Edited at

そのコンテナは本当に安全? GCP Container Registry のコンテナ脆弱性スキャンを試す

More than 1 year has passed since last update.

Google Cloud Platform の Container Registry はその名の通り、Docker イメージのレポジトリのサービスです。このサービスではイメージの脆弱性をスキャンする機能を利用することができます(ただし、この記事を執筆した時点では α 版です)。

セキュリティは様々な観点から守らなければなりませんが、こういったツールを適材適所で使っていくことでセキュリテイリスクを軽減できます。

ここでは、簡単な Flask の Web アプリのコンテナイメージを作成します。脆弱性があるかどうかを確認するまでの一連の流れを説明します。


Container Registry の脆弱性スキャン機能を有効化する

以下の二つの設定を有効化する必要があります。


  • Container Analysis API

  • 脆弱性スキャン

設定方法は、公式ドキュメントのContainer Registry 脆弱性スキャンをご参照ください。


Docker イメージのビルド

ここからは Cloud Shell で作業します。Cloud Shell は管理コンソールの右上のアイコンから起動できます。Cloud Shell を使うことでブラウザ上のターミナルで各種作業ができるようになります。

「app.py」「Dockerfile」を以下の通り作成します。


app.py

from flask import Flask

app = Flask(__name__)

@app.route("/")
def hello():
return "Hello World!"



Dockerfile

FROM debian

RUN apt-get -qq update; \
apt-get -qq -y upgrade; \
apt-get -qq -y install \
python \
python-pip; \
pip install flask
WORKDIR /src
EXPOSE 8080
COPY app.py /src
ENV FLASK_APP=app.py
CMD ["flask", "run", "--host=0.0.0.0", "--port=8080"]

イメージをビルドします。

$ docker build -t vulnerabilities-test .


イメージの動作確認

イメージの動作確認をするために、コンテナを起動します。

$ docker run -d -p 8080:8080 vulnerabilities-test

Cloud Shell のターミナルの右上に「ウェブでプレビュー」ボタンがあります。

クリックし表示された Web ページで「Hello World!」と表示されていれば、イメージのビルドは成功です。


イメージを Container Registry に push

次の流れでイメージを Container Registry に push します。

# 環境変数にプロジェクトIDを格納

$ export PROJECT_ID=$(gcloud config list project --format "value(core.project)")

# イメージに所定の命名規則で別名をつける
$ docker tag vulnerabilities-test gcr.io/$PROJECT_ID/vulnerabilities-test

# Container Registry に push
$ gcloud docker -- push gcr.io/$PROJECT_ID/vulnerabilities-test


スキャン結果の確認

[Container Registry] → [イメージ名] と遷移すると、次の画面になります。脆弱性の列がスキャン結果のサマリです。なんか、いっぱいありますね・・

脆弱性の列(4 重大 + 246 その他と書かれているところ)をクリックすると、脆弱性ごとに一行ずつ表示され、概要を確認できます。


最後に

脆弱性のスキャン自体は機能を有効化するだけなので簡単でした。そして、思った以上に脆弱性が検出されて驚きました。

セキュリティへの対応は計画的に開発、運用プロセスに組み込む必要がありますが、こういったツールもあるよということでご紹介させていただきました。ご参考までに。


その他参考になりそうな文献へのリンク

コンテナのセキュリティに関しては、様々な文献があります。勝手ながら有用だと思ったものを紹介させていただきます。

・Google Cloud Platform Japan Blog

コンテナのセキュリティ(第 1 回): 3 つの主要領域

コンテナのセキュリティ(第 2 回): ノード イメージとコンテナ イメージ

コンテナのセキュリティ(第 3 回): Grafeas で管理するコンテナ イメージのメタデータ

・JAWS Days に登壇された方の資料

コンテナを守る技術