【ECR 拡張スキャン編】大阪リージョンをDRサイトとして計画する

はじめに

本記事では、メインサイトを東京リージョン、DRサイトを大阪リージョンとして利用した際の、注意事項や検討事項をまとめています。

今回は、Amazon ECRをテーマとして取り上げます。

冒頭まとめ

この記事では、以下のことをお伝えしたいです。

Amazon ECRの拡張スキャンは、大阪リージョンでサポートされていません。
しかし、拡張スキャンされたイメージを、大阪リージョンへクロスリージョンレプリケーションすることによって、ユーザー側で脆弱性に問題がないことを確認したイメージを、大阪リージョンで使用することが可能です。

背景

DRサイトとして、大阪リージョンの採用を検討する場面は多いと思います。

メインサイトとして東京リージョンを利用しており、データの保管場所が国内のみに限定する必要がある場合など、セキュリティ要件に制約がある場合は、DRサイトとしての選択肢は、大阪リージョンのみに限られます。

その際、東京リージョンでサポートされているサービスも、大阪リージョンでサポートされておらず、検討が必要な場面は多々あると思います。

今回は、Amazon ECRの拡張スキャンについて、大阪リージョンを利用する際の注意事項をお伝えしていきます。

前提

メインサイトを東京リージョン、DRサイトを大阪リージョンとして稼働するシステムを想定
Amazon ECRを利用し、イメージを東京リージョンから大阪リージョンへ、クロスリージョンレプリケーションされている状態

実現したいこと

本記事での実現したいことは、以下です。

DRサイトである大阪リージョンでシステム稼働時、ECRにおいて、コンテナイメージに対し拡張スキャンが実行され、脆弱性に問題がないことを確認したイメージを利用すること。

検討

Amazon ECR 拡張スキャン

Amazon ECRの機能の一つに、拡張スキャンが提供されています。

https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning-enhanced.html

Amazon ECR 拡張スキャンは、コンテナイメージの脆弱性スキャンを提供する Amazon Inspector との統合です。コンテナイメージは、オペレーティングシステムとプログラミング言語パッケージの両方の脆弱性についてスキャンされます。

拡張スキャンを利用することで、コンテナイメージの脆弱性を評価することができます。

しかし、2023/07現在、大阪リージョン含め、以下のリージョンでは拡張スキャンはサポートされていません。
https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/userguide/image-scanning-enhanced.html

次のリージョンでは、拡張スキャンはサポートされていません。
アジアパシフィック (大阪) (ap-northeast-3)

アジアパシフィック (ジャカルタ) (ap-southeast-3)

アフリカ (ケープタウン) (af-south-1)

拡張スキャンのサポート外リージョンでも、拡張スキャンされたリポジトリイメージを、クロスリージョンレプリケーションすることは可能なのか？

可能です。

仕組みとしては、拡張スキャンと、レプリケーションの実行は独立して行われます。

そのため、拡張スキャンの実行結果およびリージョン別のサポート有無に関わらず、クロスリージョンレプリケーションを実施することができます。

ちなみに

公式のドキュメントに、以下の記載がありました。
https://aws.amazon.com/jp/blogs/news/cross-region-replication-in-amazon-ecr-has-landed-jp/

コンテナイメージはメタデータとともにレプリケーションされますが、脆弱性の検出結果はレプリケーションされません。

この文章をみたとき、レプリケーション先では、レプリケーション元(今回の場合東京リージョン)同等の安全性が担保されない可能性があるのかな、と思いました。

しかし、実際はそのような意味ではありません。
あくまで、コンソール画面上から確認できる検出結果(※)を、レプリケート先のリージョンのコンソール画面上から見ることができないだけのようです。
※DescribeImageScanFindings
https://docs.aws.amazon.com/ja_jp/AmazonECR/latest/APIReference/API_DescribeImageScanFindings.html

よって、スキャン結果がレプリケートされないとしても、レプリケートされるのは同じイメージであるため、レプリケート元のイメージのスキャン結果の内容自体はレプリケート先のイメージに対しても有効です。

まとめ

DRを検討する際は、メインサイトと同等レベルで、DRサイトにてシステムを復旧させることも想定しなければいけません。

別リージョンにおいて機能がサポートされていない場合も考慮し、いざDRサイトでシステムを稼働させる際の検討事項は、あらかじめ取り除いておく必要があります。

今回は、AmazonECRの拡張スキャンされたイメージを、大阪リージョンで利用する際の挙動についてお伝えしました。

次回は、実際にコンソール上から挙動を確認していきたいと思います。

【ECR 拡張スキャン編】大阪リージョンをDRサイトとして計画する

はじめに

冒頭まとめ

背景

前提

実現したいこと

検討

Amazon ECR 拡張スキャン

拡張スキャンのサポート外リージョンでも、拡張スキャンされたリポジトリイメージを、クロスリージョンレプリケーションすることは可能なのか？

ちなみに

まとめ

[アップデート]複数VPCのインターネット通信を制御する機能「VPC Block Public Access (BPA)」がリリースされました！

Arduinoを初めて使う時のセットアップと実例集

AWSの生成AI活用事例集GenUを使い倒す

『第3回 Well Architected Mini Bootcamp for iret（運用上の優秀性）in 名古屋』参加レポート

Google Cloud 認定資格のグッズ申請をしてみた

【ECR 拡張スキャン編】大阪リージョンをDRサイトとして計画する

はじめに

冒頭まとめ

背景

前提

実現したいこと

検討

Amazon ECR 拡張スキャン

拡張スキャンのサポート外リージョンでも、拡張スキャンされたリポジトリイメージを、クロスリージョンレプリケーションすることは可能なのか？

ちなみに

まとめ

関連記事Related Articles

ECRコンテナイメージスキャン with Inspector 通知テスト方法

Amazon Inspectorプレビュー

忙しい人のためのAmazon Inspector User Guide まとめ

AWS CDK Advanced Workshop（S3 クロスリージョンレプリケーション設定）をやって気になったこと

ClamAVをAWS Lambdaで動かす