ECRイメージレジストリースキャン

Amazon Elastic Container Registry(ECR)は、完全に管理されたDockerコンテナレジストリーであり、開発者はDockerコンテナイメージの保存、管理、デプロイを容易に行うことができます。ECRは、高可用性とスケーラビリティを備えたアーキテクチャでコンテナイメージをホストするため、アプリケーション用のコンテナを確実にデプロイすることができます。

新しいイメージがAmazon ECRにプッシュされると、これはAmazon EventBridgeによってピックアップされ、ベースイメージの構築とスキャンを行うエフェメラルなCodeBuildタスクを作成するLambda関数に渡されます。

AWS CodeBuildは、フルマネージドの継続的インテグレーションサービスです。CodeBuildはソースコードをコンパイルし、テストを実行し、独自のビルドサーバーをプロビジョニング、管理、スケーリングすることなく、デプロイ可能なソフトウェアパッケージを生成します。

CodeBuild in progress CodeBuildのパイプライン実行中の様子

スキャンの結果はSysdig Secureのバックエンドに送られます。Sysdig Secure側でレジストリーを設定したり、公開したりする必要はありません。また、イメージ自体はSysdigに送信されず、イメージのメタデータのみが送信されます。

CodeBuild result CodeBuildパイプラインの実行結果

スキャンは実際にはこのAWSパイプライン内で行われますが、スキャンのポリシーを維持し、結果をSysdig内で確認します。

これらのリソースをAWSで確認する必要はありません。Sysdigアカウントにアクセスするだけで、スキャンされたすべてのイメージのレポートを確認することができます。

Image Scan report イメージスキャンレポート

AWSワークショップハンズオントレーニング

Sysdig Secure for cloudのこの機能やその他の機能についての詳細やハンズオントレーニングについては、以下の公式AWSワークショップをご覧ください:

sysdig.awsworkshop.io

次のセクションへ進む

すべてのセキュリティ機能について詳しく知りたい方は、こちらをご覧ください

CloudTrailを用いた脅威検知のセクションを見る.
クラウドセキュリティポスチャーマネジメントとコンプライアンスのセクションを見る.
ECRイメージレジストリースキャンのセクションを見る.
Fargateイメージスキャンのセクションを見る.


詳細については、以下のいずれかのセクションをご覧ください: