Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / n...

Avatar for sasaki sasaki
March 13, 2024
Technology
0
310

ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring

Avatar for sasaki

sasaki

March 13, 2024
Tweet

More Decks by sasaki

See All by sasaki
FinOpsとタグ付け防止対策 / CCoE Osaka FinOps Tags
Avatar for sasaki taishin
1
200
Glacierだからってコストあきらめてない? / JAWS Meet Glacier Cost
Avatar for sasaki taishin
1
350
スケールするプロダクトと膨らむ組織 SREの挑戦と解決策 / Findy Job LT SRE
Avatar for sasaki taishin
0
150
組織の変化とSREの役割進化 責務拡大にどう応えるか / globis_sre
Avatar for sasaki taishin
0
320
Lambdaの運用についてのなにか / lambda_unyo
Avatar for sasaki taishin
0
190
おすすめAWSコスト対策 / AWS Startup Meetup Osaka AWS Cost
Avatar for sasaki taishin
1
450
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
Avatar for sasaki taishin
1
1.4k
JAWS-UG-Osaka-guardrail
Avatar for sasaki taishin
0
350
成長を続けるSaaSのAWSコスト管理において 開発者としてできること / AWS DevDay SaaS Cost
Avatar for sasaki taishin
11
3.3k

Other Decks in Technology

See All in Technology
DEVCON 14 Report at AAMSX RU65: V9968, MSX0tab5, MSXDIY etc
Avatar for Akira Tsukamoto mcd500
0
230
新規事業における「一部だけどコア」な
AI精度改善の優先順位づけ
Avatar for Higuchi kokoro zerebom
0
440
あたらしい上流工程の形。 0日導入からはじめるAI駆動PM
Avatar for 熊井悠 kumaiu
4
600
全員が「作り手」になる。職能の壁を溶かすプロトタイプ開発。
Avatar for hokuto hokuo
1
630
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
13k
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
Avatar for Kuniaki Moriya zepprix
0
180
名刺メーカーDevグループ 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
1k
VRTと真面目に向き合う
Avatar for Yuya Hirayama hiragram
1
520
SREの仕事を自動化する際にやっておきたい5つのポイント
Avatar for Kazuto Kusama jacopen
6
1.2k
Digitization部 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
6.7k
【NGK2026S】日本株のシステムトレードに入門してみた
Avatar for 高橋かずひと kazuhitotakahashi
0
240
Azure SRE Agent x PagerDutyによる近未来インシデント対応への期待 / The Future of Incident Response: Azure SRE Agent x PagerDuty
Avatar for AEON aeonpeople
0
240

Featured

See All Featured
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon szymonslowik
1
200
Making Projects Easy
Avatar for Brett Harned brettharned
120
6.6k
Agile Actions for Facilitating Distributed Teams - ADO2019
Avatar for Mark Kilby mkilby
0
110
A brief & incomplete history of 
UX Design for the World Wide Web: 1989–2019
Avatar for Jason CranfordTeague jct
1
290
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
37
6.2k
Visualization
Avatar for Eitan Lees eitanlees
150
17k
KATA
Avatar for Megan Lloyd mclloyd
PRO
34
15k
Why Mistakes Are the Best Teachers: Turning Failure into a Pathway for Growth
Avatar for Umar Saidu Auna auna
0
48
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
0
1.1k
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
302
51k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
120
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k

Transcript

  1. 2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36

    コンテナについて話したい、助けてほしい人集まれLT大会

  2. 2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪

    2023年11月〜 ▪ SREチーム • X ◦ @taishin • 趣味 ◦ サッカー観戦 自己紹介

  3. 3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。

  4. 4 導入施設数推移(ICT) 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500

    2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 (2024年3月時点) 14,000 2023年4月

  5. 5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring

    • もやっとしたこと • まとめ

  6. コンテナランタイムセキュリティ

  7. 7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

  8. 8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

  9. 9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦

    Palo Alto Networks ◦ Sysdig 等 コンテナランタイムセキュリティ
  10. None

  11. Amazon GuardDuty ECS Runtime Monitoring

  12. 12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する

    Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク

  13. 13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順

  14. 14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単

  15. 15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •

    有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点

  16. 16 • GuardDuty Findingsとして表示 検知

  17. もやっとしたこと

  18. 18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・? これ費用は・・・?

  19. 19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない

  20. 20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・

  21. 21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない

  22. 22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・

  23. 23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・

  24. 24 2. ステータスがHealthyにならない なおった・・・

  25. 25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)

  26. 26 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)

  27. 27 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)

  28. 28 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)

  29. まとめ

  30. 30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも • なんにしたって、この後の運用が重要だと思います まとめ

  31. 31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています!

  32. None