ECS Runtime Monitoring でコンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring

2024年3月13日コドモン株式会社佐々木真也 ECS Runtime Monitoring でコンテナランタイムセキュリティに入門 nakanoshima.dev #36
コンテナについて話したい、助けてほしい人集まれLT大会

2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪
2023年11月〜 ▪ SREチーム • X ◦ @taishin • 趣味 ◦ サッカー観戦自己紹介

3 すべての先生に子どもと向き合う時間と心のゆとりをこんなプロダクトを開発していますメインプロダクトは、保育・教育施設向けWebアプリケーション。保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版アプリケーション、外部サービスと連携するAPIなども開発しています。

4 導入施設数推移（ICT） 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500
2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月（2024年3月時点） 14,000 2023年4月

5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring
• もやっとしたこと • まとめ

コンテナランタイムセキュリティ

7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知したときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦
Palo Alto Networks ◦ Sysdig 等コンテナランタイムセキュリティ

Amazon GuardDuty ECS Runtime Monitoring

12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する
Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェントコンテナタスク

13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順

14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順めっちゃ簡単

15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •
有効化前に稼働しているサービスについては、サービスを更新して、再起動させるとエージェントが起動してくる注意点

16 • GuardDuty Findingsとして表示検知

もやっとしたこと

18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応とはいえエージェントは起動している・・・だめな理由は・・？これ費用は・・・？

19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない

20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない全部 Unidentiﬁed issue・・・

21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない

22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならないどれも該当しない・・・

23 2. ステータスがHealthyにならない AWSサポート再度サービスの更新をしてくださいやったけどな・・・

24 2. ステータスがHealthyにならないなおった・・・

25 2. ステータスがHealthyにならないなおった・・・何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)

26 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)

27 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京バージニア (2024/3現在)

28 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京バージニアソウル (2024/3現在)

まとめ

30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいいかも • なんにしたって、この後の運用が重要だと思いますまとめ

31 コドモン採用ページ開発ブログコドモンでは一緒に働きたい仲間を募集しています！

ECS Runtime Monitoring でコンテナランタイムセキュリティに入門 / n...

ECS Runtime Monitoring でコンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring

sasaki

More Decks by sasaki

Other Decks in Technology

Featured

Transcript

2024年3月13日コドモン株式会社佐々木真也 ECS Runtime Monitoring でコンテナランタイムセキュリティに入門 nakanoshima.dev #36

2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪

4 導入施設数推移（ICT） 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500

5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring

コンテナランタイムセキュリティ

7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知したときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦

Amazon GuardDuty ECS Runtime Monitoring

12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する

13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順

14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順めっちゃ簡単

15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •

16 • GuardDuty Findingsとして表示検知

もやっとしたこと

18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応とはいえエージェントは起動している・・・だめな理由は・・？これ費用は・・・？

19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない

20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない全部 Unidentiﬁed issue・・・

21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない

22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならないどれも該当しない・・・

23 2. ステータスがHealthyにならない AWSサポート再度サービスの更新をしてくださいやったけどな・・・

24 2. ステータスがHealthyにならないなおった・・・

25 2. ステータスがHealthyにならないなおった・・・何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)

26 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)

27 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京バージニア (2024/3現在)

28 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京バージニアソウル (2024/3現在)

まとめ

30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいいかも • なんにしたって、この後の運用が重要だと思いますまとめ

31 コドモン採用ページ開発ブログコドモンでは一緒に働きたい仲間を募集しています！

ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / n...

ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring

More Decks by sasaki

Other Decks in Technology

Featured

Transcript

ECS Runtime Monitoring でコンテナランタイムセキュリティに入門 / n...

ECS Runtime Monitoring でコンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring