Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36 コンテナについて話したい、助けてほしい人集まれLT大会
Slide 2
Slide 2 text
2 ● 名前 ○ 佐々木真也 ● 所属 ○ コドモン株式会社 ■ 2023年11月〜 ■ SREチーム ● X ○ @taishin ● 趣味 ○ サッカー観戦 自己紹介
Slide 3
Slide 3 text
3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。
Slide 4
Slide 4 text
4 導入施設数推移(ICT) 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500 2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 (2024年3月時点) 14,000 2023年4月
Slide 5
Slide 5 text
5 アジェンダ ● コンテナランタイムセキュリティ ● Amazon GuardDuty ECS Runtime Monitoring ● もやっとしたこと ● まとめ
Slide 6
Slide 6 text
コンテナランタイムセキュリティ
Slide 7
Slide 7 text
7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
Slide 8
Slide 8 text
8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
Slide 9
Slide 9 text
9 ● コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり ● ECSでは商用製品しか対応していなかった ○ Aqua Security ○ Palo Alto Networks ○ Sysdig 等 コンテナランタイムセキュリティ
Slide 10
Slide 10 text
No content
Slide 11
Slide 11 text
Amazon GuardDuty ECS Runtime Monitoring
Slide 12
Slide 12 text
12 ● re:Invent 2023で発表 ● FargateもEC2も対応だが、EC2は現在のところプレビュー ● 検出するだけで、ブロックはしない ● タスクごとにエージェントコンテナがサイドカーとして起動する Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク
Slide 13
Slide 13 text
13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順
Slide 14
Slide 14 text
14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単
Slide 15
Slide 15 text
15 ● 有効にしたアカウントの全クラスタで有効になる ● クラスタにタグを設定すれば、クラスタレベルで無効にできる ○ GuardDutyManaged : false ● 有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点
Slide 16
Slide 16 text
16 ● GuardDuty Findingsとして表示 検知
Slide 17
Slide 17 text
もやっとしたこと
Slide 18
Slide 18 text
18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・? これ費用は・・・?
Slide 19
Slide 19 text
19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない
Slide 20
Slide 20 text
20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・
Slide 21
Slide 21 text
21 Troubleshooting coverage issues ● https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない
Slide 22
Slide 22 text
22 Troubleshooting coverage issues ● https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・
Slide 23
Slide 23 text
23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・
Slide 24
Slide 24 text
24 2. ステータスがHealthyにならない なおった・・・
Slide 25
Slide 25 text
25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)
Slide 26
Slide 26 text
26 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)
Slide 27
Slide 27 text
27 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)
Slide 28
Slide 28 text
28 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)
Slide 29
Slide 29 text
まとめ
Slide 30
Slide 30 text
30 ● とはいえ、導入がかなり簡単で、お手軽に始められる ● ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも ● なんにしたって、この後の運用が重要だと思います まとめ
Slide 31
Slide 31 text
31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています!
Slide 32
Slide 32 text
No content