$30 off During Our Annual Pro Sale. View Details »
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をま...
Search
濱田孝治
January 18, 2024
Technology
4
1.3k
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をまるっとお届け〜
AWSマネージドサービスGuardDutyによる待望のコンテナランタイム脅威検知。その検知内容と設定上の注意事項、検出の様子をまとめてお届けします。
濱田孝治
January 18, 2024
Tweet
Share
More Decks by 濱田孝治
See All by 濱田孝治
製造現場のデジタル化における課題とPLC Data to Cloudによる新しいアプローチ
hamadakoji
0
330
可視化プラットフォームGrafanaの基本と活用方法の全て
hamadakoji
3
1.2k
20分で完全に理解するGrafanaダッシュボード
hamadakoji
5
2.5k
re:Invent2023で体験したIoT面白ワークショップ〜お絵描き2Dロボットの構築〜
hamadakoji
0
740
今改めて見直してみるラズパイの真価
hamadakoji
1
620
40分1本勝負 VPoE ハマコーvs20人の悩めるエンジニアリングマネージャー
hamadakoji
0
66
AWSの次世代プロセッサ Graviton2(Arm64)をLambdaとFargateで使うために考えるべきこと
hamadakoji
3
1.9k
エンジニアリングマネージャーの理想と現実
hamadakoji
13
8.5k
JAWS-UGコンテナ支部22回進行用資料
hamadakoji
0
510
Other Decks in Technology
See All in Technology
241130紅白ぺぱ合戦LT「編集の技術」
toya524287
5
570
情シスの引継ぎが大変という話
miyu_dev
2
540
プロダクトマネージャーは 事業責任者の夢をみるのか pmconf2024
gimupop
1
2.2k
マルチプロダクト、マルチデータ基盤での Looker活用事例 〜BQじゃなくてもLookerはいいぞ〜
gappy50
0
120
GAS × Discord bot × Gemini で作ったさいきょーの情報収集ツール
ysknsid25
1
490
Entra ID の多要素認証(Japan Microsoft 365 コミュニティ カンファレンス 2024 )
murachiakira
0
1.8k
【CNDW2024】SIerで200人クラウドネイティブのファンを増やした話
yuta1979
1
300
ARRが3年で10倍になったプロダクト開発とAI活用の軌跡
akiroom
0
210
間違いだらけのポストモーテム - ホントに役立つレビューはこうだ!
jacopen
5
900
12/4(水)のBedrockアプデ速報(re:Invent 2024 Daily re:Cap #3 with AWS Heroes)
minorun365
PRO
2
220
ポストモーテムレビューをブレームレスに運営し有効な改善アクションを引き出すために必要だったこと / What is needed to operate postmortem blamelessly and elicit improvement actions
yamaguchitk333
0
140
LINEヤフーにおける超大規模プラットフォーム実現への挑戦と学び / Challenges and Lessons in Building an Ultra-Large-Scale Platform at LY Corporation
hhiroshell
2
970
Featured
See All Featured
Agile that works and the tools we love
rasmusluckow
327
21k
Adopting Sorbet at Scale
ufuk
73
9.1k
XXLCSS - How to scale CSS and keep your sanity
sugarenia
247
1.3M
Typedesign – Prime Four
hannesfritz
40
2.4k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Keith and Marios Guide to Fast Websites
keithpitt
410
22k
Designing for Performance
lara
604
68k
Facilitating Awesome Meetings
lara
50
6.1k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
400
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.8k
Designing the Hi-DPI Web
ddemaree
280
34k
Code Reviewing Like a Champion
maltzj
520
39k
Transcript
GuardDutyによる コンテナランタイム脅威検知のすべて 〜その凄さと設定注意点と検知の様⼦をまるっとお届け〜 1 濱⽥孝治(ハマコー)
2 About me 濱⽥孝治(ハマコー) • @hamako9999 • 最近の流⾏ • ランニング
• フロストバイトロードレース(ハーフ) • さいたまマラソン(フル) • サイバーパンク2077 仮初めの⾃由 • Cities Skylines2 • このゲームめっちゃ重いので、誰かGeForce RTX 4070下さい
3 最初に みなさんあの⽇の 感動と興奮を覚えていますか︖
4 最初に
5 最初に これはre:Invent 2022 の出来事です
6 遥かなる時を経て2023年11⽉26⽇リリース︕︕ ref: https://aws.amazon.com/jp/blogs/aws/introducing-amazon-guardduty-ecs-runtime-monitoring-including-aws-fargate/
7 というわけで 世界が注⽬、そして待望していた コンテナランタイム脅威検知を 皆さんにお届け
8 Agenda • Container runtime threat detectionとは • 動作イメージ •
設定⽅法と設定上の注意点 • 実際に脅威を検出してみた • まとめ
9 Container runtime threat detectionとは
10 Container runtime threat detectionとは GuardDutyの新機能としてECS Runtime Monitoring が提供 •
実⾏中のECSタスクにおいて、ランタイムの脅威を ⽰す可能性のあるイベントを検出 • GuadDutyに集約されるので、他のセキュリティ脅 威と合わせて包括的に脅威情報を集約し管理可能 • ECS on FargateはGA(今⽇の話は全部こちら) • ECS on EC2はPreview
11 実際になにが検出されるのか︖ • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
12 なにが嬉しいのか︖ これまでは、実⾏中のECSタスクの ランタイム脅威検知にはそれなりに ⾼価な商⽤製品の導⼊が必須だった • ex. Sysdig, aqua, dynatrace
• aquaは、脅威検知後のコンテナ 保護機能などもあり AWSマネージドな仕組みだけでこの ランタイム検知ができるようになっ たのは素晴らしい進化︕
13 動作イメージ
14 動作イメージ •設定はクラスター 単位で実施(配下 の全サービスが対 象) •タスク起動時にフ ルマネージドな GuardDutyサイド カーコンテナが⾃
動的に起動し、検 出した脅威の GuadDutyへの通 知を実施
15 設定⽅法と設定上の注意点
16 ほなやってみよと思ったそこのあなたへ 設定はめちゃくちゃ簡単
17 安易にやるとめちゃくちゃ 影響範囲が⼤きくなります
18 設定時間30秒、影響範囲はリージョン全部 GuadDuty -> ランタイムモニタリングを開いて 「ランタイムモニタリング」を有効 「AWS Fargate」を有効 にするだけ これだけで、設定したリージョンの全てのECSクラ
スターが検出対象になる
19 ランタイム脅威検知で利⽤するリソースと料⾦ 検出対象になったクラスターで注意しておくべき代表点 • ECSタスクのリソース • ECSタスク定義はそのままの場合、設定したリソースを追加される GuadDuty⽤のサイドカーコンテナが利⽤するので、注意が必要(CPU and memory
limits) • サイドカーコンテナの料⾦ • 超ざっくりで4%ぐらいのコスト増 • 参考︓Intelligent Threat Detection – Amazon GuardDuty Pricing • ⼀度設定すると、今後作成する全てのクラスターが上記の影響を受 けることも注意
20 ECSクラスターを設定対象外にする⽅法 クラスターに事前に以下のタグを付与しておく • Key:GuardDutyManaged • Value:false プロダクション環境などで設定する場合は、意図せぬと ころに影響が出ないように注意
21 実際に脅威を検出してみた
22 やっぱり 実際に検出してみないと やっぱりねぇ、実感がわかないよねぇ
23 検出対象にしてみた脅威 • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
24 検出するためのツール ECS ExecでFargateにログインして コマンド実⾏
25 CryptoCurrency:Runtime/BitcoinTool.B!DNS 暗号通貨関連ドメイン pool.supportxmr.comへのDNS クエリ。これはほぼ確実に毎回出る。 他にも同じような挙動をするドメインがあるかどうか ChatGPTに聞いてみたら、それは教えられないよ、と ⾔われました。
26 参考にしたブログ https://dev.classmethod.jp/articles/guardduty-findings-test-cryptocurrency/
27 Execution:Runtime/NewBinaryExecuted インストールしたバ イナリ実⾏の脅威が 検知。 Nmapコマンド使っ ているので、ポート スキャン脅威がでる かと思いきや、ここ では、新バイナリの
実⾏の脅威で検知さ れていた
28 しばらくの間 実際の画⾯を⾒てみましょう
29 検出した後の運⽤をどうするか 設定したは良いが、実際に検出されたときの運⽤も考え ておくのが⼤事 • Managing Amazon GuardDuty findings -
Amazon GuardDuty • 公式ドキュメント。運⽤についての詳細が記載されてある [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を 考える | DevelopersIO • セキュリティHero、⾅⽥の記事 • Amazon GuardDuty ECS Runtime Monitoringで脅威を検出した ECSタスクを自動停止してみた | DevelopersIO • トクヤマシュンによる脅威検知対象ECSタスクの⾃動停⽌
30 まとめ
31 • ECSにおけるコンテナランタイム検知がマネージド な仕組みだけでできるようになったので⼤いに活⽤ の余地あり︕ • 設定は異常に簡単だが影響範囲が⼤きいため、事前 の計画は必須 • コンテナセキュリティ全般は、ビルドプロセスにお
けるイメージスキャンやIAMの最⼩権限の⽅策など と合わせて包括的に対処しましょう︕
32 皆さんのECS環境 よりセキュアに安全に 使っていきましょう︕