第13回 雲勉LT【オンライン】 GuardDutyでECS on Fargateでランタイムセキュリティの脅 威を検出してみた

2 • 野崎 ⾼弘（のざき たかひろ） • アイレット株式会社 クラウドインテグレーション事業部 プロジェクト企画推進セクション インフラ技術 • インフラ構築・保守やSOCセキュリティアナリストをやってました • 現在は技術検証やドキュメント作業が主 • 趣味︓資格取得、⽝の散歩、ドラマ鑑賞、巨⼈ファン • 現在、AWS・GCP全冠 3 ⾃⼰紹介

本LTの⽬的 3 コンテナのリスク対策にはこれまでEKS Runtime Monitoringなどがありましたが、Fargateにはありません でした。今回のアップデートAmazon GuardDuty の新機能、Amazon ECS および AWS Fargate でランタ イムセキュリティの脅威を検出によって、ECS on Fargateでもコンテナのリスクへの対応が可能になりまし た。 そこで今回ECS on Fargateを対象とし、コンテナ内でのランタイムセキュリティ（コンテナのデプロイ後に 発⽣する可能性のある様々な脅威からワークロードを保護）の脅威を検出する検証をしてみました。 本LTの通りにやれば、初⼼者でもECS on Fargateでランタイムセキュリティの脅威を検出できるようになり ます。

全体像 4

前提条件 5 • 今回使⽤するタスクロール「ecsTaskExecutionRole」には、あらかじめ必要な権限やポリシーが付与さ れているものとします。 • ECS on Fargate環境は事前に構築済みとします。 （参考） 「AWS Hands-on for Beginners Amazon Elastic Container Service ⼊⾨ コンテナイメージを作って 動かしてみよう」 https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-ECS-2022- confirmation_012.html

検証⼿順概要 6 1. GuardDuty ECS Runtime Monitoringを有効化 2. ECSクラスターのランタイムカバレッジを確認 3. タスク定義でタスクロールを設定 4. ECS Execを使ってFargateのコンテナにアクセス 5. コンテナで検知コマンドを実⾏ 6. GuardDutyの検出結果を確認

検証 7 （5分ほどDemo）

まとめ 8 今回のアップデートによって、GuardDutyでもECS on Fargateコンテナのランタイムセキュリティが検知で きるようになりました。残るEKS on Fargateに対しても対応できるようになれば、コンテナ対策という意味 では完璧ですね︕ 更なるアップデートに期待です。 AWSサービス ECS on Fargate ECS on EC2 EKS on Fargate EKS on EC2 GuardDuty Runtime Monitoring ⭕（今回の対象） △（プレビュー） × ○ GuardDuty Malware Protection × ○ × ○

No content