Trend Vision One Container Securityでイメージのシークレットスキャンをしてみた
2024.07.08こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか?Trend Vision Oneには、Container Security(以降V1CS)という機能があり、名前の通りコンテナ環境に対するセキュリティ強化をご支援するソリューションです。先日そのV1CSの機能であるイメージスキャンで、シークレットスキャンができるようになるアップデートがありました。これにより、コンテナイメージ内に意図せずパスワードやAPIキーのような機密情報が混入してしまった場合でも、スキャン結果により気づくことができます。では、早速試していきます。
環境構築
環境構築方法についてはアップデート前と変化はないので、過去のブログをご確認ください。
試してみた
早速イメージスキャンを実行してみます。docker imagesとしては以下のような状態になっており、イメージにはテスト用に作成したAWSのシークレットキー、アクセスキーを含むファイルを配置しています。
$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
test-20240708-01 latest 22cee2e931af 21 seconds ago 144MB
上記のイメージに対して、イメージスキャンを実行します。オプションで「secrets」指定することでシークレットスキャンを実施することができます。その他コマンドの詳細については、以下をご確認ください。
$ tmas scan secrets docker:test-20240708-01:latest -r ap-northeast-1
Scan Complete
{
"secrets": {
"totalFilesScanned": 3307,
"unmitigatedFindingsCount": 7,
"overriddenFindingsCount": 0,
"findings": {
"unmitigated": [
{
"ruleID": "aws-access-token",
"description": "Identified a pattern that may indicate AWS credentials, risking unauthorized cloud resource access and data breaches on AWS platforms.",
"secret": "XXXXXXXXXXXXXXXXXXXX",
"location": {
"layerID": "sha256:4ac688645f02a47a7c3a675f9eadxxxxxfcf8ee7af9aa4cfcc770d9ff839b61",
"path": "/test/credentials",
"startLine": 2,
"endLine": 2,
"startColumn": 22,
"endColumn": 41
}
}
(以下略)
7件検出しており、意図した通りにテスト用のシークレットキーアクセスキーを含んだファイルも検出しました。検出結果には、対象ファイルパス、対象箇所やAWSの認証情報であることも記載されていました。
最後に
今回はV1CSのコンテナイメージスキャンで、シークレットスキャンを試してみました。CIに組み込んでできることが増えるので、とても良いアップデートですね。
本記事がどなたかのお役に立てれば幸いです。
