Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / n...
Search
sasaki
March 13, 2024
Technology
0
330
ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring
sasaki
March 13, 2024
Tweet
Share
More Decks by sasaki
See All by sasaki
FinOpsとタグ付け防止対策 / CCoE Osaka FinOps Tags
taishin
1
240
Glacierだからってコストあきらめてない? / JAWS Meet Glacier Cost
taishin
1
360
スケールするプロダクトと膨らむ組織 SREの挑戦と解決策 / Findy Job LT SRE
taishin
0
160
組織の変化とSREの役割進化 責務拡大にどう応えるか / globis_sre
taishin
0
330
Lambdaの運用についてのなにか / lambda_unyo
taishin
0
200
おすすめAWSコスト対策 / AWS Startup Meetup Osaka AWS Cost
taishin
1
470
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
1.5k
JAWS-UG-Osaka-guardrail
taishin
0
370
成長を続けるSaaSのAWSコスト管理において 開発者としてできること / AWS DevDay SaaS Cost
taishin
11
3.4k
Other Decks in Technology
See All in Technology
IBM Bobを使って、PostgreSQLのToDoアプリをDb2へ変換してみよう/202603_Dojo_Bob
mayumihirano
1
330
実践 Datadog MCP Server
nulabinc
PRO
2
170
元エンジニアPdM、IDEが恋しすぎてCursorに全業務を集約したら、スライド作成まで爆速になった話
doiko123
1
620
楽しく学ぼう!ネットワーク入門
shotashiratori
4
3.2k
VPCエンドポイント意外とお金かかるなぁ。せや、共有したろ!
tommy0124
0
250
us-east-1 に障害が起きた時に、 ap-northeast-1 にどんな影響があるか 説明できるようになろう!
miu_crescent
PRO
13
4.3k
AWS DevOps Agent vs SRE俺 / AWS DevOps Agent vs me, the SRE
sms_tech
3
570
アーキテクチャモダナイゼーションを実現する組織
satohjohn
1
600
Google系サービスで文字起こしから勝手にカレンダーを埋めるエージェントを作った話
risatube
0
170
JAWSDAYS2026_A-6_現場SEが語る 回せるセキュリティ運用~設計で可視化、AIで加速する「楽に回る」運用設計のコツ~
shoki_hata
0
3k
複数クラスタ運用と検索の高度化:ビズリーチにおけるElastic活用事例 / ElasticON Tokyo2026
visional_engineering_and_design
0
140
脳内メモリ、思ったより揮発性だった
koutorino
0
330
Featured
See All Featured
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
91
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
reverentgeek
1
390
Paper Plane (Part 1)
katiecoart
PRO
0
5.5k
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.2k
Tips & Tricks on How to Get Your First Job In Tech
honzajavorek
0
450
What's in a price? How to price your products and services
michaelherold
247
13k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.8k
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
Everyday Curiosity
cassininazir
0
160
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
150
Site-Speed That Sticks
csswizardry
13
1.1k
Design in an AI World
tapps
0
170
Transcript
2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36
コンテナについて話したい、助けてほしい人集まれLT大会
2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪
2023年11月〜 ▪ SREチーム • X ◦ @taishin • 趣味 ◦ サッカー観戦 自己紹介
3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。
4 導入施設数推移(ICT) 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500
2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 (2024年3月時点) 14,000 2023年4月
5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring
• もやっとしたこと • まとめ
コンテナランタイムセキュリティ
7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦
Palo Alto Networks ◦ Sysdig 等 コンテナランタイムセキュリティ
None
Amazon GuardDuty ECS Runtime Monitoring
12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する
Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク
13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順
14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単
15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •
有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点
16 • GuardDuty Findingsとして表示 検知
もやっとしたこと
18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・? これ費用は・・・?
19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない
20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・
21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない
22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・
23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・
24 2. ステータスがHealthyにならない なおった・・・
25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)
26 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)
27 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)
28 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)
まとめ
30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも • なんにしたって、この後の運用が重要だと思います まとめ
31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています!
None
taishin
mayumihirano
nulabinc
doiko123
shotashiratori
tommy0124
miu_crescent
sms_tech
satohjohn
risatube
shoki_hata
visional_engineering_and_design
koutorino
ryanjones
reverentgeek
katiecoart
ivargrimstad
honzajavorek
michaelherold
jnunemaker
chrisshort
cassininazir
sabderemane
csswizardry
tapps
