Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Lizさんに届け!AWS Jr. ChampionとTop Engineerが書籍コンテナ...
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
x-blood
October 16, 2023
Technology
1.6k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Lizさんに届け! AWS Jr. ChampionとTop Engineerが 書籍コンテナセキュリティを読んで感じたこと
x-blood
October 16, 2023
More Decks by x-blood
See All by x-blood
Amazon Q Developerでテストコードを生成してみた
xblood
0
46
re:Inventで現地参加したコンテナ関連セッションを振り返る
xblood
0
560
Amazon EKS Pod Identityで何が変わるのか
xblood
0
1.1k
サーバーレスJavaパフォーマンス選手権 at AWS Dev Day 2023 Tokyo
xblood
2
1.5k
サーバーレスJavaの今 ~SnapStartとWeb Adapterを寄せて~
xblood
4
3.7k
Finch OSSコードリーディング
xblood
0
1.5k
ECS Service Connectでマイクロサービスを繋いでみた
xblood
0
2.5k
AWS Glue Git統合のPoCでの活用
xblood
0
230
Spring BootとKubernetesで実現する今どきのDevOps入門
xblood
1
1.2k
Other Decks in Technology
See All in Technology
AIに「使われる」時代のSaaS戦略 〜既存WebAPIのMCPサーバー化における開発ノウハウ〜
ekispert_api
0
300
『AIに負けない』より『AIと遊ぶ』」〜ワクワクが最強のテスト・QA学習戦略_公開用
odan611
2
520
人を動かすのは時間ではなく、納得感 〜新任EMが入社3ヶ月、組織を2回変えた話〜
kakehashi
PRO
3
170
AI時代における最適なQA組織の作り方
ymty
3
460
AI時代のエンジニアキャリアについて今一度考える
sakamoto_582
2
1.3k
知らん間に、回ってる
ming_ayami
0
330
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
8.1k
Amazon EVS で VCF 9.0 / 9.1 のサポート開始まとめ
mtoyoda
0
280
生成AI活用によるODC欠陥分析の分類高速化の実践と導入効果 / 20260703 Suguru Ishii
shift_evolve
PRO
2
100
AWS Summit の片隅で、体育座りしながらコミュニティがにぎわう理由を考えた
k_adachi_01
2
360
脱金融のフューチャー・デザイン / Future Design Beyond Finance
ks91
PRO
0
140
CSに"SLO"は要らない、経営層に"99.9%"は伝わらない - SREを全社に"翻訳"する3原則
cscengineer
PRO
1
3.6k
Featured
See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
47
8.2k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
Digital Ethics as a Driver of Design Innovation
axbom
PRO
1
340
Beyond borders and beyond the search box: How to win the global "messy middle" with AI-driven SEO
davidcarrasco
3
180
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
200
Breaking role norms: Why Content Design is so much more than writing copy - Taylor Woolridge
uxyall
0
340
Ten Tips & Tricks for a 🌱 transition
stuffmc
0
150
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4.3k
Introduction to Domain-Driven Design and Collaborative software design
baasie
1
890
Lessons Learnt from Crawling 1000+ Websites
charlesmeaden
PRO
1
1.3k
Why Our Code Smells
bkeepers
PRO
340
58k
Code Review Best Practice
trishagee
74
20k
Transcript
Lizさんに届け︕ AWS Jr. ChampionとTop Engineerが 書籍コンテナセキュリティを読んで 感じたこと 廣原 花⾳ &
佐藤 靖幸 JAWS-UG コンテナ⽀部 x JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 1
本セッション(LT)について 本セッションでは、Japan AWS Jr. Champion として表彰された コンテナ初⼼者の視点で書籍コンテナセキュリティを 読んだ感想や、保護者的な⽴ち位置の Japan AWS
Top Engineer が実践していること、 そしてAWSのコンテナ関連の機能追加についてお話します。 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 2
⾃⼰紹介 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 3
廣原 花⾳(hiropy) @hiropy6387 好きな領域 フロント開発 バックエンド開発 クラウドインフラ(AWS) 好きなAWSサービス ControlTower
⾃⼰紹介 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 4
佐藤 靖幸 @yasai_ls 得意領域 バックエンド開発 クラウドインフラ(AWS) © 佐藤靖幸 2023
HiropyのJr.Champions活動について APN参加企業に所属する若⼿エンジニアが 未来のTop Engineersを⽬指しガンガン活動中︕ • 限定イベントへの参加 • Jr.Champions内での勉強会。 • 最近はTop
Engineersも巻き込み中 • 社外イベントへの登壇 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 5 AWS界全体を若⼿の⼒で盛り上げていきます︕
アジェンダ 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 6
書籍「コンテナセキュリティ」を読了してみて コンテナセキュリティの取り組みで実践したこと AWS Security Hub による Amazon ECS コントロール ECRイメージの脆弱性スキャン Amazon EKS における GitOps その他の取り組み AWSにおけるコンテナセキュリティの機能トピック AWS Signer EKSクラスター 拡張サポート まとめ
書籍「コンテナセキュリティ」を 読了してみて 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ
7
読書感想 – From 廣原 • コンテナセキュリティ初⼼者なので、 そもそものコンテナの仕組みから触れていただくことで 「なぜこの脅威が発⽣するのか」から知ることができました。 • Docker
buildの危険性については、そもそも考えたことが なかったので、何事にも脅威は潜んでいることを 改めて認識させられました。 • CI/CDを組む時のセキュリティも何となくしか 知らなかったので、特に「マルチステージビルドにして サイズを⼩さくし、攻撃の範囲を狭くする」は とても勉強になりました。 • 個⼈的にはコマンドがあるのが嬉しいです。 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 8
読書感想 – From 佐藤 • 脅威の定義・関係するアクター・攻撃⼿段が明確に 記載されており、体系的な知識を網羅する書籍として ⼤変重宝しています。 • 最後のチェックリストは神がかっている。業務でそのまま
利⽤してもよいくらいに。 • コンテナセキュリティのはじめの1歩は Linuxの権限制御の仕組みを知ること。 • コンテナのビルドは継続的デプロイの仕組みを利⽤して ⾃動化を徹底したほうがよさそう。 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 9
コンテナセキュリティの取り組みで 実践したこと 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ
10
AWS Security Hub による Amazon ECS コントロール 2023/10/16 JAWS-UG コンテナ⽀部
× JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 11 Amazon ECS コントロール [ECS.1] Amazon ECS タスク定義には、セキュアなネットワークモードと ユーザー定義が必要です。 [ECS.2] ECS サービスには、パブリック IP アドレスを ⾃動で割り当てないでください [ECS.3] ECS タスクの定義では、ホストのプロセス名前空間を 共有しないでください [ECS.4] ECS コンテナは、⾮特権として実⾏する必要があります [ECS.5] ECS コンテナは、ルートファイルシステムへの 読み取り専⽤アクセスに制限する必要があります。 [ECS.8] シークレットは、コンテナ環境の変数として渡さないでください [ECS.10] ECS Fargate サービスは、最新の Fargate プラットフォームバージョンで実⾏する必要があります。 [ECS.12] ECS クラスターはコンテナインサイトを使⽤する必要があります
ECRイメージの脆弱性スキャン • ECRのイメージスキャン機能によるスキャン • Amazon Inspector V2による拡張スキャン 2023/10/16 JAWS-UG コンテナ⽀部
× JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 12
Amazon EKS における GitOPS 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部
#1 今知りたいコンテナセキュリティ 13
その他の取り組み • Synkによる脆弱性スキャンのシフトレフト • kubesec や ArgoCD Vault Pluginによるシークレット管理 2023/10/16
JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 14 https://blog.mmmcorp.co.jp/2022/02/24/yassan-argocd-with-aws-secrets-manager/
AWSにおけるコンテナセキュリティの 気になるトピック 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ
15 今をときめくAWSにおける コンテナセキュリティの トピック
AWS Signer • AWSのコード署名機能である AWS Signerがコード署名だけ でなく、コンテナイメージの 署名をサポート • ECRのOCIディストリビューショ
ン機能を使⽤して署名情報を イメージと⼀緒に格納可能 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 16
AWS Signer with EKS • EKSでDynamic Admission Controlを⽤いて、Podのデプロ イメントを⾏うタイミングでコ ンテナイメージの署名を検証す
ることが出来る。 • OSS プロジェクト kyverno-notation-aws がある 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 17
Amazon EKSクラスター 拡張サポート • Amazon EKSは常に少なくとも4つの Kubernetesバージョンをサポート • 拡張サポートは、初期サポートで14ヶ⽉、 拡張サポートで12ヶ⽉の合計26ヶ⽉、
Kubernetesのバージョンを実⾏可能 • 現在はプレビュー中のため無料。2024年 初頭に拡張サポートが⼀般提供されると 時間毎に追加料⾦が発⽣ 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 18
まとめ 2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 19
書籍コンテナセキュリティを読んで コンテナセキュリティに取り組もう︕ • コンテナ初⼼者・経験者の視点で書籍コンテナセキュリティを 読了した感想をお届けしました︕ • 書籍コンテナセキュリティはとてもいい本です︕ 本書を読んで、コンテナセキュリティに 取り組んでいきましょう︕ 2023/10/16
JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 20
2023/10/16 JAWS-UG コンテナ⽀部 × JAWS-UG 千葉⽀部 #1 今知りたいコンテナセキュリティ 21