Slide 1

Slide 1 text

2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36 コンテナについて話したい、助けてほしい人集まれLT大会

Slide 2

Slide 2 text

2 ● 名前 ○ 佐々木真也 ● 所属 ○ コドモン株式会社 ■ 2023年11月〜 ■ SREチーム ● X ○ @taishin ● 趣味 ○ サッカー観戦 自己紹介

Slide 3

Slide 3 text

3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。

Slide 4

Slide 4 text

4 導入施設数推移(ICT) 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500 2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 (2024年3月時点) 14,000 2023年4月

Slide 5

Slide 5 text

5 アジェンダ ● コンテナランタイムセキュリティ ● Amazon GuardDuty ECS Runtime Monitoring ● もやっとしたこと ● まとめ

Slide 6

Slide 6 text

コンテナランタイムセキュリティ

Slide 7

Slide 7 text

7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

Slide 8

Slide 8 text

8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

Slide 9

Slide 9 text

9 ● コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり ● ECSでは商用製品しか対応していなかった ○ Aqua Security ○ Palo Alto Networks ○ Sysdig 等 コンテナランタイムセキュリティ

Slide 10

Slide 10 text

No content

Slide 11

Slide 11 text

Amazon GuardDuty ECS Runtime Monitoring

Slide 12

Slide 12 text

12 ● re:Invent 2023で発表 ● FargateもEC2も対応だが、EC2は現在のところプレビュー ● 検出するだけで、ブロックはしない ● タスクごとにエージェントコンテナがサイドカーとして起動する Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク

Slide 13

Slide 13 text

13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順

Slide 14

Slide 14 text

14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単

Slide 15

Slide 15 text

15 ● 有効にしたアカウントの全クラスタで有効になる ● クラスタにタグを設定すれば、クラスタレベルで無効にできる ○ GuardDutyManaged : false ● 有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点

Slide 16

Slide 16 text

16 ● GuardDuty Findingsとして表示 検知

Slide 17

Slide 17 text

もやっとしたこと

Slide 18

Slide 18 text

18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・? これ費用は・・・?

Slide 19

Slide 19 text

19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない

Slide 20

Slide 20 text

20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・

Slide 21

Slide 21 text

21 Troubleshooting coverage issues ● https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない

Slide 22

Slide 22 text

22 Troubleshooting coverage issues ● https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・

Slide 23

Slide 23 text

23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・

Slide 24

Slide 24 text

24 2. ステータスがHealthyにならない なおった・・・

Slide 25

Slide 25 text

25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)

Slide 26

Slide 26 text

26 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)

Slide 27

Slide 27 text

27 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)

Slide 28

Slide 28 text

28 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)

Slide 29

Slide 29 text

まとめ

Slide 30

Slide 30 text

30 ● とはいえ、導入がかなり簡単で、お手軽に始められる ● ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも ● なんにしたって、この後の運用が重要だと思います まとめ

Slide 31

Slide 31 text

31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています!

Slide 32

Slide 32 text

No content