「Dockleを使ってベストプラクティスに沿ったDockerfileを作ろう」というテーマのビデオセッションで話しました #devio2023 | DevelopersIO
こんにちは。AWS事業本部トクヤマシュンです。 2023年7月からDevelopersIO 2023 のイベントが全国で開催されており、YouTubeによるビデオセッションも順次公開されています。 私も「Dockleを使ってベストプラクティスに沿ったDockerfileを作ろう」というタイトルで投稿しました。 概要 コンテナセキュリティの中でも、イメージへ対策を行うための有名なツールの1つにDockleがあります。 DockleはOSSで提供されるコンテナイメージのセキュリティ診断ツールです。 イメージスキャンをすることで、ベストプラクティスから外れた設定を検知できます。 CIに組み込むことが容易であり、本セッションではAWS CodeBuildを用いてDockleを導入した例を示します。 動画 目次 目次をクリック頂くとYouTubeサイトに移動いたします。 00:00 オープニング 0
Dockerのポートマッピングのデフォルト設定は危ない - JUNのブログ
あらすじ 公衆WiFiに繋いだ状態でいつものように docker container run -p 8080:80 nginx のような感じでDockerコンテナを動かしていたら、外部からリクエストを受信した。 ファイアウォールを設定し、外部からのアクセスを拒否しているはずなのになぜアクセスできたんだ... 環境 Docker desktop for mac with apple silicon 4.21.0 何が起きた? Dockerはデフォルトの設定では-p 8080:80のようにポートマッピングするとファイアウォールの設定を書き換え、外部からそのポートへのアクセスを許可するようになっている。 その結果LAN内の他のPCから対象ポートにアクセス出来てしまう。 ちなみにこれはDocker公式からも注意が出ている。 Publishing container ports is insecur
コラム - ウェブ・セキュリティ学習のため徳丸本を読んでみた | 第3回 M1/M2 Mac に対応!Docker 環境で実習環境を構築しよう|CTC教育サービス 研修/トレーニング
[IT研修]注目キーワード Python UiPath(RPA) 最新技術動向 Microsoft Azure Docker Kubernetes 第3回 M1/M2 Mac に対応!Docker 環境で実習環境を構築しよう (三雲 勇二) 2023年1月 みなさん、こんにちは。 エンジニアをしております、三雲と申します。 普段は初心者エンジニアに Web セキュリティについて教えることがあります。 ウェブセキュリティの分野は徳丸本(安全なWebアプリケーションの作り方 第2版)をオススメしております。 今回も初心者の気持ちで徳丸本を読んで、気になった部分について確認していきたいと思います。 第1回で実習環境を準備したのですが、M1/M2 Mac では実習環境が構築できないという点がありました。 ですが、なんと徳丸先生から M1/M2 Mac 対応 Docker 版の実習環境公開のアナウン
Docker版実習環境の使い方 - 安全なWebアプリケーションの作り方 第2版 サポートサイト
2022年12月4日よりDocker版実習環境を提供します。オリジナルの実習環境はVirtualBox上の仮想マシンとして提供していますが、M1/M2 MacではVirtualBoxが動作しないことから、Docker版として提供するものです。 元々はM1/M2 Macを想定してARM64アーキテクチャ用に作りましたが、AMD64のWindowsやMacでも動作するように作っています。 Dockerコンテナの起動方法 ダウンロードページから実習用仮想マシン (Docker版)をダウンロードして適当なディレクトリに設置してください。 以下のコマンドによるコンテナーのビルド及び実行をします。 $ cd <wasbook-docker.zip を設置したディレクトリ> $ unzip wasbook-docker.zip # あるいは適当な方法でのzip解凍 $ cd wasbook-docker
Dockerコンテナのpostgresqlがマルウェアに感染した件について - Qiita
背景 Dockerコンテナを立てたらマルウェアに感染したのでサイバーセキュリティの啓蒙を兼ねてメモ書きしてみました。 注意事項 マルウェアに感染した被害の対処方法を記述しています。マルウェア自体の機能や解析の解説ではなく一般利用者ユーザーの視点から感染経路と対応方法についての記述になります。 マルウェア感染状況 症状 Dockerコンテナを稼働させたホストのロードアベレージ(CPU負荷)が常時4を超える状況になっていました。つまり400%でホストがフル回転してた訳ですな。 例えるならエヴァンゲリオン初号機が暴走してマヤちゃんがコンソール画面に向かって叫んでいるところです(違) こうなるとクラウドサービスのAWSとかだと英文で警告アラートが飛んで来ますし毎日課金されで膨大な利用料金請求が来ることになります。恐ろしい!! 状況の調査 CPUの利用状況やメモリの使用量などを調査するツール類があり
実践的な「Trivy」利用方法~「VSCode」によるスキャンからCI/CDパイプライン、「Trivy Operator」による継続的なスキャン~
実践的な「Trivy」利用方法~「VSCode」によるスキャンからCI/CDパイプライン、「Trivy Operator」による継続的なスキャン~:Cloud Nativeチートシート(18) Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、Trivyの代表的な利用シーンを取り上げながら、実践的に利用するための検討ポイントを解説する。
DevelopersIO 2022にて「OSSで始めるコンテナセキュリティ」というタイトルで登壇しました #devio2022 | DevelopersIO
コンサル部のとばち(@toda_kk)です。 2022/7/26〜28に開催された弊社主催のオンラインイベントDevelopersIO 2022にて、「OSSで始めるコンテナセキュリティ」をテーマに登壇しました。 動画 発表資料 セッション概要 「コンテナセキュリティってなんかいろいろあるけど、結局なにからやればいいの?」という方向けに、コンテナセキュリティの全体像や概要を解説しつつ、コンテナセキュリティに対応するためのOSSを紹介するセッションです。 ざっくりとした内容 OSSを用いることで気軽にコンテナセキュリティを実現してみよう、というテーマでお話ししました。 コンテナセキュリティに関する概要を、コンテナライフサイクルに沿ったリスクの評価と対応という形で整理した上で、関連するAWSサービスと機能を紹介しました。 また、コンテナセキュリティのOSSツールとして、Kubernetesセキ
Dockerを利用したSandbox内でWordやExcelファイルをPDFに変換することで悪意のある攻撃からMacやPCを守ってくれるユーティリティ「Dangerzone」がM1 Macでも利用可能に。
Dockerを利用したSandbox内でWordやExcelファイルをPDFに変換することで悪意のある攻撃からMacやPCを守ってくれるユーティリティ「Dangerzone」がApple M1 Macでも利用可能になっています。詳細は以下から。 DangerzoneはFirst Look Mediaのセキュリティディレクターなどを務めるMicah Leeさんが2020年に発表したセキュリティツールで、悪意のある攻撃者によって作成されたかもしれないPDFやWord、Excelなどのドキュメントファイルを開かなければならない場合に、 What’s new: Removes the need for internet access by shipping the Dangerzone container image directly with the software Friendly user
Docker/Docker ComposeのSecretsを試す - そんな今日この頃の技術ネタ
接続情報などコンテナ内への記述が憚られる情報について外部から与える方法としてsecretsがdocker 1.13/docker-compose.yamlのformat ver3.1からサポートされた。 予めdocker secretコマンドでファイルを登録するか、もしくはdocker-compose.yaml内でファイルを指定することで、それらのファイルがコンテナ内の/run/secretesディレクトリ以下にマウントされる。 yamlに記載する場合 以下のようなファイル構成を想定。 $ tree . ├── docker-compose.yaml └── sec.txt 秘匿すべきファイルとしてsec.txtを想定。 $ cat sec.txt hogehoge secrets項として該当のファイルをmy_secret項として登録し、services項にてsecretsとしてそれを指定
Docker Scout
{ switch(e.key) { case 'k': if (e.metaKey || e.ctrlKey) { e.preventDefault() open = !open; if (open) { document.body.classList.add('overflow-hidden'); } else { document.body.classList.remove('overflow-hidden'); } } } }"> OverviewGet Docker Docker Desktop Overview Install MacUnderstand permission requirements for MacWindowsUnderstand permission requirements for WindowsLinux Installation per Linux d
Dockerfileのベストプラクティス Top 20
本文の内容は、2021年3月9日にÁlvaro Iradierが投稿したブログ(https://sysdig.com/blog/dockerfile-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Dockerfileのベストプラクティスのクイックセットをイメージビルドに適用することで、セキュリティ問題を防ぎ、コンテナ化されたアプリケーションを最適化する方法を学びます。 コンテナ化されたアプリケーションやマイクロサービスに精通している人なら、自分のサービスがマイクロサービスであることに気づいているかもしれません。しかし、脆弱性の検出、セキュリティ問題の調査、デプロイ後の報告や修正など、管理のオーバーヘッドがマクロな問題になっています。 このオーバーヘッドの多くは、セキュリティをシフトレフトし、開発ワークフローの中で可能な限り早く潜在的な問題に取り組むこ
Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | DevelopersIO
こんにちは、CX事業本部の若槻です。 最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。 https://owasp.org/www-project-zap 今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDocker版を使ったのか OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。 https://www.zaproxy.org/download/ 当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。 よってインストールを要しないDocker版を使うこととしま
読んでみたら最高だった「クラウド系オススメ技術同人誌」を7冊紹介します #技術書典 - 憂鬱な世界にネコパンチ!
2020年4月5日に閉幕した技術書典 応援祭では、たくさんの技術同人誌が頒布されました。 本記事ではAWS・コンテナ・CICDをテーマにしたオススメの技術同人誌を紹介します。 個人的な趣味趣向から、特定領域について広く網羅している本ばかりになりました。 なお本記事で紹介している本はすべてBOOTHから購入できます。 リンクも貼ってあるので、気になる本はぜひ買いましょう。 どの本も1000円か1500円でとってもお安いので、全部買ってもいいぐらいですよ! クラウド破産を回避するAWS実践ガイド いきなり自著の紹介からスタートしますが、『クラウド破産を回避するAWS実践ガイド』ではAWSアカウントのセキュリティについて解説しています。「AWSなんか怖い…」を「AWSなど恐るるに足らず!」に変える本です。AWSは気になってるけど勇気が出ないという人・AWSアカウントは持ってるけどセキュリティが放
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Text4Shell」の影響が「Docker」にも拡大 ~悪用が容易な任意コード実行の脆弱性/人気の文字列処理ライブラリ「Apache Commons Text」に欠陥
GitHub - vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose
Dockerセキュリティベストプラクティス トップ20:究極ガイド #aqua #コンテナ #セキュリティ #ベストプラクティス - クリエーションライン株式会社
パスワードなどが診断データに紛れて流出、「Docker Desktop」に情報漏洩の脆弱性/クライアントアプリの更新を
実践コンテナ & Kubernetes セキュリティ
Docker Security Best Practices: Cheat Sheet
Docker