Dockle / Trivyの原理と使い方 @ 2019.06.17 Vuls祭り #5

    View Slide

  2. 自己紹介
    名前 : Tomoya AMACHI/天地知也
    - Dockle作成者
    - Vuls / Trivyコミッタ
    所属 : Goodwith LLC.,
    - Future Vulsのフロント/バックエンド etc
    よく使う言語
    - JavaScript / Go / Python / PHP
    SNSなど
    - https://github.com/tomoyamachi
    - https://twitter.com/tomoyamachi

    View Slide

  3. 今回話したいこと
    ● Docker運用でチェックしたい大項目
    ● TrivyとDockleを使おう
    ● TrivyとDockleで何がチェックできるか
    ● TrivyとDockleがどう動いているか
    ● 実践講座(3分程度)
    ● Vulsでもイメージスキャン!
    ※ 今回の資料の「コンテナ」とは
    Dockerコンテナのことを指します
    今回はコンテナイメージのセキュリティがメインです

    View Slide

  4. コンテナ使ってますか?

    View Slide

  5. IDC Japanによると半数がDockerに取り組み中
    https://www.idcjapan.co.jp/Press/Current/20180614Apr.html

    View Slide

  6. コンテナの脆弱性対策してますか?

    View Slide

  7. 60%の組織でインシデントが起こっている
    https://www.tripwire.com/state-of-security/devops/organizations-container-security-incident/

    View Slide

  8. 何を判断指標にするか?

    View Slide

  9. CISがセキュリティのベンチマークを出している
    https://www.cisecurity.org/cis-benchmarks/
    大項目
    ● Host Configuration
    ● Docker Daemon Configuration
    ● Container Images and Build Files
    ● Container Runtime

    View Slide

  10. Docker Bench for Security
    https://github.com/docker/docker-bench-security
    CISのベンチマークを一通りチェックできる。
    ただし
    ● シェルスクリプトで実装
    ● 依存パッケージが多数
    ● 未実装の項目も多い

    View Slide

  11. そもそもBuildと実行環境が別
    ECS, GKEなどクラウド環境で実行することのほうが多い

    View Slide

  12. イメージだけ簡単にチェックしたい
    クラウドのマネージドサービスで運用する場合

    View Slide

  13. そこで Dockle と Trivy!!

    View Slide

  14. Dockle @tomoyamachi released : 6/12
    ● イメージに含まれるセキュリティホールをチェック

    ○ CVE-2019-5021: Alpine Docker Image ‘null root password’ Vulnerability 

    ○ CVE-IDなどに限らない

    ● Dockerfile Lintではなく、イメージの解析なので、元イメージに含まれる脆弱性も気付ける

    ● 競合に比べ高い検知性能

    ● ベストプラクティスなコンテナづくりを支援

    ○ Best practices for writing Dockerfiles 

    ● 3分でできる!最高のDockerfileを書いたあとにやるべき1つのこと @Qiita


    View Slide

  15. Trivy @knqyf263 released : 5/15
    ● CVE-IDなどが付与される脆弱性を検知

    ● 競合に比べ高い検知性能

    ● Alpine/RHEL/CentOS/Ubuntu/Debian

    ● アプリケーションの依存ライブラリもチェック

    ○ Gemfile.lock
    ○ Pipfile.lock
    ○ poetry.lock
    ○ composer.lock
    ○ package-lock.json
    ○ yarn.lock
    ○ Cargo.lock
    ● CIで使えるコンテナの脆弱性スキャナ @Qiita

    View Slide

  16. Dockle/Trivyでチェックできること

    View Slide

  17. CISベンチマークのチェック項目(意訳)
    1. コンテナ用のユーザをつくろう

    2. 信頼できるイメージをベースにしよう

    3. 不要なパッケージは入れない

    4. 脆弱性のあるパッケージを見つけたら、再ビルドして脆弱性をなくそう

    5. Content Trustを有効にしよう

    6. HEALTHCHECKをつかおう

    7. 単独でupdateを利用しない

    8. setuid/setgidは使わない

    9. ADDの代わりにCOPYを使おう

    10. 秘密情報をDockerfileに入れない

    11. 安全なパッケージだけ使おう

    ※ Container Images and Build Filesの項目


    View Slide

  18. Dockle Trivy
    コンテナ用のユーザを作ろう ✅ -
    信頼できるイメージをベースにしよう -
    不要なパッケージは入れない - -
    脆弱性のあるパッケージを見つけたら、

    再ビルドして脆弱性をなくそう
    - ✅
    Content Trustを有効にしよう ✅ -
    HEALTHCHECKをつかおう ✅ -
    単独でupdateを利用しない ✅ -
    setuid/setgidは使わない ✅ -
    ADDの代わりにCOPYを使おう ✅ -
    秘密情報をDockerfileに入れない ✅ -
    安全なソースからパッケージを入れよう -

    View Slide

  19. Dockle Trivy
    Create a user for the container ✅ -
    Use trusted base images for containers -
    Do not install unnecessary packages in the container - -
    Scan and rebuild the images to include security patches - ✅
    Enable Content trust for Docker ✅ -
    Add HEALTHCHECK instruction to the container image ✅ -
    Do not use update instructions alone in the Dockerfile ✅ -
    Remove setuid and setgid permissions in the images ✅ -
    Use COPY instead of ADD in Dockerfile ✅ -
    Do not store secrets in Dockerfiles ✅ -
    Install verified packages only -

    View Slide

  20. どうやって動いてるのか

    View Slide

  21. さいしょに
    すべてはファイルである
    Linux(UNIX-Likeなツール)は、すべてファイルで構成される
    ※ リンクやディレクトリなども、特殊なファイルである

    View Slide

  22. コンテナイメージの説明 ①
    以下のファイルをtarで圧縮したもの
    ● イメージの概要をまとめたファイル
    ○ 実行されたコマンド
    ○ コンテナ起動時の設定など
    ● レイヤごとの情報が入ったフォルダ群
    ○ 次ページで説明
    https://www.slideshare.net/cr0hn/rootedcon-2017-docker-
    might-not-be-your-friend-trojanizing-docker-images

    View Slide

  23. コンテナイメージの説明 ②
    レイヤごとの情報
    ● レイヤのメタデータ
    ● フォルダ構造
    https://www.slideshare.net/cr0hn/rootedcon-2017-d
    ocker-might-not-be-your-friend-trojanizing-docker-im
    ages

    View Slide

  24. Dockle/Trivyでやっていること
    1. Dockerイメージをtarファイルとして見る
    2. tarファイルを解凍
    3. tarファイルの中で、レイヤの順番を整理
    4. 最終的にイメージで利用される指定のファイルを取り出す
    ○ もちろんリンクやディレクトリも可能
    5. ファイルをパースして解析
    ○ OS/OSバージョン, インストールパッケージ
    ○ ライブラリのロックファイル
    ○ /etc/shadow情報 ...etc...

    View Slide

  25. だからイメージの解析だけで色々わかる
    なぜなら...

    View Slide

  26. 実践

    View Slide

  27. $ docker build -t vuls-festival:test .
    $ brew install goodwithtech/dockle/dockle
    $ brew install knqyf263/trivy/trivy
    $ dockle vuls-festival:test
    $ trivy vuls-festival:test
    直接コマンドラインで実行
    ※ Trivyはローカルに脆弱性データベースを
    構築するので、初回は 10分程度かかります。
    うちの犬

    View Slide

  28. まずは手元のイメージをチェック
    HostやDocker Daemon, ContainerRuntimeのセキュリティ話はまた別の機会に

    View Slide

  29. Vulsでも試せる

    View Slide

  30. Vulsでもイメージの解析/ライブラリ検知に対応
    ● Trivyの機能を取り込み (DockleはCVE-IDに紐付かないので未取り込み
    )
    ● パッケージの脆弱性検知の部分は
    Vulsのものを利用

    View Slide

  31. イメージ以外のサーバにあるライブラリにも対応
    以下の2パターンが選べます。
    1. findLockで自動で検知 (findを利用してるので時間がかかる)
    2. lockfilesでファイル指定
    [servers.abuntu]
    host = "xxx.xxx.xxx"
    port = "22"
    user = "tamachi"
    keyPath = "/Users/amachi/.ssh/id_dsa"
    findLock = true # auto detect lockfile
    lockfiles = [
    "/home/tamachi/lockfiles/package-lock.json"
    "/home/tamachi/lockfiles/yarn.lock"
    ]

    View Slide

  32. スター & 応援をお願いします!!

    View Slide

  33. ありがとうございました

    View Slide

  34. 時間が余ったときの小ネタ
    ● 実はVuls/Trivy/Dockleのすべてで利用されているイメージの解析するライブラリがある
    ● https://github.com/knqyf263/fanal(フランス語で「灯台」)
    ● レポジトリの命名は神戸さん
    ○ 詳しくは休憩時間に聞いてください

    View Slide