Slide 1

Slide 1 text

第13回 雲勉LT【オンライン】 GuardDutyでECS on Fargateでランタイムセキュリティの脅 威を検出してみた

Slide 2

Slide 2 text

2 • 野崎 ⾼弘(のざき たかひろ) • アイレット株式会社 クラウドインテグレーション事業部 プロジェクト企画推進セクション インフラ技術 • インフラ構築・保守やSOCセキュリティアナリストをやってました • 現在は技術検証やドキュメント作業が主 • 趣味︓資格取得、⽝の散歩、ドラマ鑑賞、巨⼈ファン • 現在、AWS・GCP全冠 3 ⾃⼰紹介

Slide 3

Slide 3 text

本LTの⽬的 3 コンテナのリスク対策にはこれまでEKS Runtime Monitoringなどがありましたが、Fargateにはありません でした。今回のアップデートAmazon GuardDuty の新機能、Amazon ECS および AWS Fargate でランタ イムセキュリティの脅威を検出によって、ECS on Fargateでもコンテナのリスクへの対応が可能になりまし た。 そこで今回ECS on Fargateを対象とし、コンテナ内でのランタイムセキュリティ(コンテナのデプロイ後に 発⽣する可能性のある様々な脅威からワークロードを保護)の脅威を検出する検証をしてみました。 本LTの通りにやれば、初⼼者でもECS on Fargateでランタイムセキュリティの脅威を検出できるようになり ます。

Slide 4

Slide 4 text

全体像 4

Slide 5

Slide 5 text

前提条件 5 • 今回使⽤するタスクロール「ecsTaskExecutionRole」には、あらかじめ必要な権限やポリシーが付与さ れているものとします。 • ECS on Fargate環境は事前に構築済みとします。 (参考) 「AWS Hands-on for Beginners Amazon Elastic Container Service ⼊⾨ コンテナイメージを作って 動かしてみよう」 https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-ECS-2022- confirmation_012.html

Slide 6

Slide 6 text

検証⼿順概要 6 1. GuardDuty ECS Runtime Monitoringを有効化 2. ECSクラスターのランタイムカバレッジを確認 3. タスク定義でタスクロールを設定 4. ECS Execを使ってFargateのコンテナにアクセス 5. コンテナで検知コマンドを実⾏ 6. GuardDutyの検出結果を確認

Slide 7

Slide 7 text

検証 7 (5分ほどDemo)

Slide 8

Slide 8 text

まとめ 8 今回のアップデートによって、GuardDutyでもECS on Fargateコンテナのランタイムセキュリティが検知で きるようになりました。残るEKS on Fargateに対しても対応できるようになれば、コンテナ対策という意味 では完璧ですね︕ 更なるアップデートに期待です。 AWSサービス ECS on Fargate ECS on EC2 EKS on Fargate EKS on EC2 GuardDuty Runtime Monitoring ⭕(今回の対象) △(プレビュー) × ○ GuardDuty Malware Protection × ○ × ○

Slide 9

Slide 9 text

No content