ブログ

Amazon ECR とのインテグレーション

Google Cloudとコンテナの継続的なセキュリティ

本文の内容は、Amazon ECR Integration(https://docs.sysdig.com/en/amazon-ecr-integration.html)を元に日本語に翻訳・再構成した内容となっております。

このインテグレーションにより、Amazon Elastic Container Registry(ECR)は、新しいコンテナがレジストリにプッシュされるたびにイベントまたはアクションを自動的にトリガーできます。

Sysdigは、このインテグレーションとして、インラインスキャンとバックエンドスキャンの2つの異なる操作モードを提供します。インテグレーションの最終的な目標は同じです:

  • イメージがスキャンされ、Sysdig Secureイメージスキャンポリシーに照らして評価されます
  • イメージスキャンレポートと評価はSysdig Secureで利用できます

計画:インラインスキャンとバックエンドスキャン

選択するオプションを決定するときは、次の点を考慮してください。

インラインスキャンモードの場合:

イメージはAWSパイプラインで直接スキャンされ、ポリシー評価を実行するために必要なメタデータのみがSysdigバックエンドに送信されます。

  • Sysdig Secureのレジストリ資格情報を設定する必要はありません
  • ECRレジストリをSysdig Secureバックエンドに公開する必要はありません
  • Sysdig Secureは、イメージのコンテンツを取得せず、ポリシー評価を実行するために必要なメタデータのみを取得します
  • スキャンは、エフェメナルリソースを割り当てるCodeBuildパイプライン内で実行されます

バックエンドスキャンモードの場合:

The image reference is sent to the Sysdig backend, which will then pull the image and perform the scan.

イメージ参照はSysdigバックエンドに送信され、その後、イメージがプルされてスキャンが実行されます。

  • ECRレジストリは、Sysdig Secureバックエンドから到達可能でなければなりません
  • レジストリの資格情報が必要ですが、lambda機能によって自動的にプッシュされるため、手動で設定する必要はありません
  • Sysdig Secureはスキャンを実行するために完全なイメージコンテンツを取得します

前提条件

  • スキャンするイメージをプッシュするために使用されるAmazon ECRレジストリ
  • Sysdig Secureアカウントと関連するAPIトークン
  • EventBridgeルールを作成するためのIAM権限
  • インラインスキャンの場合:CodeBuildプロジェクトを作成するためのIAM権限
  • バックエンドスキャン用
  • lambda機能を作成するためのIAMアクセス許可
  • ECRレジストリはSysdig Secureバックエンドからアクセスできる必要があります

インテグレーションをデプロイする

AWSアカウントにログインし、次のCloudFormationテンプレートをラウンチします。

20200422-1.png

目的のAWSリージョンにデプロイしていることを確認して、[次へ]をクリックします。

プライマリインテグレーションパラメーターを設定します。

20200422-2.png
  • Stack nameデフォルトはECRImageScanningです。 任意の名前を使用できます。
  • ScanningType:デフォルトはインラインです。 必要に応じてバックエンドを選択します。
  • SysdigSecureAPIToken: このトークンを取得するには、Sysdig Secureアカウント>設定にアクセスします。
  • SysdigSecureEndpoint: ポリシー評価を実行するために使用されるバックエンド。 デフォルトはSysdig Secure SaaSエンドポイントです。

[次へ]をクリックします。

設定オプションをマリインテグレーションパラメーターをて調整します。

リソースの作成を完了します。

パラメータを確認し、リソースの作成について[同意する...]チェックボックスをオンにします。

20200422-3.png

[Create Stack]をクリックします。

正常に完了したことを確認します。

CloudFormationスタックがCREATE_COMPLETEとマークされるとすぐに、インテグレーションが完了します。

  • このAWSリージョンのECRレジストリにプッシュしたイメージはすべて自動的にスキャンされます
  • イメージスキャン結果は、プッシュの数分後にSysdig Secureで利用可能になります
20200422-4.png

Sysdig Secureをまだテストしていませんか? 今すぐ無料トライアルにサインアップしてください!

Sysdigに関するお問い合わせはこちらから

最近の投稿

カテゴリー

アーカイブ

ご質問・お問い合わせはこちら

top