DevelopersIO 2022にて「OSSで始めるコンテナセキュリティ」というタイトルで登壇しました #devio2022
コンサル部のとばち(@toda_kk)です。
2022/7/26〜28に開催された弊社主催のオンラインイベントDevelopersIO 2022にて、「OSSで始めるコンテナセキュリティ」をテーマに登壇しました。
動画
発表資料
セッション概要
「コンテナセキュリティってなんかいろいろあるけど、結局なにからやればいいの?」という方向けに、コンテナセキュリティの全体像や概要を解説しつつ、コンテナセキュリティに対応するためのOSSを紹介するセッションです。
ざっくりとした内容
OSSを用いることで気軽にコンテナセキュリティを実現してみよう、というテーマでお話ししました。
コンテナセキュリティに関する概要を、コンテナライフサイクルに沿ったリスクの評価と対応という形で整理した上で、関連するAWSサービスと機能を紹介しました。
また、コンテナセキュリティのOSSツールとして、Kubernetesセキュリティ認定試験(CKS)のカリキュラムにも組み込まれておりデファクトスタンダードとも言える Trivy と Falco を紹介しました。
どちらも別の側面からコンテナセキュリティを実現する上で大変有用なツールとなっていますので、ぜひ導入を検討してみてください。OSSですので気軽に使ってみることができるかと思います。
より発展的な内容について
近年、セキュリティに限らずネットワークやObservabilityの文脈で、「eBPF」というワードがトレンドになっていると感じています。
eBPFを用いてコンテナのセキュリティをどのように実現できるのか、より深堀した内容を別の機会にお話ししたいと思っています。
上記ページにあるように、 CloudNative Security Conference 2022 というイベントにて「eBPFで実現するコンテナランタイムセキュリティ」というタイトルで登壇する予定です。
もしご興味のある方は、ぜひこちらのセッションにもご参加ください!
追記(2022/7/27)
登壇した翌日のAWS re:Inforceにて、GuardDutyのマルウェア検知に関するアップデートが発表されました。
発表資料のなかでは「AWSサービスだけではコンテナランタイムのセキュリティに対応できない」と説明していたのですが、このアップデートによりEC2だけではなくECSやEKSといったコンテナ環境におけるマルウェアの実行を検知できるようになったため、1日で情報が更新されてしまいました。
個人的にはタイムリーすぎて驚きつつも、これがアップデートの激しいクラウドサービスの醍醐味という感じがして、大変ワクワクしますね!
どうやら実態としてはEBSボリュームのスキャンになるため、Fargate環境においてもランタイムにおけるマルウェアの実行を検知できるのか不明ですが、とにかくアツいアップデートだと感じました、
この調子でFargateのeBPFサポートも実現してくれると嬉しいですね!
追記(2022/7/29)
発表資料のなかで、Trivyによる機密情報のスキャンについて、trivy config
コマンドでは対応できずコンテナイメージをビルドしてからtrivy image
コマンドを実行する必要があると記載していた(47ページ目辺り)のですが、この点に誤りがありました。
一つだけ補足をさせていただくと、fsやrepoというサブコマンドがあってイメージをビルドする前にスキャン可能です pic.twitter.com/aL9APUFhlJ
— イスラエルいくべぇ (@knqyf263) July 28, 2022
Trivy作者である@knqyf263さんから直々にご指摘いただきました。
必ずしもコンテナイメージをビルドする必要はなく、trivy fs
やtrivy repo
によって検知できるとのことです。失礼しました。
以上、コンサル部のとばち(@toda_kk)でした。