Trivy

「JAWS-UG コンテナ支部 × JAWS-UG 千葉支部 #1 今知りたいコンテナセキュリティ」でLTしてきました。

「Trivy」を使用して、AWS CDKレイヤーでコンテナイメージのスキャンを行うConstructライブラリをConstruct Hubに公開しました。

はじめに 実際に作ったもの ここから先が長すぎて面倒だという方向け なぜVMのスキャンが必要なのか？ 全体像 Trivyの脆弱性検知について 開発する上での課題 アーキテクチャ Storage層 EBS Storage Virtual Machine Image層 Disk Partition層 Logical Volume層 Filesystem層 & File層 苦労したこと&学び 処理が重すぎる問題 仕様書の英語が読めない とにかく人に頼る 巨大なバイナリファイルを読むのが辛い 感謝の念（一番大事） 最後に はじめに 2022年11月にOSSのコンテナ脆弱性検知ツール Trivy に 仮…

はじめに 背景 ライブ環境のセキュリティ対策 AWS Security Hub Kubescape 運用方法 現状の運用課題 シフトレフト（Shift-left）によるセキュリティ対策 おわりに はじめに こんにちは。技術戦略室SREチームの koizumi です。 弊社では、今年からインフラ環境をはじめ、コンテナイメージやアプリケーションコードのセキュリティ対策をはじめています。 現在、その中でもAWS / Kubernetes環境のセキュリティ対策を実際に運用しており、今回はその内容を中心にお話しできればと思います。 背景 近年、様々なサービスで不正アクセスや情報漏洩といった事象が頻発して…

DockerやKubernetesが当たり前に使われるようになって、ただこれらのコンテナーツールを便利に使うだけでなく、 安全に使うための工夫が必要になってきています。 コンテナーでアプリケーションを使う上で、コンテナーイメージは重要なパーツの一つです。 コンテナーイメージとはコンテナープラットフォームの上でアプリケーションを動かすための環境を提供するものを指します。 コンテナーではなくネイティブな環境とコンテナーでアプリケーションを実行した場合の関係性を図にしてみると次のようになります。 カーネルと実行ファイル、ライブラリーの上でアプリケーションが実行されているのは共通ですが、コンテナーの場…

はじめに GitHub Actions / Trivy / Dependabot について Dependabot の設定 Trivyの設定 コンテナイメージのスキャン リポジトリのスキャン IaC(Dockerfile, Kubernetes Manifest)のスキャン 終わりに はじめに あけましておめでとうございます。2022年1発目の記事です。 GitHub Actionsを使用して、以前適当に作成したGo製テストサーバーに対して脆弱性チェックと行いました。 GitHub Actions / Trivy / Dependabot について GitHub Actionsとは、Github…

こんにちは。NFLabs. 事業推進部の齋藤です。この記事は NFLabs. アドベントカレンダー 14 日目の記事です。 普段は Blue Team の中で利用するシステムの開発をしています。 私は今のチームで DevSecOps の仕組みやツールを色々と試して導入を進めている最中なのですが、その内でも Trivy というコンテナイメージのスキャン機能を持ったツールについて紹介したいと思います。 github.com Trivy の概要 Trivy はアプリケーションの依存ライブラリの脆弱性スキャン機能と IaC の設定ファイルのセキュリティ不備の検出機能を備えたセキュリティスキャンツールで…