コンテナレジストリ（AWS ECR / AzureContainerRegistry）のスキャン機能を比較

5350 ワード

Azure コンテナ AWS ECR AzureContainerRegistry AWS テキストリンク

はじめに

コンテナのベースイメージのスキャンがしたいなーと思いまして、Azure・AWS両方触ってみました。時間がない方は「AWSとAzureのコンテナレジストリの特徴」「両者の比較」「さいごに」という部分だけお読みください。

まずはそれぞれのスキャンの特徴から。

AWS ECR

2019年10月28日Amazon ECR のイメージスキャンの通知ということでAWSから発表されました。

イメージスキャンにかかる料金は無料
ECRにすでにプッシュしてあるイメージに対するスキャンが可能。
pushをhookしてスキャンすることが可能
スキャンが終わったら通知することが可能
- Events&EventBridge

サービスを組み合わせることですでにあるイメージに定期的にスキャンできるのでゼロデイの脆弱性にも有効ですね。

Azure Container Registry

ContainerRegistryについては以前書いたこちらの記事をどうぞ

Qiita - AzureContainerRegistryにprivateイメージをpushしよう

これについに2019年11月にスキャンする機能がついたわけです。

Azure Security Center でコンテナーイメージの脆弱性をスキャン

AzureではQualysを使ったスキャン機能になります。

イメージスキャンにかかる料金は有償
- SecurityCenterがStandardである必要があるのと、1イメージにつき16.24円（東日本 3/17現在）かかります。
- 参考：Security Centerの料金
Pushされたタイミングでスキャンさせることが可能
1日に1回SecurityCenterの機能を使って設定したメールアドレスに重大な脆弱性については通知を行うことが可能。

Azure Container Registry と Security Center の統合に記載がありますが定期的なスキャンを行うにはCI/CDと組み合わせる必要がありそうですね。

準備

診断対象とするのは私が3年前に作ってdockerhubにpushしたイメージです。
何もメンテナンスしていないので大量に引っかかると予想されます。。。。
dockerデーモンを起動して、脆弱性たっぷりのイメージを落としておきます。

docker pull uzresk/demo:ver1.0

AWS ECRでのスキャン

pushして即スキャンしてみようと思います。まずはリポジトリを作ってみましょう。プッシュ時にスキャンを選択しておきます。

docker loginします

`aws ecr get-login --region ap-northeast-1 --no-include-email`

tagを付けてpushしましょう

docker tag uzresk/demo:ver1.0 xxxxxxxxxxxxxx.dkr.ecr.ap-northeast-1.amazonaws.com/demo:latest

docker push xxxxxxxxxxxxxx.dkr.ecr.ap-northeast-1.amazonaws.com/demo:latest

pushするとなんと速攻スキャンが終わってました・・・その数なんと141個

詳細も見てみましょう。リンク張っておくから読んどけよ。って感じですね

Azure Container Registryでのスキャン

Azure Cliを使ってログインし、タグをつけてpushします。

az login
az acr login --name xxxxxxxxx
docker tag docker.io/uzresk/demo:ver1.0 xxxxxxxxx.azurecr.io/demo:latest
docker push xxxxxxxxx.azurecr.io/demo:latest

10分後・・・・セキュリティセンターを開いてみます。

75件の脆弱性が検知できたみたいです。一覧を見るとパッチの有無なんかがでてて親切ですね。

詳細も見ることができます

両者を比べると・・・

料金が無料であったり、速攻スキャン結果が出てくるのはAWSの魅力ですね。
Azureのよい面はパッチあり・なしがわかったりする点でしょうか。
今回のイメージに関しては脆弱性が発見された数はAWSのほうが多かったのですが、それが常にそうかはわかりません。

定期的なスキャンの仕組みはLambdaとかを組み合わせるとAWSのほうが簡単に作れるんじゃないかなという気がしました。CI/CDの仕組みがすでにあるのであればAzureでもAWSでも簡単に使えるのではないかと思います。

終わりに

ホストの脆弱性についてはAWS FargateやECSであれば自動で検知しホストを入れ替えたりすることができますし、これはAzureも同じでWebApp for Containerも自動でホストにパッチを当てたりしてくれます。

コンテナレイヤはこんなに簡単にスキャンができるとは思いませんでした。
定期的なスキャンの仕組みをいれてゼロデイに対する対策もしておきたいところですね。

両者ともにOSの脆弱性までのようです。ですのでアプリケーションのレイヤに関してはこれまで通りWAFの導入や定期的なアプリケーション診断などの対策が必要になる点は勘違いしないようにしてください。

Author And Source

この問題について(コンテナレジストリ（AWS ECR / AzureContainerRegistry）のスキャン機能を比較), 我々は、より多くの情報をここで見つけました https://qiita.com/uzresk/items/0b458e3646bf5cc1950a

著者帰属：元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。

Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .