2021/11/04 CloudNative Days Tokyo 2021 17:20-18:00 Track F 乗っ取れコンテナ!! 〜開発者から見たコンテナセキュリティの考え方〜 セッション動画 https://event.cloudnativedays.jp/cndt2021/talks/1187
2021/11/04 CloudNative Days Tokyo 2021 17:20-18:00 Track F 乗っ取れコンテナ!! 〜開発者から見たコンテナセキュリティの考え方〜 セッション動画 https://event.cloudnativedays.jp/cndt2021/talks/1187
Container Security Book ⚠️この文書は製作中のものです About これから Linux コンテナのセキュリティを学びたい人のための文書です。 普段からコンテナを扱っているが、コンテナの基礎技術やセキュリティについては分からないという人が、それらを理解できる足がかりになるように書かれています。 誤字脱字や間違いなどあれば https://github.com/mrtc0/container-security-book に Issue もしくは Pull Request を立ててください。 ご意見、ご感想等は Twitter ハッシュタグ #container_security でツイートをお願いします。 License この書籍に記述されているすべてのソースコードは MIT ライセンスとします。 また、文章は Creative Commons Attribution
はじめに まず確認すべきはNIST SP 800-190 Yahoo! JAPAN 製品選定に際し目指していた業務フロー 振舞い検知 構成チェック 脆弱性検知 製品選定 体制と役割 システム構成 ZOZOテクノロジー コンテナイメージ脆弱性検知 freee 外部から受ける攻撃の対策 イメージの脆弱性排除 podの挙動監視 node内の検知 Cluster内のネットワーク監視 感想 はじめに CNDT2020において、コンテナセキュリティに関連するセッションが複数ありました。 event.cloudnativedays.jp 自分自身が今後、マイクロサービス化を推進する立場になった時の為に、コンテナセキュリティにどう取り組むべきかを、各社の事例を参考にまとめておこうと思います。 まず確認すべきはNIST SP 800-190 多くのセッションにて出てくるコンテナセキュリティを考える上での準拠
こんにちは、CX事業本部の若槻です。 最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。 https://owasp.org/www-project-zap 今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDocker版を使ったのか OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。 https://www.zaproxy.org/download/ 当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。 よってインストールを要しないDocker版を使うこととしま
Trivy は OSS のコンテナ脆弱性スキャンツールで、コンテナの OS パッケージやアプリケーションの依存ライブラリの脆弱性を検出します。 前回、コマンドラインから Trivy でスキャンした結果を脆弱性管理ツールの FutureVuls に連携してみました。 Trivyの脆弱性スキャン結果をFutureVulsに連携してみた(CLI編) 今回は実践的な CI/CD パイプラインに組み込んだパターンを GitHub Actions で作ります。 やってみた 以下の手順で進めます。 ワークフローファイルを作成 シークレットを設定 コンテナ用意 実行 1. ワークフローファイルを作成 ワークフローでは以下を行います。 GitHub Secrets に登録した認証情報をセット trivy(コンテナの脆弱性をスキャン)をインストール trivy-to-vuls(trivy のスキャン結果を v
はじめに 先日、僕が担当する業務でECS/Fargate利用を前提にDevSecOpsアーキテクチャをデザインし、社内のAWS勉強会にて登壇する機会をいただきました。 本ブログでも内容をかいつまんでご紹介できればと思います。 AWSによらず、コンテナを利用されている方にとって、一つのプラクティス例としてご参考になれば幸いです。 ※コンテナ自体の説明や必要性に関する内容は省略していますm(_ _)m そもそもDevOpsとは? DevSecOpsの導入意義をお伝えするた前に、まず軽くDevOpsの意義をお伝えします。 ※とは言え、この記事をご訪問されている方にとっては「何をいまさら...」な内容かもしれませんし、ググればDevOps自体の情報はたくさん見つかりますので、重要なポイントのみ述べることにします。 DevOpsとは、一言で述べれば、開発チームと運用チームが協力してビジネス価値を高め
tl;dr trivyを利用することで簡単にDocker コンテナの脆弱性の検知をすることが出来る。 OSライブラリからアプリケーション依存のライブラリまで検知が可能 SimpleかつREADMEが豊富で導入の敷居が低い。 CIに組み込むことで DevOps から DevSecOps への移行を加速することが可能。 コンテナの脆弱性 2020/08/06 現在、Dockerを利用するしてプロダクトの環境を作る事がデファクトスタンダードになっている。 どの会社に行ってもセキュリティは最重要視されていると言っても過言ではないが、Docker イメージを生成 or 取得し、そのまま利用を続け、時間が経ち、利用しているライブラリに不具合が生じているのにも関わらず、知らないうちに脆弱性があるContainerを利用しているケースは少なくない。 脆弱性を放置して起きたインシデントは具体的に下記のような
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く