Amazon Web Services ブログ

AWS Japan Staff

Author: AWS Japan Staff

Amazon ECRのネイティブなコンテナイメージスキャン機能について

本投稿は Richard Nguyen と Michael Hausenblas による寄稿を翻訳したものです。 コンテナセキュリティは、開発者、セキュリティ運用エンジニア、およびインフラ管理者を含む、さまざまなアクティビティとツールで構成されます。クラウドネイティブサプライチェーンの重要な要素の 1 つは、コンテナイメージをスキャンして脆弱性を検出し、そこから行動に移せる洞察を得ることです。 私たちはコンテナロードマップのIssue 17で、AWSネイティブソリューションを提供することがいかにお客様にとって重要であるかを学び、そして、ECRイメージスキャン機能を一般公開いたしました。この投稿では、ECR ネイティブのソリューションについて説明し、ユースケースの一つである「定期スキャン」の実装戦略を説明します。 Scanning 101 最初にコンテナスキャンに関する用語を解説し、前提知識を合わせましょう。 コンテナスキャンに精通している場合は、このセクションをスキップいただいても大丈夫です。 概念的には、コンテナセキュリティの一部としてのスキャンは次のようになります。 コンテナ化されたアプリケーションを見てみると、開発者(developer)がContinuous Integration(CI)パイプラインでコンテナイメージをbuildし、これらのアーティファクトをECRにプッシュしています。一方、セキュリティ運用エンジニア(secops)は、1つもしくは複数のECRリポジトリと、ECSやEKSなどのコンテナオーケストレーターを管理しています。この文脈でいうと、コンテナセキュリティは共同の責任であるということに着目することが重要で、developerと secops の役割は、クラウドネイティブのサプライチェーン全体のセキュリティに対処するために連携しています。たとえば、developerは、コンテナのUSER を定義し、イメージ内の不要なビルドツールを削除して攻撃対象領域を最小限に抑えるといった、セキュアなコンテナイメージをbuildするための推奨プラクティスに従います。同様に、secops も、runtimeポリシーを検証して適用するといったことを行ないます。 さらに、2種類のスキャンに分類することができます。 Static scanning (静的スキャン) :デプロイ前のフェーズで実行されるため、developers (もしくは secops) はコンテナが実行される前に脆弱性に気づくことができます。ECR イメージスキャン機能は、このカテゴリに分類され、コンテナイメージ内の OS パッケージをスキャンして、既知のセキュリティ上の脅威公開リストである共通脆弱性識別子 (CVE) を検出します。ECR イメージスキャン機能を利用すれば、独自のスキャンインフラを設定したり、サードパーティのスキャンライセンスを購入したりする必要はありません。 Dynamic scanning (動的スキャン):ランタイム環境で実行されるスキャンのことです。テスト環境、QA 環境、または本番環境で、すでに実行されているコンテナの脆弱性を特定することが可能であり、ビルド時点でインストール済みのソフトウェアに脆弱性が含まれていることが後日発覚した際や、ゼロデイの脆弱性なども検出可能です。動的(またはランタイム)コンテナセキュリティについては、CNCF Falcoなどのオープンソースソリューションから、Aqua Security、Trend Micro、Twistlock など、AWS コンテナコンピテンシーパートナーが提供するサービスまで、サードパーティ製のさまざまなオプションが利用可能です。 みなさまからお寄せいただいたフィードバックとさまざまな選択肢の評価結果に基づき、我々は人気のあるオープンソースプロジェクトであるCoreOS ClairをECRイメージスキャン機能で利用して脆弱性の静的解析を実行することに決定しました。イメージスキャン機能を備えるように ECR API、AWS CLI、SDK の拡張を行い、CI パイプラインやコマンドラインで使用しやすい形で、スケーラブルで信頼性の高いマネージドサービスを実装しました。 具体的な現実世界のユースケースから始めましょう。ECRでのコンテナイメージの定期スキャンです。 […]

Read More

SSL/TLS を経由して RDS MySQL, RDS MariaDB, and Amazon Aurora MySQL に sysbench を実行する

sysbench は MySQL 互換のデータベースでベンチマークを実行するために有用なツールです。もし、sysbench を使って Amazon Aurora MySQL のパフォーマンスの評価をしたい場合、Amazon Aurora Performance Assessment Technical Guide が役に立つでしょう。しかし、もし SSL/TLS を経由して sysbench を実行したい場合、このツールや AWS のサービスにあるいくつかの制限について考える必要があります。 この投稿では、RDS MySQL, RDS MariaDB, and Aurora MySQL で sysbench を実行するにあたっての考慮点と、どのように準備するべきかについて、お話いたします。 考慮点 sysbench の最新のパッケージリリースは 1.0.17 になります。もし、yum や RPM のようなパッケージマネージャから sysbench をインストールした場合、このバージョンがインストールされます。このバージョンでは、sysbench は SSL/TLS を使用するにあたって、以下のような制限を持っています: –mysql-ssl オプションは ON または OFF のみが指定可能で SSL_MODE は REQUIRED 固定 クライアント秘密鍵、クライアント公開鍵、CA […]

Read More

実際に手を動かして学ぶ!AWS Hands-on for Beginners のご紹介

こんにちは、テクニカルソリューションアーキテクトの金澤 (@ketancho) です。本日は、先日 11/6 に公開した「AWS Hands-on for Beginners」について紹介します。 みなさまは AWS のサービスを使い始めるときに、どのように学習をされていますか?私は日々、様々な業種のお客様とお話しさせてもらう機会があるのですが、その中で学習方法についてもご相談をいただくことがあります。キャッチアップの方法は様々あり、人によって最適な方法は違ってくると思うのですが、私個人のオススメ勉強方法は「実際に手を動かしてみる」ことです。実際にそのサービスを使ってみることで、構築の流れであったり、細かい機能であったりを知ることができ、机上で学んだ知識が定着しやすくなると考えているからです。AWS Hands-on for Beginners は、この「実際に手を動かしてみる」ことをお手伝いします。 AWS Hands-on for Beginners シリーズ一覧 AWS Hands-on for Beginners ~ Serverless #1 ~ 申し込みページ   AWS Hands-on for Beginners とは? AWS Hands-on for Beginners は、動画にそって実際に手を動かしながら AWS サービスについて学んでいただくコンテンツです。名前の通り、初めて AWS サービスをご利用される方向けの内容ですので、学習の最初のステップとしてご活用いただけます。オンデマンド形式での配信となるので、移動時間などのスキマ時間での学習もできますし、分かりにくい部分を巻き戻して何度でもご覧いただくことができます。   AWS Hands-on for Beginners の第一弾として、サーバーレスアーキテクチャの基本を学ぶ Webiner シリーズを配信しています。このシリーズは、初めてサーバーレスなアーキテクチャを組む方を対象とした内容で、AWS Lambda、Amazon API Gateway、Amazon […]

Read More
Weekly AWS

週刊AWS – 2019/11/04週

みなさん、こんにちは。ソリューションアーキテクトの下佐粉です。 今週も週刊AWSをお届けします。 週刊AWSをこの形式で再開したのが5月でこの号が25回目、約半年間に渡ってお届けしておりますが、みなさんのお役に立てていますでしょうか? ご要望・ご感想などありましたら、ぜひTwitterのハッシュタグ #AWSBlog で教えていただければと思います。 それでは、先週の主なアップデートについて振り返っていきましょう。

Read More

使用されていないAmazon EBSボリュームを削除してAWSのコストをコントロールする

業界や業種を問わず、お客様にとってコスト管理は最優先事項の1つです。 EBSボリュームのライフサイクルの可視性が十分でないと、未使用のリソースに対してコストが発生する可能性があります。 AWSはコスト管理のサービスを提供しており、コスト情報へのアクセス、コストの理解、コストの制御、およびコストの最適化を行えるようにしています。 未使用、および管理が行き届いていないAmazon EBSボリュームは、AWS のコストに影響します。 EBSボリュームのライフサイクルは、Amazon EC2 コンピューティングインスタンスから独立して管理可能です。そのため、EBS ボリュームに関連付けられている EC2インスタンスが終了しても、EC2起動時に「終了時に削除」 オプションを選択しない限り、EBS ボリュームは削除されません。 また、開発とテストのサイクルの中でEC2インスタンスの起動停止を繰り返す際、自動的にEBSボリュームを削除する処理がないと、 EBS ボリュームが残る可能性があります。 EC2にアタッチされておらず孤立したEBS ボリュームは、アタッチされていない間も料金が発生します。 この記事では、OpsCenter を活用した自動化プロセスについて説明します。OpsCenter は、AWS Systems Manager の一機能として最近発表されたもので、OpsCenterを使えば、EC2 インスタンスにアタッチされておらず、未使用なEBS ボリュームを識別および管理できるようになります。

Read More

新しいサーバーレスアプリ作成機能で CI/CD も作れます

AWS Lambda のマネジメントコンソールに新しい「サーバーレスアプリケーションの作成」機能が追加されていることにお気付きですか? サーバーレス環境である Lambda ではすぐに処理実行環境が利用可能になり、Webのコンソールからロジックを実装するだけで容易にちょっとした処理を開発できます。一方で、この次のステップとして、 Lambda 関数だけでなく、アプリケーションとしての開発や管理ができていない 環境の再現(開発環境からステージングや本番環境へ)、デプロイの継続実行(CI/CD)の環境が整備できずに、Webコンソール上でいまだにコード変更している という話を聞くことがあります。実際には、デプロイ/環境設定のコード化(Infrastructure as Code: IaC)には AWS CloudFormation や Serverless Application Model(SAM)などがあり、CI/CD には CODEシリーズなどがあるのですが、サーバーレス開発を始めたばかりだと、そこへの次の一歩に二の足を踏まれているケースを見かけることがあります。 そんな方に向けた機能が、新しい「サーバーレスアプリケーションの作成」機能です。これを使うと、特定ユースケースのアプリケーションをテンプレートベースでひとまとめに作成し、CI/CD パイプラインまで一気に構築してくれます。 簡単に、この機能の利用ステップを紹介します。

Read More

JenkinsとAWS CodeBuildおよびAWS CodeDeployとの連携によるCI/CDパイプラインの構築

この記事は、オープンソースの自動化サーバーである Jenkins を用いて、AWS CodeBuild のビルド成果物を AWS CodeDeploy でデプロイし、機能的なCI/CDパイプラインを構築する方法を説明します。適切な設定を行うことで、GitHubリポジトリにプッシュされたソースコードの変更を元にCI/CDパイプラインが起動され、自動的にCodeBuildに送られ、その出力がCodeDeployによってデプロイされることを実現できます。

Read More

【開催報告】第9回Amazon SageMaker 事例祭り

アマゾン ウェブ サービス ジャパン株式会社 機械学習ソリューションアーキテクトの上総 (Twitter:@tkazusa ) です。AWS Japan 目黒オフィスでは「Amazon SageMaker 事例祭り」(Twitter: #sagemaker_fes) を定期的に開催しています。2019年10月30日に開催された 第9回 Aazon SageMaker 事例祭り では、AWS Japan のソリューションアーキテクトによるサービスの最新情報や技術情報と、Amazon SageMaker をご利用いただいているお客様をゲストスピーカーにお招きし、実際に導入頂いたお客様による「体験談」をお話し頂きました。

Read More

AWS セキュリティが IoT セキュリティのホワイトペーパー(日本語版)を公開しました

IoT デバイスや IoT デバイスが生成するデータセキュリティについて、理解を深めて適切に対処していただけるように、AWS による IoT ( モノのインターネット) のセキュリティ保護ホワイトペーパーを発行しました。このホワイトペーパーの対象読者は、サービス固有レベルの AWS の IoT セキュリティ機能に関心があるすべてのお客様、およびコンプライアンス、セキュリティ、公共政策の専門家です。 IoT テクノロジーはデバイスと人を様々な方法でつなぎ、業種を超えて使用されるようになりました。たとえば、IoT を使用すれば、ある都市の建物群のサーモスタットをリモート管理したり、何百基もの風力タービンを効率的に制御したり、自動運転の車をさらに安全に利用できるようになります。様々なタイプのデバイスで転送するすべてのデータに関して、一番の関心事はセキュリティです。 IoT テクノロジーの利用に伴う特有の課題については、世界中の政府が大きな関心を示しています。各国政府は IoT イノベーションの進展とデータセキュリティ保護全般の問題について、新しい規制要件の必要性と内容を検討しています。このホワイトペーパーでは、具体的な例を示して、米国国立標準技術研究所 (National Institute of Standards and Technology、NIST) および英国の行動指針 (Code of Practice) が公表した IoT の最近の進展について取り上げます。 Momena Cheema Momena は AWS のサービス機能とプライバシー機能の熱心なエバンジェリストです。モノのインターネット (IoT)、人工知能、機械学習など、グローバルな最新テクノロジーとトレンドの視点から、執筆、ワークショップ、講演、教育キャンペーンを展開しています。目標は、公共機関と民間企業の様々な業種のお客様に、クラウドが提供するセキュリティとプライバシーのメリットをご活用いただくことです。 (翻訳:ソリューションアーキテクト 飯田 起弘。原文は AWS Security releases IoT security whitepaper)

Read More

Amazon Comprehend が日本語に対応しました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、プロダクトマーケティング シニアエバンジェリストの亀田です。 Amazon Comprehendが日本語に対応しましたのでお知らせいたします。2019年11月7日時点で東京リージョンには対応しておらず、以下のリージョンで日本語対応の機能を使うことになります。 EU (ロンドン) EU (アイルランド) アジアパシフィック (シンガポール) アジアパシフィック (シドニー) EU (フランクフルト) 米国東部 (バージニア北部) 米国東部 (オハイオ) カナダ (中部) 米国西部 (オレゴン) Amazon Comprehend 機械学習を使用してテキスト内でインサイトや関係性を検出する自然言語処理 (NLP) サービスであり、その利用において、機械学習の複雑な知識や経験は必要なくご利用いただけることが特徴です。 一般的にテキストデータは構造化されておらず、法則性を見出すことが困難となるため、その分析には大きな労力を伴います。その一方で、テキストデータには膨大な量の潜在的な知見が存在しています。お客様の E メール、サポートチケット、製品レビュー、ソーシャルメディア、広告コピーが、ビジネス強化の役に立つケースがあります。 Amazon Comprehend は機械学習を使用して、構造化されていないデータのインサイトと関係を明らかにします。このサービスは、テキストの言語を識別し、キーフレーズ、場所、人物、ブランド、またはイベントを抽出し、テキストがどの程度肯定的か否定的かを理解し、トークン分割や品詞を使用してテキストを分析し、テキストファイルのコレクションをトピックごとに自動的に整理します。 ユースケースの例: 例えば実際のユースケースとして、ニュース記事の自動分類などがあります。 Amazon S3に保存されている記事をComprehendで分析を行い、テーマ別にドキュメントを整理して分類し、同じテーマに関連する他の記事を読者に推奨するなどの自動化を行うことができます。 実際にやってみましょう 例えば、2019年7月1日に私がアップした以下の記事を分析してみます。 AWS Service Quotas がリリースされました https://aws.amazon.com/jp/blogs/news/aws-service-quotas/ 1.マネージメントコンソールにアクセスして、[Launch Amazon Comprehend]を押します。マネージメントコンソールから簡易的なテストが行えるようになっていますが、現在5000bytesの制限があるのでご注意ください。5000文字ではなく5000bytesの制限です。 それ以上のテキストの解析は、S3バケット保存したテキストを読み込む形となります。 2. [Input Text]に記事の本文をコピーペーストして、[Analyze]を押します。 3. […]

Read More