Amazon Web Services ブログ

2019 AWS コンテナセキュリティアンケートの結果

 

AWS そして当然ながらコンテナセキュリティに重点を置いているサービスチームにとっても、セキュリティは最も優先すべき事項です。現在の状況をより適切に評価するために、2019年後半に AWS のコンテナユーザーを対象に匿名アンケートを実施しました。全体で運用担当者や SRE から InfoSec、開発者、アーキテクトといったさまざまな役割を持つ 68 名の方々から回答を得ましたので結果を紹介します。さまざまな解釈や結論が含まれています。アンケートに協力してくれた皆さんに感謝したいと思います。質問と結果は GitHub からも入手できます。

まず、主な統計から始めましょう。アンケートを閲覧した 90 名のうち、68 名がアンケートに回答しました。回答にかかった平均時間は、7 分強でした。デモグラフィック情報に関して、我々は 1 つ疑問がありました。それは役割に関するものでした。

質問:私の役割はチーム/組織の中で〇〇〇です。

スペクトル全体は素晴らしい分布でした。テスト/QA に関心があったことは嬉しかったですが、リリース管理に関心が薄いことに少し驚きました。

コンテナセキュリティ全般

全体的な設定に移ります。それほど驚くことではありませんが、特定のユーザーが複数のコンテナオーケストレーターとサービスを使用していることがわかりました。詳細は、次の通りです。

質問:AWS上でどのようにコンテナを起動していますか?

EC2 の EKS と EC2 の ECS がそれぞれ 52% と44% で全体をリードしています。ロングテールでは、Docker EE や Nomad の使用が他のシステムでよく見られます。

次に、先を見越した、つまり予防的な方法として、スキャン、署名、およびサプライチェーン管理について注目がありました。全体的な結果は次のようになります。

質問:コンテナイメージをスキャンしていますか?

2019 年 10 月に導入したネイティブ ECR スキャン機能は人気がありますが、それの大部分 (62%) は静的スキャンが注目されていることがわかりました。しかし、動的つまりランタイムスキャンに関する動向はどうでしょうか?

質問:動的にコンテナをスキャンしていますか?

それほど大きくはありませんが、ここでは回答者の 83% の大多数がまだ使用していないという結果でした。また、CNCF Falco が積極的に使用されており、13% で全体をリードしていることは嬉しいです。

次は、コンテナイメージのスキャンです。おや?現在あなたがこれに関わっていないとすれば、良い会社で働いているのでしょう (根拠があるわけではありませんが):

質問:コンテナイメージに署名していますか?

はい、89% の回答者がコンテナイメージに署名しないと答えています。それを変えていきましょう! Notary 2 の取り組みについて読み、CNCF Slack の #notary-v2 チャンネルに参加して貢献してください。

では、デジタルサプライチェーンの管理についてはどうでしょうか。

質問:デジタルサプライチェーンをどのように管理していますか?

それほどさほど驚きませんでした。アンケート回答者のほとんど (81%) は、現在サプライチェーンを管理していないと回答しています。少なくとも一部の回答者は CNCF in-toto には関心がありました。これが始まりというものです。

次に、機密データがどのように管理されているかを見てみました。データベースのパスワードまたは API キーを考えてください。プレーンテキストで保存していることを認める勇気のある方おりますか? さてと…

質問:機微なデータをどのように管理していますか?

AWS Systems Manager Parameter StoreAWS Secrets Manager の 2 つのマネージドサービスは広く使用されているようです。(67 名のうち 66 名がどちらか一方または両方を使用していると回答しています。) 次に回答が多いのが HashiCorp Vault よる一般的なソリューションです。興味深いことに、11% の回答者が機密データを暗号化していないと回答していることです。我々の CTO は次のように言います。「ダンスは誰も見てないと思って踊れ、暗号化は誰もが見ていると思って行え」と。

Kubernetes

回答者が「AWS で Kubernetes を使用していますか」という質問に対して、「はい」と回答しましたが、他にいくつか質問がありました。結果を見てください。

まず、ネットワークポリシーの取り込みに興味があることです。

Calico が余裕で多数ををリードしてます。2 番目に人気があるのがオプションとしてのサービスメッシュです。正直言って、Cilium (eBPF ベースのソリューション) を使用していると答えた回答者が 1 名もいないことに驚きました。何故でしょうか?

次は、グローバルランタイムセキュリティポリシー、つまり PSP です。PSP を GA にプロモートする (またはしない) か、そして OPA を代替として使用する可能性についての現在の議論を考慮すると、これらの結果は理にかなっていると思います。

次に、ユーザー管理について質問しました。現在、Kubernetes はユーザー管理を意図的に外部に委託しており、実際にユーザーを最上級のリソースとして扱っていません。それらはグローバルであり、既存のグループメンバーシップなどを Kubernetes にマッピングするソリューションを見つけるのはあなた次第です。発見したこと:

興味深いことに、OIDC などの SSO ベースのソリューションが 2 番目に登場することです。プレーンな古い IAM ユーザー/ロールは依然として明らかにリードしています。

authn/authz パスについて続けながら、ポッドレベルの最小権限の管理について質問してみました。

2019 年 9 月にリリースしたサービスアカウントの AWS ネイティブ IAM ロール (IRSA) 機能は、やや冷静で 25% にとどまっています。回答者は、未だにノードにロールを割り当てていると言っています。どうか、考え直してください。

AWS のコンテナセキュリティに関する現在 (2019 年) の状態はこれでおしまいです。詳細はすべて GitHub を通じて入手できます。ご参加いただきありがとうございました。今回参加できなかった方は、2020 年後半に別のイベントが開催されるので、是非参加してください。