20191125 Container Security

© 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Fumihide Nario
Solutions Architect
Amazon Web Services Japan
Nov. 25, 2019
Container Security

⾃⼰紹介
名前
成尾⽂秀（なりおふみひで）
所属
アマゾンウェブサービスジャパン株式会社
技術統括本部ソリューションアーキテクト
好きなAWSサービス
Amazon Simple Storage Service (Amazon S3)
Amazon Elastic Container Service (Amazon ECS)
Amazon Elastic Kubernetes Service (Amazon EKS)

Agenda
• AWSにおけるセキュリティ
• コンテナセキュリティ
• 権限管理
• ネットワーク
• ログ・モニタリング
• コンテナイメージ
• その他

AWSにおけるセキュリティ

クラウドセキュリティ
クラウドセキュリティ https://aws.amazon.com/jp/security/

AWS責任共有モデル
責任共有モデル https://aws.amazon.com/jp/compliance/shared-responsibility-model/

セキュリティは大丈夫？（物理セキュリティ）
• Amazonは数年間にわたり、⼤規模なデータセンターを
構築
• 重要な特性:
– 場所の秘匿性
– 周囲の厳重なセキュリティ
– 物理アクセスの厳密なコントロール
– 2要素認証を2回以上で管理者がアクセス
• 完全管理された、必要性に基づくアクセス
• 全てのアクセスは記録され、監査対象
• 職務の分離
AWSコンプライアンス http://aws.amazon.com/jp/compliance/

セキュリティは大丈夫？（ネットワーク）
• Distributed Denial of Service (DDoS)対策:
• 効果的かつ標準的な緩和対策を実施
• 中間者攻撃対策:
• 全エンドポイントはSSLによって保護
• 起動時に新しいEC2ホストキーを⽣成
• IPなりすまし対策:
• ホストOSレベルで全て遮断
• 許可されていないポートスキャニング対策:
• AWSサービス利⽤規約違反に該当
• 検出され、停⽌され、ブロックされる
• インバウンドのポートはデフォルトでブロックされているた
め、事実上無効
• パケットの盗聴対策:
• プロミスキャスモードは不許可
• ハイパーバイザ―レベルで防御

セキュリティは大丈夫？（論理的セキュリティ）
ハイパーバイザー（ホストOS）
• AWS管理者の拠点ホストからの個別のログイン
• 全てのアクセスはロギングされ、監査される
ゲストOS（EC2インスタンス）
• お客様による完全なコントロール
• お客様が⽣成したいキーペアを使⽤
Firewall機能の標準提供
• AWS標準機能としてInbound/Outboundに対する
Firewall
• AWSのお客様の権限、責任で設定

セキュリティは大丈夫？（データセキュリティ）
• データを配置する物理的なリージョンはお客様が指定
• AWSは、法令遵守等やむをえない場合を除き、お客様のデータ
を指定されたリージョンからお客様への通告なしに移動しない
• お客様のデータが権限のない⼈々に流出しないようにするスト
レージ廃棄プロセスを保持
• DoD 5220.22-M（⽶国国防総省⽅式）
– 3回の書き込みでの消去を実施
– 固定値→補数→乱数
• NIST 800-88（メディアサニタイズのためのガイドライン)
– 情報処分に対する体制、運営やライフサイクルに関するガイドライン
– 情報処分に対しする組織的に取り組み
• 上記の⼿順を⽤いハードウェアデバイスが廃棄できない場合、
デバイスは業界標準の慣⾏に従って、消磁するか、物理的に破
壊

コンテナセキュリティ

コンテナのセキュリティを考える
• ２つの視点
• AWSを利⽤する上で通常考えるセキュリティ
• コンテナワークロードを利⽤する上で考えるセキュリティ
• 権限管理
• ネットワーク
• ログ・モニタリング
• コンテナイメージ
• その他

全体感
ECS EC2 起動モード
権限管理
• IAM ユーザー
• IAM ポリシー/ロール
コンテナネットワーク
• Private Subnet
• PrivateLink
• NAT Gateway
コンテナイメージ
• PrivateLink
• 脆弱性スキャン
ログ・モニタリング
• CloudTrail
• VPCフローログ
その他
• コントロールプレーン
• EC2管理、更新
• データプレーン
ECS Fargate 起動モード
権限管理
• Private Subnet
• NAT Gateway
• PrivateLink
• CloudTrail
その他
• プラットフォーム更新
EKS
権限管理
• Private Subnet
• PrivateLink
• NAT Gateway
• Endpoint
• PrivateLink
• CloudTrail
その他
• アドミッションコントローラー

権限管理

Identity and Access Management (IAM) ①
リソース（ECS, EKS, ECR etc）を使⽤できる権限を管理
• AWSアカウントのルートユーザーは、最初の IAM ユーザーを作成するためだけに使⽤
• ポリシー
• 複数の管理ポリシーが提供
• AmazonECS_FullAccess, AmazonEC2ContainerServiceFullAccess etc
• 細かく制御することも可能
…
"Effect": "Allow",
"Action": "ecs:DescribeServices",
"Resource": "arn:aws:ecs:*:*:service/*",
"Condition": { “
StringEquals": {"ecs:ResourceTag/Owner": "${aws:username}"}
}
…
Amazon Elastic Container Service と IAM の連携 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/userguide/security_iam_service-with-iam.html
Amazon EKS と IAM の連携 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/security_iam_service-with-iam.html

Identity and Access Management (IAM) ②
EKSでは IAMとKubernetes RBAC (Role Based Access Control ) が連携
• IAMで許可を与えただけでは Kubernetes API サーバーへのコマンド実⾏は不可
• Kubernetes 内の aws-auth ConfigMap にIAMユーザーのARNなど設定
K8sアクションの許可/却下
AWS IDをRBACで認可
K8s API
AWSIDを送信
AWS IDを検証1
2
3
4
Kubectl
クラスター認証の管理 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/managing-auth.html
クラスターのユーザーまたは IAM ロールの管理 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/add-user-role.html

Identity and Access Management (IAM) ③
アプリケーションがAWS各種サービスを使⽤する権限は IAMロールで指定
IAMロールの利点
• 認証情報は STS(Security Token Service)で⼀時的な認証情報を⽣成
• IAMユーザーの認証情報を外部に漏えいしてしまうリスクを低減
• ⾃動的に認証情報をローテーション
• アプリケーションに最低権限を与えることに適している
• AWS SDK及びAWS CLIのサポート
ECS, EKSでの IAMロール利⽤⽅法
• タスク⽤の IAMロール (Task IAM Roles)
• EKSならサービスアカウントの IAMロール (IAM Roles for Service Accounts)
IAM ロール https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles.html

ECS - タスク用の IAM ロール (Task IAM Roles) ①
タスクのコンテナで使⽤できる IAM ロールを指定
• EC2起動モード、 Fargate起動モードどちらでも利⽤可能
• EC2起動モードでは有効化にコンテナエージェントのバージョン 1.11.0 以上が必要
Amazon Simple Storage
Service
Task
Task
Amazon DynamoDB
PolicyPolicy
タスク⽤の IAM ロール https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/task-iam-roles.html
EC2 / Fargate

ECS - タスク用の IAM ロール (Task IAM Roles) ②
IAM ロールを ECS のタスク定義または RunTask API オペレーションに関連付け
タスクの実⾏ https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/ecs_run_task.html
タスク定義での指定タスクの実⾏での指定（上書き）
AWS CLI
taskRoleArnを指定した json fileを⽤意し
aws ecs run-task のオプションにて --overrides で指定
AWS CLI
タスク定義テンプレート（ json file ）を⽤意し
aws ecs register-task-definition のオプションにて--cli-input-json で指定
マネジメントコンソールマネジメントコンソール

EKS -サービスアカウントのIAMロール (IAM Roles for Service Accounts) ①
Pod で使⽤される IAM Role を指定
• EKS Kubernetes バージョン 1.14 クラスター、および 2019 年 9 ⽉ 3 ⽇以降にバージョ
ン 1.14 または 1.13 に更新されたクラスターで利⽤可能
サービスアカウントの IAM ロール https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/iam-roles-for-service-accounts.html
Amazon Simple Storage
Service
Pod
Pod
Amazon DynamoDB
PolicyPolicy
Worker Node

仕組み
OpenID Connect (OIDC) を使⽤したフェデレーティッドアイデンティティを利⽤し
ID プロバイダーで AWS API コールを認証、有効な OIDC JSON ウェブトークン (JWT) を発⾏
1. OpenID Connect (OIDC)⽤の ID プロバイダーを作成（以下画像は⼀部IDをマスク処理済）
EKS -サービスアカウントのIAMロール (IAM Roles for Service Accounts) ②
サービスアカウントの技術概要の IAM ロール
https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/iam-roles-for-service-accounts-technical-overview.html

2. IAM Policy を作成しIAM Role にアタッチ
3. K8s Service Account で IAM Roleを指定
4. Podから利⽤する Service Account を指定
…
spec:
template:
spec:
serviceAccountName: my-
serviceaccount
containers:
- image: myapp:1.2
…
EKS -サービスアカウントのIAMロール (IAM Roles for Service Accounts) ③
apiVersion: v1
kind: ServiceAccount
metadata:
annotations:
eks.amazonaws.com/role-arn: arn:aws:iam::AWS_ACCOUNT_ID:role/IAM_ROLE_NAME
name: my-serviceaccount
namespace: default

全体の流れ
EKS -サービスアカウントのIAMロール (IAM Roles for Service Accounts) ④
K8s API
kubectl apply (pod起動)
1
2
Mutating Admission Controller により
環境変数 AWS_IAM_ROLE_ARN および AWS_WEB_IDENTITY_TOKEN_FILEをセット
及び aws-iam-token ボリュームをインジェクト
Pod
AWS STS
3 リクエスト
4 認証情報
Client
Kubernetes サービスアカウントに対するきめ細やかな IAM ロール割り当ての紹介
https://aws.amazon.com/jp/blogs/news/introducing-fine-grained-iam-roles-service-accounts/

アクセスアドバイザー
IAM エンティティ (ユーザー、グループ、ロール) が、最後に AWS サービスにアクセスし
た⽇付と時刻を表⽰する機能
データ追跡されるリージョン（2019/11/01現在）
⽶国東部 (オハイオ)、⽶国東部（バージニア北部、⽶国⻄部
(北カリフォルニア)、⽶国⻄部 (オレゴン、アジアパシフィック
(東京)、アジアパシフィック (ソウル)、アジアパシフィック (シ
ンガポール) 、アジアパシフィック (シドニー)、アジア
パシフィック (ムンバイ) 、アジアパシフィック (⾹港) 、中東
（バーレーン）、カナダ (中部)、欧州 (フランクフルト）、欧
州 (ストックホルム) 、欧州 (アイルランド)、欧州 (ロンドン)、
EU (パリ、南⽶ (サンパウロ)
IAMの最⼩限の権限に関する
設定に利⽤
• IAM ポリシー内で未使⽤または最近使
⽤されていないアクセス許可を識別
• 未使⽤のサービスに関するアクセス許
可を削除したり、類似の使⽤パターン
を持つユーザーをグループに再編成
• アカウントのセキュリティを改善

EC2インスタンスメタデータ
インスタンスメタデータからセキュリティ認証情報を取得
アプリケーションが各サービスを利⽤する時にはAWS 認証情報を使ってAPIリ
クエストに署名
インスタンスメタデータから認証情報を取得
Amazon EC2 の IAM ロール https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html

ECS - EC2 メタデータへのアクセス
EC2 起動モードかつネットワークモードが awsvpc または bridge の場合はコ
ンテナのインスタンスプロファイルに⼊⼒されている認証情報にアクセスでき
ないよう設定を変更する事が可能
awspvc ネットワークモードの場合
エージェントの ECS_AWSVPC_BLOCK_IMDS を true に設定（default: false）
bridge ネットワークモードの場合
iptables の設定変更
sudo yum install -y iptables-services;
sudo iptables --insert FORWARD 1 --in-interface docker+ --destination 169.254.169.254/32 --jump DROP
iptables のルール保存
Amazon ECS-optimized Amazon Linux 2 AMI なら
sudo iptables-save | sudo tee /etc/sysconfig/iptables && sudo systemctl enable --now iptables
Amazon ECS-optimized Amazon Linux AMI なら
sudo service iptables save

Pod がワーカーノードのインスタンスプロファイルに提供される認証情報にア
クセスできないよう iptables の設定を変更する事が可能
ワーカーノードで次の iptables コマンドを（root として）実⾏するか、ユーザーデータに以下スク
リプトを使⽤し起動時に設定を実⾏
yum install -y iptables-services
iptables --insert FORWARD 1 --in-interface eni+ --destination 169.254.169.254/32 --jump DROP
iptables-save | tee /etc/sysconfig/iptables
systemctl enable --now iptables
EKS - EC2 メタデータへのアクセス

ネットワーク

コンテナネットワーク – ECS ①
セキュリティの観点からコンテナの実⾏環境はプライベートサブネットを推奨
• インターネット向けに公開するサービスでは、ロードバランサーはパブリックサブネット
• コンテナからインターネット向けに通信が必要な場合には NAT ゲートウェイを利⽤
• ECR からのコンテナイメージの取得は PrivateLink 経由（後述）
• ECS でクラスター作成ウィザードを使⽤した場合
• CloudFormation Template で AWS::AutoScaling::LaunchConfiguration セクションで、
AssociatePublicIpAddress プロパティを false に変更しスタックを更新
Amazon ECS コンテナインスタンスをプライベートサブネットのクラスターに登録する
https://aws.amazon.com/jp/premiumsupport/knowledge-center/ecs-register-container-instance-subnet/

コンテナネットワーク – ECS ②
セキュリティの観点からECS ネットワークモードにて awsvpc を利⽤
• タスク毎に独⾃の Elastic Network Interface (ENI)、プライマリプライベート IP アドレス、および内
部 DNS ホスト名を取得
• VPCフローログを利⽤して送受信されるトラフィックをモニタリング（後述）
• タスク毎にセキュリティグループを設定可能
• 同じタスクに属するコンテナが、localhost インターフェイス経由で通信可能
タスクネットワーキングと awsvpc ネットワークモード https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/userguide/task-networking.html
Elastic Network Interface のトランキング https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/container-instance-eni.html

コンテナネットワーク – EKS ①
セキュリティの観点からコンテナの実⾏環境はプライベートサブネットを推奨
• EKS ではワーカーノードにプライベートサブネット、Kubernetes にパブリックサブネットの使
⽤を推奨
• インターネット向けロードバランサーが不要なら全てプライベートサブネット
• EKSではインターネット向けロードバランサーが使うサブネットを認識できるようパブリックサ
ブネット側にタグ付け（Key: kubernetes.io/role/elb Value: 1）が必要
• コンテナからインターネット向けに通信が必要な場合には NAT ゲートウェイを利⽤
• EKS Amazon VPC CNI plugin for Kubernetes の外部ソースネットワークアドレス変換 (External SNAT)を有
効に設定
• EKS Amazon VPC CNI plugin for Kubernetes
• 各ワーカーノードで L-IPAM デーモンが IPアドレスをプールして Pod に割当
• VPCフローログを利⽤し送受信されるトラフィックをモニタリング
• ECR からのコンテナイメージの取得は PrivateLink 経由（後述）
クラスター VPC に関する考慮事項 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/network_reqs.html
外部ソースネットワークアドレス変換 (SNAT) https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/external-snat.html

コンテナネットワーク – EKS ②
エンドポイントのパブリックアクセスの無効を選択可能
Amazon EKS クラスターエンドポイントのアクセスコントロール
https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/cluster-endpoint.html
パブリックアクセスプライベートアクセス動作
有効無効・EKSのデフォルトの設定
・インターネットからAPIへアクセス可（kubectl）
・VPC内のKubernetes API リクエスト（Control Plane ⇔ Data Plane）はVPC 内
ではくAmazon のネットワークを経由
有効有効・インターネットからAPIへアクセス可（kubectl）
・VPC内のKubernetes API リクエスト（Control Plane ⇔ Data Plane）はプライ
ベート VPC エンドポイントを経由
無効有効・インターネットからAPIへアクセス不可（kubectl）
・API サーバーへのトラフィックはすべてクラスターの VPC 内からルーティン
グが必要

コンテナネットワーク – EKS ③
マネジメントコンソールからの変更か AWS CLI を利⽤して変更可能
aws eks --region region update-cluster-config --name dev --resources-vpc-config endpointPublicAccess=false,endpointPrivateAccess=true
API サーバーへのトラフィックはすべてクラスターの VPC 内からルーティングが必要
• クラスターのVPCにある踏み台サーバー、Cloud 9環境
• VPC とピアリングしているネットワーク
• AWS Direct Connect (DX) または Virtual Private Network (VPN)
※ ワーカーノードが存在するVPC以外では Route 53 のインバウンド・アウトバウンドエンドポイントを利⽤した名前解
決などの設定が必要（Blog 参照）
Amazon EKS クラスターエンドポイントのアクセスコントロール
https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/cluster-endpoint.html
Amazon EKS クラスターエンドポイントへのプライベート接続とワーカノードVPC外からのDNS解決
https://aws.amazon.com/jp/blogs/news/compute-enabling-dns-resolution-for-amazon-eks-cluster-endpoints/

コンテナイメージの ECR からの取得
コンテナイメージをプライベートネットワーク経由で ECR から取得
• ECS ⽤のインターフェイス VPC エンドポイント (AWS PrivateLink)を作成
• ecs-agent, ecs-telemetry, ecs 3つのエンドポイントを作成
• EC2 起動モードの場合コンテナエージェントのバージョン 1.25.1以降が必要
• Fargate 起動モードの場合、ECS 側のエンドポイントは不要
• ECR ⽤のインターフェイス VPC エンドポイント (AWS PrivateLink)を作成
• ecr.dkr, ecr.api, s3, logs interface 4つのエンドポイントを必要に応じて作成
• EC2 起動モードの場合
• ecr.dkr, ecr.api, s3 のエンドポイントがコンテナイメージのプルに必要
• Fargate 起動モードの場合
• ecr.dkr, s3 のエンドポイントがコンテナイメージのプルに必要
• awslogs ログドライバーを使⽤してログ情報を CloudWatch Logs に送信する場合は、logs.interface が必要
Amazon ECS インターフェイス VPC エンドポイント (AWS PrivateLink) https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/vpc-endpoints.html
Amazon ECR インターフェイス VPC エンドポイント (AWS PrivateLink) https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/vpc-endpoints.html

EKS コントロールプレーン
EKS コントロールプレーンのログを有効化
ログタイプを選択して有効にすると CloudWatch Logs にクラスター毎に送信
ログタイプは、監査 (audit) ログ、認証 (authenticator) ログ etc
マネジメントコンソールまたは AWS CLI コマンドを利⽤して有効化
aws eks --region us-west-2 update-cluster-config --name prod –logging
'{"clusterLogging":[{"types":["api","audit","authenticator","controllerManager","scheduler"],"enabled":true}]}’
Amazon EKS コントロールプレーンのログ記録 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/control-plane-logs.html

CloudTrail を利用したモニタリング
ECS/EKS のすべての API コールをイベントとしてキャプチャ
ECS - タスク⽤の IAM ロール（ Task IAM Roles ）、EKS - サービスアカウントのIAMロー
ル ( IAM Roles for Service Accounts ) に関してアクセスとイベントのロギングを利⽤可能
コンソールの [Event history (イベント履歴)] で過去 90 ⽇間のイベントを表⽰
過去 90 ⽇間より前のイベントの記録を保持する場合は「証跡」を作成しS3に保存
AWS CloudTrail を使⽤した Amazon EKS API コールのログ作成 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/logging-using-cloudtrail.html
AWS CloudTrail を使⽤した Amazon ECS API コールのログ作成 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/logging-using-cloudtrail.html
証跡の作成 https://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html

VPCフローログ
ECS EC2起動モードにて awsvpc ネットワークモードを利⽤している場合
ECS Fargate起動モードの場合、EKSの場合はVPCフローログが利⽤可能
（※ EKS でデフォルトの Amazon VPC CNI plugin を使っている場合）
VPCフローログを作成してIP トラフィックに関する情報をキャプチャ
• トラフィックのモニタリング
• セキュリティグループによる許可/拒否のルールを確認
VPC フローログ https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
フローログを使⽤する https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/working-with-flow-logs.html

コンテナイメージ ①
• プロセスの起動に root を使わない
• パラメーターをコンテナイメージに埋め込まない
AWS Secrets Manager シークレットまたは AWS Systems Managerパラメータストアを使い変数とし
て扱う
ECS の場合はコンテナの定義内で指定可能
Secrets Manager シークレット
{
"containerDefinitions": [{
"secrets": [{
"name": "environment_variable_name",
"valueFrom": "arn:aws:secretsmanager:region:aws_account_id:secret:secret_name-AbCdEf"
}]
}]
}
Systems Manager パラメータストアの場合は上記 valueFromで以下の指定
"valueFrom": "arn:aws:ssm:region:aws_account_id:parameter/parameter_name"
機密データの指定 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/specifying-sensitive-data.html

コンテナイメージ ②
EKS の場合
AWS SDK を含むコンテナイメージを作成し API から取得
InitContainersでAWS SDK を含むコンテナイメージからAWS Secrets Manager シークレットまたは AWS Systems
Managerパラメータストアに対してAPIで取得した結果をVolumeに出⼒
その後アプリケーションコンテナ側でVolumeから読み込むといった事も可能
パラメータストアパラメータからの AWS Secrets Manager シークレットの参照
https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/integration-ps-secretsmanager.html
…
spec:
initContainers:
- name: init-myservice
image: amazonlinux:2
containers:
- name: myapp-container
image: myapp:1.2
…

ECR – コンテナイメージのスキャン ①
オープンソースの CoreOS Clair project を利⽤した脆弱性 (CVEs) の静的スキャン
• スキャン費⽤は無料
• スキャンはAPIまたはマネジメントコンソールにて実⾏可能
aws ecr start-image-scan --repository-name name --image-id imageTag=tag_name --region us-east-2
上記は imageTag で指定しているが imageDigest の指定も可能
• リポジトリ側で「プッシュ時にスキャン」を有効にするとイメージが push されたらスキャン実⾏
aws ecr create-repository --repository-name name --image-scanning-configuration scanOnPush=true --region us-east-2
aws ecr put-image-scanning-configuration --repository-name name --image-scanning-configuration scanOnPush=true --region us-east-2
• 「プッシュ時にスキャン」が有効であっても後⽇発⾒された脆弱性を検知するため定期的なスキャン実施を推奨
イメージスキャン https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning.html
Amazon ECRのネイティブなコンテナイメージスキャン機能について
https://aws.amazon.com/jp/blogs/news/amazon-ecr-native-container-image-scanning/

ECR – コンテナイメージのスキャン ②
実⾏結果はコンソールやAPIから確認
CloudWatch Events からスキャン完了の通知を受信
スキャン結果は AWS SDKを利⽤して以下コマンドで取得可能
aws ecr describe-image-scan-findings --repository-name prd --image-id imageTagt=latest
上記は imageTag で指定しているが imageDigest の指定も可能
レスポンスのfindingsに含まれる情報の例
name：CVE番号、description：詳細、uri：脆弱性に関する追加情報へのリンク、severity：緊急度
イベントと EventBridge https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/ecr-eventbridge.html
describe-image-scan-findings https://docs.aws.amazon.com/cli/latest/reference/ecr/describe-image-scan-findings.html

その他

EKS -アドミッションコントローラー ①
ポッドのセキュリティポリシー（PSP）
• ルールに対してポッドの作成を検証
• Kubernetes バージョン 1.13 以降
• 設定をYAMLで⽤意して作成、変更、削除可能
• デフォルトのポッドセキュリティポリシー ( eks.privileged ) は制限なし＝PSP無効と同様
ポッドのセキュリティポリシー https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/pod-security-policy.html

EKS -アドミッションコントローラー ②
ルールの例
• プロセスを root ユーザーでは実⾏させない
runAsUser:
rule: 'MustRunAsNonRoot’
• コンテナのルートファイルシステムをRead Only にする
readOnlyRootFilesystem: false
• 特権コンテナを拒否する
privileged: false
• 特権昇格はさせない
allowPrivilegeEscalation: false
ポッドのセキュリティポリシー https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/pod-security-policy.html
Pod Security Policies - Kubernetes https://kubernetes.io/docs/concepts/policy/pod-security-policy/

EC2 管理
• ECS EC2 起動モード、EKS Worker Node では EC2 の管理が必要
• OS 及び導⼊パッケージの脆弱性対応
• Amazon Linux セキュリティセンターで Amazon Linux 2 のセキュリティイ
ベントまたはプライバシーイベントを追跡
• Amazon Inspector を使⽤してワーカーノードの意図しないネットワークア
クセシビリティと、それらの Amazon EC2 インスタンスの脆弱性を確認
Amazon EKS での設定と脆弱性の分析 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/configuration-vulnerability-analysis.html
Amazon Linux 2 Security Advisories https://alas.aws.amazon.com/alas2.html

アップデート・アップグレード
ECS （EC2 起動モード）
• コンテナエージェントの更新
• ECS-Optimized Amazon Linux AMI の更新
• AMI の Amazon SNS トピックの更新をサブスクライブして新しい AMI の通知を受信
ECS （Fargate 起動モード）
• プラットフォームの更新（LATEST の利⽤を推奨）
EKS
• クラスターの Kubernetes バージョンの更新
• クラスターの更新時に Kubernetes アドオンを変更しないので以下も個別に更新
• Amazon VPC CNI プラグイン、DNS、KubeProxy
• ワーカーノードの更新
Amazon ECS コンテナエージェントの更新 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/ecs-agent-update.html
Amazon ECS-Optimized Amazon Linux AMI の更新の通知のサブスクライブ https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/ECS-AMI-SubscribeTopic.html
Amazon EKS クラスターの Kubernetes バージョンの更新 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/update-cluster.html
ワーカーノードの更新 https://docs.aws.amazon.com/ja_jp/eks/latest/userguide/update-workers.html

まとめ検討・対応が必要な部分
ECS EC2 起動モード
権限管理
• Private Subnet
• PrivateLink
• NAT Gateway
• PrivateLink
• CloudTrail
その他
ECS Fargate 起動モード
権限管理
• Private Subnet
• NAT Gateway
• PrivateLink
• CloudTrail
その他
• プラットフォーム更新
EKS
権限管理
• Private Subnet
• PrivateLink
• NAT Gateway
• Endpoint
• PrivateLink
• CloudTrail
その他
• アドミッションコントローラー

20191125 Container Security

More Related Content

What's hot (20)

Similar to 20191125 Container Security (20)

More from Amazon Web Services Japan (20)

20191125 Container Security