Fargateイメージスキャン

Amazon Fargateは、Amazon Elastic Container Service(ECS)とAmazon Elastic Kubernetes Service(EKS)の両方で動作するコンテナ用のサーバーレスコンピュートエンジンです。適切な量のコンピュートリソースを割り当てるため、インスタンスタイプの選択やクラスターキャパシティのスケーリングが不要になります。Fargateでは、コンテナの実行に必要な最低限のリソースに対して料金を支払います。Sysdigは、Amazon ECRのスキャン方法と同様に、実行中のFargateサービスをスキャンを行い、既知の問題を検出する機能を提供します。

Fargate inline image scanning diagram

ECS Fargate用のデプロイコマンドは、イメージスキャンイベントをトリガーします。特に、デプロイコマンドはAmazon EventBridgeによって検知され、AWS Lambda関数を介してCodeBuildパイプラインをトリガーします。イメージスキャンが実行されるのは、このCodeBuildパイプラインの中です。これは、先ほどのAmazon ECRスキャンとよく似たワークフローとなります。

CodeBuild ephemeral pipeline

Sysdigのインラインイメージスキャナーは、デプロイされるイメージを検査し、そのメタデータをSysdigのバックエンドに送信します。実際のイメージコンテンツは、CodeBuildのパイプラインを離れることはありません。Sysdigのバックエンドは、コンテナのメタデータをセキュリティポリシーに照らして評価します。

Sysdig image scan report

イメージがセキュリティ要件を満たしていない場合は、スキャンレポートが生成されるので、対策を講じることができます。

EKSにおけるFargateとアドミッションコントローラー

Fargateタスクは、Elastic Kubernetes Servicesクラスター(EKS)にもデプロイできます。EKSクラスターでは、セキュリティに対応し、非準拠のデプロイメントをブロックする標準的なクラウドネイティブな方法として、アドミッションコントローラが使用できます。

あらゆる種類のKubernetesクラスターと同じようにSysdig Secure admission controllerを使用することで、Fargate for EKSやクラスターの任意のノードにデプロイされたイメージを事前に脆弱性のスキャンを行い、スキャンポリシーに準拠していない場合はブロックされるようにすることができます。脆弱性検出とDockerfileのベストプラクティスのためのデフォルトのポリシーを利用する事ができます。カスタマイズすることもできますし、自分で作成することもできます。

詳しくはアドミッションコントローラーに関するSysdigのドキュメント をご覧ください。

EKS admission controller diagram

AWSワークショップハンズオントレーニング

Sysdig Secure for cloudのこの機能やその他の機能についての詳細やハンズオントレーニングについては、以下の公式AWSワークショップをご覧ください:

sysdig.awsworkshop.io

次のセクションへ進む

すべてのセキュリティ機能について詳しく知りたい方は、こちらをご覧ください

CloudTrailを用いた脅威検知のセクションを見る.
クラウドセキュリティポスチャーマネジメントとコンプライアンスのセクションを見る.
ECRイメージレジストリースキャンのセクションを見る.
Fargateイメージスキャンのセクションを見る.


詳細については、以下のいずれかのセクションをご覧ください: