「クラウドネイティブ時代に必要なコンテナセキュリティの考え方と対応策 #cmdevio2019sec
みなさん、コンテナワークロードのセキュリティについて、「そりゃもう、うちは完璧やで!!」と胸を張って言えるでしょうか?
先日、弊社主催のセキュリティ関連イベント、「Developers.IO 2019 Security」を開催させていただきました。
【4/25(木)東京】Developers.IO 2019 Securityを開催します #cmdevio2019sec | DevelopersIO
私の枠では「クラウドネイティブ時代に必要なコンテナセキュリティの考え方と対応策」というタイトルで、コンテナワークロードにおいて必要なセキュリティの考え方と、具体的な製品Aqua - Container Securityを紹介させていただきました。
製品紹介では、クリエーションライン株式会社 (CREATIONLINE, INC.)様にも、ご協力をいただきました。感謝です!!
Aqua Container Securityきたか…!! ( ゚д゚) ガタッ / ヾ __L| / ̄ ̄ ̄/_ \/ /
「クラウドネイティブ時代に必要なコンテナセキュリティの考え方」
2019年現在、AWSには、ECS、Fargate、EKSなどが東京リージョンでリリースされており、いつでも本番環境でコンテナを運用できる環境が整っています。 一方で、セキュリティ面に目を向けると、コンテナアプリケーションの対策手法はまだまだ確立されているとは言えません。アプリケーションの構築方法が従来とは異なるように、セキュリティ面でも、コンテナ独自の考え方が必要になります。とは言え、セキュリティを向上させたことで、コンテナの利点であるDevOpsスピードを損なってしまっては本末転倒です。 このセッションでは、クラウドネイティブなコンテナ環境ならではのセキュリティ対策の考え方を説明した後、DevOpsスピードを損なうことなくセキュリティ対策を実現するためのソリューション「Aqua Container Security Platform」を実際のデモを交えてご紹介いたします。
こちらでは、従来のEC2などホストインスタンスにアプリケーションをデプロイする場合と、コンテナでアプリケーションを提供する場合の基本的な違いについて、お話させていただきました。Fargateの台頭など、新しいコンテナプラットフォームについても紹介しています。
(重要)「Aqua Security概要」
こちらがメインコンテンツです。
クリエーションライン株式会社 マグルーダー健人様による講演。Aqua Securityについて、コンテナセキュリティの考え方と必要な対策、それに合わせてAqua Container Securityの主な製品仕様を、実際の製品画面のデモも交えて紹介いただきました。
Aqua Container Securityの実際の画面と機能紹介
0. ダッシュボード
ダッシュボードへの各種サマリの表示
1. イメージスキャン
イメージスキャン結果によるCVE(脆弱性)が含まれることの警告
イメージ内に機密データが含まれることの警告
2. イメージポリシー
イメージにリスクが含まれている場合のアクションを指定可能
リスク種別による有効/無効などのポリシー定義が可能
3. ランタイムポリシー
実行コマンドブラックリストが定義されている場合、コンテナ内で当該コマンドの実行を制御
機械学習でイメージをプロファイリングし、イメージで実行許可されるコマンドやログイン可能ユーザーなどを自動でポリシー定義を生成
4. コンテナファイアウォール
コンテナのネットワーク接続を視覚化。コンテナ単位での接続の拒否/許可のルール設定が可能
5. Secrets(シークレット管理)
シークレット設定が可能
6. CI/CD Integration(CI/CDツール統合)
多くのCI/CDツールのプラグインが提供されており、統合することが可能。
7. Compliance(コンプライアンス対応)
リスクを一覧化し、対応方法などを含む詳細レポートを生成
イメージやコンテナで発生した、各種のセキュリティイベントを収集
コンポーネント構成
セッション中の会場の様子
デモ中、ラインタイムポリシーのコマンド実行制御のところで、「すげぇ!」「まじかYO!」「えらいこっちゃやで!」などの合いの手が入ったり、なんかすごい盛り上がりました。ご来場いただいた方には、こんな面白いコンセプトの製品があることを、興味深く見ていただいたのではと思っています。
コンテナのセキュリティに迷われている方へ
ある程度大規模、かつ頻繁な変更がはいるコンテナワークロードを本番運用しながら、さらにCI/CDの中にまで踏み込んでセキュリティを担保するのは、存外難しいものです。
もしみなさんがそういった点でお悩みがあれば、弊社問い合わせフォームからお問い合わせいただくか、自分のtwitterアカウント(@hamako9999)にでも雑にメンションいただければ、いつでも対応可能です。お気軽にお問い合わせください。
弊社ブログにも、Aqua製品についてのブログあります。こちらも随時更新していきますので、是非御覧ください。
コンテナセキュリティの決定版「Aqua Container Security Platform」を試してみた(インストール〜イメージスキャン編)
それでは、今日はこのへんで。濱田(@hamako9999)でした。
![[Amazon FSx for NetApp ONTAP] Tamperproof SnapshotとSnapMirrorの逆再同期の相性を確認してみた](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-9e9d102dfa6d7896319b16fe069cdf55/c3bbbeab42ba5764c5a573e979719805/amazon-fsx-for-netapp-ontap)
![[Amazon Bedrock] クロスリージョン推論が東京リージョンを含むアジアパシフィック地域で利用可能になりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-e3065182082062711612153bbdcf1d96/c04359de689df2f56eb066576ab63fb5/amazon-bedrock)
![[小ネタ]Security Hubの重要度の基準を調べてみた](https://images.ctfassets.net/ct0aopd36mqt/wp-refcat-img-cea52bc8a6ec5cad9021b38df4a08b9e/24c76ee7c1ae7aa7f9676a59c77f8702/aws-security-hub)
