Container runtime threat detection for GuardDutyに思いを馳せる / What do you think about Container runtime threat detection for GuardDuty?

by TERAOKA Keisuke

Slide 1

Slide 1 text

Container runtime threat detection for GuardDutyに思いを馳せる 2022/12/20 JAWS-UG コンテナ支部 #22 寺岡慶佑

Slide 2

Slide 2 text

寺岡慶佑 (とばち) ● クラスメソッド株式会社 ○ prismatix事業部 Devチーム ● 2022 APN ALL AWS Certiﬁcations Engineer ● 2021 APN AWS Top Engineer ● 趣味 ○ 紅茶、ビール発表者紹介 @toda_kk

Slide 3

Slide 3 text

まずはこれを見てくれ https://youtu.be/Xus8C2s5K9A?t=3267

Slide 4

Slide 4 text

No content

Slide 5

Slide 5 text

No content

Slide 6

Slide 6 text

本発表は2022年12月20日時点での内容です。 GAどころかPreviewにすらなっていないサービスに関する架空の情報を含みます。正確な情報については公式なアナウンスをお待ちください。

Slide 7

Slide 7 text

コンテナランタイムセキュリティについて

Slide 8

Slide 8 text

コンテナのライフサイクルに応じたセキュリティ OSSで始めるコンテナセキュリティ https://speakerdeck.com/tobachi/container-security-with-oss-tools

Slide 9

Slide 9 text

コンテナのライフサイクルに応じたセキュリティ COMING SOON？ OSSで始めるコンテナセキュリティ https://speakerdeck.com/tobachi/container-security-with-oss-tools

Slide 10

Slide 10 text

キーノートで語られていたこと

Slide 11

Slide 11 text

No content

Slide 12

Slide 12 text

● コンテナ内部における脅威の検知をサポートする ○ GuardDutyのこれまでの対応（EKS/Malware Protection）はコンテナ外部における脅威の検知 ● コンテナ内部におけるOSレベルの動作をモニタリングすることで脅威を検知する ○ ファイルアクセス、プロセス実行、ネットワーク接続、など ○ ホストノードへのアクセス、クレデンシャルの取得、悪意のあるコマンド実行、コントロールサーバーとの通信を試みるコンテナを特定できる ● Amazon EKSと統合する（Amazon ECSは……？）キーノートで語られていたこと

Slide 13

Slide 13 text

● AWSとサードパーティーの脅威インテリジェンス、および機械学習を使用して、AWS環境やワークロードにおける脅威を検知するサービス ● エージェントレスであり、脅威検知のためのリソースは AWSが管理する基盤で動作するコンテナ内部のモニタリングをどうやって実現するのか？ Amazon GuardDutyについて

Slide 14

Slide 14 text

妄想を膨らませてみる

Slide 15

Slide 15 text

EKS AnywhereにおけるCiliumの採用 AWS picks Cilium for Networking & Security on EKS Anywhere - Isovalent https://isovalent.com/blog/post/2021-09-aws-eks-anywhere-chooses-cilium/

Slide 16

Slide 16 text

● CiliumはIsovalentが提供するeBPFベースのOSS ○ Podのネットワーキングやセキュリティを提供する EKS AnywhereにおけるCiliumの採用 AWS picks Cilium for Networking & Security on EKS Anywhere - Isovalent https://isovalent.com/blog/post/2021-09-aws-eks-anywhere-chooses-cilium/

Slide 17

Slide 17 text

コンテナランタイムセキュリティにおけるeBPFの利用 eBPFで実現するコンテナランタイムセキュリティ https://speakerdeck.com/tobachi/container-runtime-security-with-ebpf

Slide 18

Slide 18 text

GuardDutyにおいても Ciliumが採用される、もしくはeBPFベースのツールが利用されるのでは……？

Slide 19

Slide 19 text

https://github.com/cilium/tetragon https://isovalent.com/blog/post/2022-05-16-tetragon/ https://github.com/aws/containers-roadmap/issues/1027 ● Isovalentは、コンテナランタイムにおけるセキュリティ検知・保護のOSSツールであるTetragonを公開している ○ AWSのコンテナワークロードにおいてCiliumに加えてTetragon が採用される？ ● その場合、現状ではFargateがeBPFをサポートしていないので、どうなる？ ○ Fargateは未サポートのままPreview/GA？ ○ Firecracker VM側に何か仕込む？？妄想を膨らませてみる

Slide 20

Slide 20 text

Thank you! AWSで良きコンテナライフを