JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 今知りたいコンテナセキュリティ
セッション
コンテナ × セキュリティ × AWS
スリーシェイク 水元 さん
- コンテナとセキュリティに分解して2つの観点で考える
- コンテナとホスト間の分離の強化
- コンテナ固有のセキュリティはあまりない
- セキュリティの観点は従来どおり
- リスクの大きさと対策コストから費用対効果を考える
リスクと対策コストのバランス考えるのは大事ですね。
アプリケーションエンジニアのための、コンテナセキュリティの全体像
- コンテナセキュリティの全体像 (NIST Special Publication 800-190)
- イメージ、レジストリ、オーケストラ、コンテナ、ホストOS
- アプリエンジニアはイメージ作成に特に注意
hodolint と Dockle は後で調べる。
ECS on Fargate のセキュリティ対策は何をやるべき? 開発者目線で考える
クラスメソッド 佐藤 さん
- Fargate では何をすべきか?
LT1 コンテナセキュリティ対応でSnykを導入中に発生した・発生中のいろんなこと
千葉支部運営 山口 さん
- すべての場所でスキャンしている
エレベータピッチで LT 内容を説明しているのが素晴らしかった。
LT2 Lizさんに届け!AWS Jr.ChampionとTop Engineerが書籍コンテナセキュリティを読んで感じたこと
DWS 廣原さん、佐藤さん
2名で登壇予定が廣原さんはインフルエンザで欠席。お大事に。
LT3:FargateのPID namespace sharingを試してみた
釜田康平 さん
- PID namespace を共有することでサイドカーコンテナのプロセス監視、システムコールの監視が可能になる
- ECS on EC2 は可能だったが、Faragte は不可だったが可能になった
- Fargate のタスク定義で
"pidMode": "task"として指定すると有効化できる - プロセスだけじゃなくてファイルシステムも共有できるので注意
セキュリティ的に有利な理由は、穴を開けなくてもコンテナ間でやり取りできるからということかな?
LT4:AWS CDKでコンテナイメージスキャンを行う〜ECRとその他の方法〜
k.goto さん
- CDK で簡単にコンテナイメージのビルドからプッシュまでできる
無ければ作ればいいって強すぎ。
所感
コンテナだとその範囲だけでしか被害を受けないからセキュリティ的にはちょっと強いかなと思ったりするのですが、一つのサーバーとしてちゃんと見てあげる必要がありますね。
ホストまで面倒見たくないし、やっぱり Fargate は良い。
