Aqua Enterpriseを使用して、コンテナイメージに適切なラベルの付与を強制してみた

Aqua Enterpriseを使用して、コンテナイメージに適切なラベルの付与を強制してみた

#Aqua
#セキュリティ
枡川 健太郎

枡川 健太郎

facebook logohatena logotwitter logo
Clock Icon2022.03.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。枡川です。
Aqua Enterpriseを使用して、指定したラベルを付与していない場合にパイプラインが失敗するように設定してみました。
これはLabel Requiredと呼ばれるポリシーを使用することで実現可能です。
コンテナイメージに適切にラベルを付与することで、イメージの管理者やビルドに使用したソースコード等を明確にすることが可能です。
社内ガイドライン等でラベルの付与を義務付けている場合、Aqua Enterpriseを使用して簡単に強制することができます。

前提・注意点について

本記事における検証においては、Aqua社から提供いただいたトライアルアカウントを利用しています。
コンテナイメージや、セットアップ用のドキュメントなどは、公式ドキュメントアクセス用のアカウントが必要となりますのでご留意ください。

セットアップについて

パイプラインとは別にAqua Enterprise自体のセットアップが必要です。
EC2にDockerをインストールしてセットアップしたり、ECS Fargateを使用したりできます。
詳細な内容は下記ブログを参照下さい。

シナリオ

下図のような単純なパイプラインを想定します。
GitHubへのpushをトリガーにして、ビルドとECRへのpush、ECSへのデプロイを実施するものになります。
CodeBuild内で下記のように専用CLIを使用してAqua Enterpriseでのイメージスキャンを実施します。

./scannercli scan --host $AQUA_URL --user $AQUA_USER --password $AQUA_PASSWORD --local $REPOSITORY_URI:$TAG --no-verify --htmlfile aqua.html

CodeBuild内でのAqua Enterpriseの呼び出しについては、下記ブログおよびブログ内で紹介しているハンズオンにより詳細な記載があります。

やってみた

Aqua EnterpriseのImage Assurance Policyに移動して、イメージスキャン用のDefaultポリシーを編集します。
この中でFail the Aqua step in CI/CDにチェックがついていることを確認します。
+ボタンでLabels Requiredを追加して、必要なラベルを定義します。
KeyとValueのセットで指定することもできますし、Valueを空欄にすることでそのKeyのラベルがついていること自体を強制することができます。
今回はOCIの事前定義されたラベルを付けてみます。
設定を終えてパイプラインを実行すると、CodeBuildの中でスキャンを実行するコマンドが失敗判定されていることがわかります。
Aquaのコンソールを見に行くとFailedとされており、どのラベルが必要なのかも指摘してくれています。
再度下記をDockerfileに追加してパイプラインを実行します。

LABEL org.opencontainers.image.authors="Kentaro Masukawa <kentaro.masukawa@mail>"

今回はパイプラインが成功し、Aqua Enterpriseのコンソールでもcompletedと表示されました。

まとめ

コンテナイメージのラベルは適切に付与することでトレーサビリティを上げることができるため、積極的に活用するべきだと思います。
一方で、無くても動くために忘れがちになので、仕組みで強制していくのも面白いなと思いました。

Share this article

facebook logohatena logotwitter logo

関連記事

Trivy 0.56.0 から misconfiguration のスキャン時に非推奨のルールのチェックはデフォルト無効になりました

Trivy 0.56.0 から misconfiguration のスキャン時に非推奨のルールのチェックはデフォルト無効になりました

User avatar
ふじい(大)
2024.10.07
TrivyでAMIやEBSスナップショットをセキュリティスキャンできるようになりました #reinvent

TrivyでAMIやEBSスナップショットをセキュリティスキャンできるようになりました #reinvent

User avatar
とばち
2022.12.05
Aqua Platform Enterprise MicroEnforcerのサイドカーでFargateに起動したDVWAを防御してみた

Aqua Platform Enterprise MicroEnforcerのサイドカーでFargateに起動したDVWAを防御してみた

User avatar
たかくに
2022.06.15
Aqua Enterpriseのフォレンジック機能でAmazon EKS環境における不正なコンテナ操作のログを記録してみた

Aqua Enterpriseのフォレンジック機能でAmazon EKS環境における不正なコンテナ操作のログを記録してみた

User avatar
とばち
2022.04.28
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.