Türchen #1: Docker Container Scanning mit ECR

Von Michael Krieg am 1. Dezember 2019

In unserer kleinen Adventskalender Blogserie möchten wir Euch verschiedene Themen vorstellen.
Heute soll es in einem ersten Beitrag um Docker Container Security in AWS gehen.

Docker Container: aber sicher!

Es gibt einige Tools, die schon während des CI- bzw. Build Prozesses zum Einsatz kommen: Clair oder Docker Bench Security, um nur zwei zu nennen. Der Aufwand, diese Tools zu integrieren ist einigermaßen hoch. Es wäre gut, wenn es z. B. in der AWS Cloud einen integrierten Service gibt.

ECR Vulnerability Scan

Seit Kurzem ist Clair auf Knopfdruck in jedem ECR Repository verfügbar - neue Images werden beim Hochladen automatisch auf bekannte Sicherheitslücken überprüft. Das Ergebnis kann sowohl in der AWS Console (siehe Abbildung unten) als auch über die AWS CLI begutachtet werden. Mit den gewonnenen Erkenntnissen ist es nun einfach, einen Build im CI System als fehlgeschlagen zu markieren, sofern beim Scan tatsächlich Sicherheitslücken werkannt wurden.

Beispiel: Ergebnisse eines Scans mittles AWS CLI abfragen

aws ecr describe-image-scan-findings --repository-name foo/bar --image-id imageDigest=sha256:<your-sha256> --region eu-central-1
aws ecr describe-image-scan-findings --repository-name foo/bar --image-id imageTag=<your-image-tag> --region eu-central-1

Abbildung: Scan Ergebnis (hier: ein altes Ubuntu Image) in der AWS Console

Container, Container, Container

Weitere Infos

AWS ECR Image Scanning Userguide

Zurück zu den Blogbeiträgen

Trainings und Workshops

Vom Kurs für Einsteiger bis hin zu Experten-Workshops mit Tiefgang können wir Euch mit technischen Trainings unterstützen. Darüber hinaus bieten wir auch Workshops mit Fokus auf Cloud-Strategie oder für die Vertriebsmannschaft an.

Mehr...