【ECR 拡張スキャン編】大阪リージョンをDRサイトとして計画する

はじめに

本記事では、メインサイトを東京リージョン、DRサイトを大阪リージョンとして利用した際の、注意事項や検討事項をまとめています。

今回は、Amazon ECRをテーマとして取り上げます。

冒頭まとめ

この記事では、以下のことをお伝えしたいです。

Amazon ECRの拡張スキャンは、大阪リージョンでサポートされていません。
しかし、拡張スキャンされたイメージを、大阪リージョンへクロスリージョンレプリケーションすることによって、ユーザー側で脆弱性に問題がないことを確認したイメージを、大阪リージョンで使用することが可能です。

背景

DRサイトとして、大阪リージョンの採用を検討する場面は多いと思います。

メインサイトとして東京リージョンを利用しており、データの保管場所が国内のみに限定する必要がある場合など、セキュリティ要件に制約がある場合は、DRサイトとしての選択肢は、大阪リージョンのみに限られます。

その際、東京リージョンでサポートされているサービスも、大阪リージョンでサポートされておらず、検討が必要な場面は多々あると思います。

今回は、Amazon ECRの拡張スキャンについて、大阪リージョンを利用する際の注意事項をお伝えしていきます。

前提

メインサイトを東京リージョン、DRサイトを大阪リージョンとして稼働するシステムを想定
Amazon ECRを利用し、イメージを東京リージョンから大阪リージョンへ、クロスリージョンレプリケーションされている状態

実現したいこと

本記事での実現したいことは、以下です。

DRサイトである大阪リージョンでシステム稼働時、ECRにおいて、コンテナイメージに対し拡張スキャンが実行され、脆弱性に問題がないことを確認したイメージを利用すること。

検討

Amazon ECR 拡張スキャン

Amazon ECRの機能の一つに、拡張スキャンが提供されています。

https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning-enhanced.html

Amazon ECR 拡張スキャンは、コンテナイメージの脆弱性スキャンを提供する Amazon Inspector との統合です。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。

拡張スキャンを利用することで、コンテナイメージの脆弱性を評価することができます。

しかし、2023/07現在、大阪リージョン含め、以下のリージョンでは拡張スキャンはサポートされていません。
https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning-enhanced.html

次のリージョンでは、拡張スキャンはサポートされていません。
アジアパシフィック (大阪) (ap-northeast-3)

アジアパシフィック (ジャカルタ) (ap-southeast-3)

アフリカ (ケープタウン) (af-south-1)

拡張スキャンのサポート外リージョンでも、拡張スキャンされたリポジトリイメージを、クロスリージョンレプリケーションすることは可能なのか？

可能です。

仕組みとしては、拡張スキャンと、レプリケーションの実行は独立して行われます。

そのため、拡張スキャンの実行結果およびリージョン別のサポート有無に関わらず、クロスリージョンレプリケーションを実施することができます。

ちなみに

公式のドキュメントに、以下の記載がありました。
https://aws.amazon.com/jp/blogs/news/cross-region-replication-in-amazon-ecr-has-landed-jp/

コンテナイメージはメタデータとともにレプリケーションされますが、脆弱性の検出結果はレプリケーションされません。

この文章をみたとき、レプリケーション先では、レプリケーション元(今回の場合東京リージョン)同等の安全性が担保されない可能性があるのかな、と思いました。

しかし、実際はそのような意味ではありません。
あくまで、コンソール画面上から確認できる検出結果(※)を、レプリケート先のリージョンのコンソール画面上から見ることができないだけのようです。
※DescribeImageScanFindings
https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html

よって、スキャン結果がレプリケートされないとしても、レプリケートされるのは同じイメージであるため、レプリケート元のイメージのスキャン結果の内容自体はレプリケート先のイメージに対しても有効です。

まとめ

DRを検討する際は、メインサイトと同等レベルで、DRサイトにてシステムを復旧させることも想定しなければいけません。

別リージョンにおいて機能がサポートされていない場合も考慮し、いざDRサイトでシステムを稼働させる際の検討事項は、あらかじめ取り除いておく必要があります。

今回は、AmazonECRの拡張スキャンされたイメージを、大阪リージョンで利用する際の挙動についてお伝えしました。

次回は、実際にコンソール上から挙動を確認していきたいと思います。

【ECR 拡張スキャン編】大阪リージョンをDRサイトとして計画する

はじめに

冒頭まとめ

背景

前提

実現したいこと

検討

Amazon ECR 拡張スキャン

拡張スキャンのサポート外リージョンでも、拡張スキャンされたリポジトリイメージを、クロスリージョンレプリケーションすることは可能なのか？

ちなみに

まとめ

X (旧 Twitter) を複数人で安全に運用する方法

Arduinoを初めて使う時のセットアップと実例集

Vue.jsのV-modelの初期値の取り扱いでハマった

【ほぼ最速受験レポート】AWS Certified Data Engineer – Associate ベータ試験

個人利用していた AWS アカウントを解約してみた

【ECR 拡張スキャン編】大阪リージョンをDRサイトとして計画する

はじめに

冒頭まとめ

背景

前提

実現したいこと

検討

Amazon ECR 拡張スキャン

拡張スキャンのサポート外リージョンでも、拡張スキャンされたリポジトリイメージを、クロスリージョンレプリケーションすることは可能なのか？

ちなみに

まとめ

関連記事Related Articles

ECRコンテナイメージスキャン with Inspector 通知テスト方法

Amazon Inspectorプレビュー

忙しい人のためのAmazon Inspector User Guide まとめ

Amazon Inspector(プレビュー) が 脆弱性(CVE)を検知するか確認する

AWS CDK Advanced Workshop（S3 クロスリージョンレプリケーション設定）をやって気になったこと

Amazon Inspector(プレビュー) が脆弱性(CVE)を検知するか確認する