2019.03.06

不正なコンテナイメージを検出!Aqua Security イメージスキャン

竹石渡
SB C&S株式会社
ICT事業本部 MD本部 技術統括部
テクニカルマーケティングセンター ビジネス開発課
このエントリーをはてなブックマークに追加

こんにちは。SB C&Sの竹石です。
本日はAqua Securityのイメージスキャンについて記事を書きたいと思います。

190306_takeishi01.png

Aqua Securityのイメージスキャンは上の画像のようにコンテナイメージのマルウェアや脆弱性の有無をレジストリ内やホスト内、CIを用いたビルド時などにスキャンすることができます。
そしてイメージのスキャン結果を評価し、その結果を元に制御を行うイメージアシュアランスポリシーを定義することができます。

イメージアシュアランスポリシーの設定


190306_takeishi02.png
イメージアシュアランスポリシー設定としてはどういった際に制御をするか(例えばマルウェアや脆弱性検出時など)、制御するのであればどういうアクションをするのかという定義をします。
アクションとしては以下が選択できます。
・Auditメッセージを残すか?
・CI/CDでのビルドを失敗させるか?
・ホストでの起動をブロックするか?

イメージスキャンの結果


190306_takeishi03.png
イメージスキャンは上のような画面で以下を確認できます。
・イメージがポリシーによって許可されているのか、拒否されているのか
・スキャン結果の詳細
・Fixの方法

脆弱性に関しては以下のような画面で確認可能です。
CVE、CVSS、Severity、Vendor Referenceなどを確認することができます。

190306_takeishi04.png

Disallowedになっているイメージを起動させようとすると以下のようにunauthorized imageということで拒否されます。

190306_takeishi06.png

その後Auditでインシデントを確認することができます。

190306_takeishi05.png

Aqua Securityを利用することでCIツールと連携しイメージスキャン、ポリシーによる強制を自動化できますので開発者に負担をかけることなくセキュアなコンテナ環境を構築することができます。


関連リンク
Aqua Securityで実現する包括的なコンテナ・セキュリティー

資料のダウンロードはこちら

フォームに必要事項をご記入いただくことで、
Aqua Securityの資料をダウンロードできます。

この記事の著者:竹石渡

SB C&S株式会社
ICT事業本部 MD本部 技術統括部
テクニカルマーケティングセンター ビジネス開発課

新卒でSB C&S株式会社へ入社し現在7年目。
セキュリティー製品のプリセールスエンジニアとして案件支援やハンズオン、プロダクトの性能検証などに従事。
昨年は年間20回以上セミナーに登壇し、セキュリティーのエヴァンジェリスト活動にも力を入れている。CISSPを保有。
2018年4月からビジネスデベロップメントに従事。新規プロダクト立ち上げの一環としてDevOpsを担当。
DevOpsを愛し、DevOpsに愛される男を目指し日々邁進中。


DevOps Hubのアカウントをフォローして
更新情報を受け取る

  • Like on Feedly
    follow us in feedly

関連記事

このエントリーをはてなブックマークに追加

お問い合わせ

DevOpsに関することなら
お気軽にご相談ください。

Facebook、TwitterでDevOpsに関する
情報配信を行っています。