Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第13回 雲勉LT【オンライン】GuardDutyでECS on Fargateでランタイムセキュリティの脅威を検出してみた
Search
iret.kumoben
January 16, 2024
Technology
0
72
第13回 雲勉LT【オンライン】GuardDutyでECS on Fargateでランタイムセキュリティの脅威を検出してみた
下記、勉強会での資料です。
https://youtu.be/p9NBLWLQf2A
iret.kumoben
January 16, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第140回 雲勉 今度こそ AWS CDK で構築してみたくなるようなCDK活用集
iret
0
33
第139回 雲勉 Amazon Q Developerで安全快適な IaC with Terraform
iret
0
32
第138回 雲勉 Google Cloudではじめるプラットフォームエンジニアリング
iret
0
30
第137回 雲勉 Google Cloud Vertex AIとLangGraphを味方につけてRAGを改善したひ
iret
0
78
第136回 雲勉 AIに構成図を読み込ませてサーバー作成(Amazon Bedrock)
iret
0
86
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端末からAWSへアクセス ~
iret
1
120
第134回 雲勉 未経験クラウドエンジニア1年生(社会人1年生)の奮闘記
iret
0
60
第133回 雲勉 【オンライン】今度こそ既存のAWSリソースをいい感じにコードに落とし込みたい!
iret
0
55
第132回 雲勉【オンライン】春の生成AI祭り
iret
1
73
Other Decks in Technology
See All in Technology
DevIO2024_レガシー運用からの脱却 -クラウド活用の実践事例とベストプラクティス-
jun2882
0
210
サービスの持続的な成長と技術負債について
siva_official
PRO
10
4.4k
E2Eテスト自動化プラットフォームにおけるAIの活用
shift_evolve
0
190
テスト・設計研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
170
AWSでRAGを作る法方
sonoda_mj
1
140
AWSで”最小権限の原則”を実現するための考え方 /20240722-ssmjp-aws-least-privilege
opelab
10
4.3k
「我々はどこに向かっているのか」を問い続けるための仕組みづくり / Establishing a System for Continuous Inquiry about where we are
daitasu
0
170
エンジニア向け会社紹介資料
caddi_eng
14
220k
年間一億円削減した時系列データベースのアーキテクチャ改善~不確実性の高いプロジェクトへの挑戦~
lycorptech_jp
PRO
3
2.9k
コミュニティサービスに「あなたへ」フィードを リリースするまでの試行錯誤
takapy
1
150
【基調講演】変える、今ここから ― IoTとAIで紡ぐ未来
soracom
PRO
0
320
ギークの理想が7つ集まるエムスリーで夢を叶えよう - エムスリー株式会社
m3_engineering
1
260
Featured
See All Featured
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
353
29k
Art, The Web, and Tiny UX
lynnandtonic
291
20k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
26
1.6k
Writing Fast Ruby
sferik
623
60k
Building Adaptive Systems
keathley
34
2k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
224
21k
Become a Pro
speakerdeck
PRO
15
4.8k
Fantastic passwords and where to find them - at NoRuKo
philnash
42
2.7k
Testing 201, or: Great Expectations
jmmastey
33
6.9k
How to Think Like a Performance Engineer
csswizardry
4
590
GitHub's CSS Performance
jonrohan
1026
450k
Unsuck your backbone
ammeep
666
57k
Transcript
第13回 雲勉LT【オンライン】 GuardDutyでECS on Fargateでランタイムセキュリティの脅 威を検出してみた
2 • 野崎 ⾼弘(のざき たかひろ) • アイレット株式会社 クラウドインテグレーション事業部 プロジェクト企画推進セクション インフラ技術
• インフラ構築・保守やSOCセキュリティアナリストをやってました • 現在は技術検証やドキュメント作業が主 • 趣味︓資格取得、⽝の散歩、ドラマ鑑賞、巨⼈ファン • 現在、AWS・GCP全冠 3 ⾃⼰紹介
本LTの⽬的 3 コンテナのリスク対策にはこれまでEKS Runtime Monitoringなどがありましたが、Fargateにはありません でした。今回のアップデートAmazon GuardDuty の新機能、Amazon ECS および
AWS Fargate でランタ イムセキュリティの脅威を検出によって、ECS on Fargateでもコンテナのリスクへの対応が可能になりまし た。 そこで今回ECS on Fargateを対象とし、コンテナ内でのランタイムセキュリティ(コンテナのデプロイ後に 発⽣する可能性のある様々な脅威からワークロードを保護)の脅威を検出する検証をしてみました。 本LTの通りにやれば、初⼼者でもECS on Fargateでランタイムセキュリティの脅威を検出できるようになり ます。
全体像 4
前提条件 5 • 今回使⽤するタスクロール「ecsTaskExecutionRole」には、あらかじめ必要な権限やポリシーが付与さ れているものとします。 • ECS on Fargate環境は事前に構築済みとします。 (参考)
「AWS Hands-on for Beginners Amazon Elastic Container Service ⼊⾨ コンテナイメージを作って 動かしてみよう」 https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-ECS-2022- confirmation_012.html
検証⼿順概要 6 1. GuardDuty ECS Runtime Monitoringを有効化 2. ECSクラスターのランタイムカバレッジを確認 3.
タスク定義でタスクロールを設定 4. ECS Execを使ってFargateのコンテナにアクセス 5. コンテナで検知コマンドを実⾏ 6. GuardDutyの検出結果を確認
検証 7 (5分ほどDemo)
まとめ 8 今回のアップデートによって、GuardDutyでもECS on Fargateコンテナのランタイムセキュリティが検知で きるようになりました。残るEKS on Fargateに対しても対応できるようになれば、コンテナ対策という意味 では完璧ですね︕ 更なるアップデートに期待です。
AWSサービス ECS on Fargate ECS on EC2 EKS on Fargate EKS on EC2 GuardDuty Runtime Monitoring ⭕(今回の対象) △(プレビュー) × ◦ GuardDuty Malware Protection × ◦ × ◦
None