Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第13回 雲勉LT【オンライン】GuardDutyでECS on Fargateでランタイムセキュリティの脅威を検出してみた
Search
iret.kumoben
January 16, 2024
Technology
0
45
第13回 雲勉LT【オンライン】GuardDutyでECS on Fargateでランタイムセキュリティの脅威を検出してみた
iret.kumoben
January 16, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第133回 雲勉 【オンライン】今度こそ既存のAWSリソースをいい感じにコードに落とし込みたい!
iret
0
37
第132回 雲勉【オンライン】春の生成AI祭り
iret
1
53
第17回 雲勉LT【オンライン】Amazon Managed Grafanaを使ってCloudWatchログを分析・可視化する
iret
0
42
Amazon Bedrockのロックな使い方を考えたい
iret
0
32
CloudWatch SyntheticsとAmazon Managed Grafanaを連携する
iret
0
25
Amazon SageMaker Canvasで学ぶ機械学習モデルの構築
iret
0
46
ECR経由でのデプロイ通知を考える〜App Runner編〜
iret
0
33
AWSのサーバーレスでとりあえず開発をはじめてみた時に無知ゆえに陥りがちなこと
iret
1
52
第131回 雲勉【オンライン】AWSを9年触ってきて経験した落とし穴、ハマったポイント
iret
8
670
Other Decks in Technology
See All in Technology
TailwindCSSでUIライブラリを作る際のハマりどころ
shuta13
0
230
.NET GraphQL Client のリアル
sansantech
PRO
1
430
#phpconkagawa レガシーコードにもオブザーバビリティを 〜少しずつ始めるサービス監視〜
yamato_sorariku
0
560
テストコードを書きながらCompose Multiplatformを乗りこなす
subroh0508
0
150
Real World Type Puzzle and Code Generation
yukukotani
4
640
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
oracle4engineer
PRO
2
1.7k
Password cracking: past, present, future
openwall
0
300
Money-saving tips for the frugal serverless developer
theburningmonk
1
400
QA経験のないエンジニアリング マネージャーがQAのカジュアル面談に出て 苦労していること・気づいたこと / scrum fest niigata 2024
yoshikiiida
2
680
多言語化対応における TypeScript の型定義を通して開発のしやすさについて考えた / TSKaigi TypeScript Multilingualization
nabeliwo
2
390
AWS アーキテクチャ作図入門/aws-architecture-diagram-101
ma2shita
16
6.7k
iThome2024 Wailing Wall of Enterprise Security
notsurprised
0
300
Featured
See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
67
14k
KATA
mclloyd
16
12k
What the flash - Photography Introduction
edds
64
11k
Testing 201, or: Great Expectations
jmmastey
30
6.4k
How GitHub (no longer) Works
holman
305
140k
Become a Pro
speakerdeck
PRO
13
4.6k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
352
28k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
188
16k
YesSQL, Process and Tooling at Scale
rocio
165
13k
Being A Developer After 40
akosma
67
580k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
15
1.6k
Transcript
第13回 雲勉LT【オンライン】 GuardDutyでECS on Fargateでランタイムセキュリティの脅 威を検出してみた
2 • 野崎 ⾼弘(のざき たかひろ) • アイレット株式会社 クラウドインテグレーション事業部 プロジェクト企画推進セクション インフラ技術
• インフラ構築・保守やSOCセキュリティアナリストをやってました • 現在は技術検証やドキュメント作業が主 • 趣味︓資格取得、⽝の散歩、ドラマ鑑賞、巨⼈ファン • 現在、AWS・GCP全冠 3 ⾃⼰紹介
本LTの⽬的 3 コンテナのリスク対策にはこれまでEKS Runtime Monitoringなどがありましたが、Fargateにはありません でした。今回のアップデートAmazon GuardDuty の新機能、Amazon ECS および
AWS Fargate でランタ イムセキュリティの脅威を検出によって、ECS on Fargateでもコンテナのリスクへの対応が可能になりまし た。 そこで今回ECS on Fargateを対象とし、コンテナ内でのランタイムセキュリティ(コンテナのデプロイ後に 発⽣する可能性のある様々な脅威からワークロードを保護)の脅威を検出する検証をしてみました。 本LTの通りにやれば、初⼼者でもECS on Fargateでランタイムセキュリティの脅威を検出できるようになり ます。
全体像 4
前提条件 5 • 今回使⽤するタスクロール「ecsTaskExecutionRole」には、あらかじめ必要な権限やポリシーが付与さ れているものとします。 • ECS on Fargate環境は事前に構築済みとします。 (参考)
「AWS Hands-on for Beginners Amazon Elastic Container Service ⼊⾨ コンテナイメージを作って 動かしてみよう」 https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-ECS-2022- confirmation_012.html
検証⼿順概要 6 1. GuardDuty ECS Runtime Monitoringを有効化 2. ECSクラスターのランタイムカバレッジを確認 3.
タスク定義でタスクロールを設定 4. ECS Execを使ってFargateのコンテナにアクセス 5. コンテナで検知コマンドを実⾏ 6. GuardDutyの検出結果を確認
検証 7 (5分ほどDemo)
まとめ 8 今回のアップデートによって、GuardDutyでもECS on Fargateコンテナのランタイムセキュリティが検知で きるようになりました。残るEKS on Fargateに対しても対応できるようになれば、コンテナ対策という意味 では完璧ですね︕ 更なるアップデートに期待です。
AWSサービス ECS on Fargate ECS on EC2 EKS on Fargate EKS on EC2 GuardDuty Runtime Monitoring ⭕(今回の対象) △(プレビュー) × ◦ GuardDuty Malware Protection × ◦ × ◦
None