Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / n...
Search
sasaki
March 13, 2024
Technology
0
270
ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring
sasaki
March 13, 2024
Tweet
Share
More Decks by sasaki
See All by sasaki
FinOpsとタグ付け防止対策 / CCoE Osaka FinOps Tags
taishin
1
96
Glacierだからってコストあきらめてない? / JAWS Meet Glacier Cost
taishin
1
280
スケールするプロダクトと膨らむ組織 SREの挑戦と解決策 / Findy Job LT SRE
taishin
0
120
組織の変化とSREの役割進化 責務拡大にどう応えるか / globis_sre
taishin
0
220
Lambdaの運用についてのなにか / lambda_unyo
taishin
0
170
おすすめAWSコスト対策 / AWS Startup Meetup Osaka AWS Cost
taishin
1
430
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
1.3k
JAWS-UG-Osaka-guardrail
taishin
0
330
成長を続けるSaaSのAWSコスト管理において 開発者としてできること / AWS DevDay SaaS Cost
taishin
11
3k
Other Decks in Technology
See All in Technology
要件定義・デザインフェーズでもAIを活用して、コミュニケーションの密度を高める
kazukihayase
0
110
LLMを搭載したプロダクトの品質保証の模索と学び
qa
0
1k
生成AIでセキュリティ運用を効率化する話
sakaitakeshi
0
660
5分でカオスエンジニアリングを分かった気になろう
pandayumi
0
240
データアナリストからアナリティクスエンジニアになった話
hiyokko_data
2
450
DevIO2025_継続的なサービス開発のための技術的意思決定のポイント / how-to-tech-decision-makaing-devio2025
nologyance
1
390
これでもう迷わない!Jetpack Composeの書き方実践ガイド
zozotech
PRO
0
390
20250913_JAWS_sysad_kobe
takuyay0ne
2
180
スマートファクトリーの第一歩 〜AWSマネージドサービスで 実現する予知保全と生成AI活用まで
ganota
2
210
Obsidian応用活用術
onikun94
2
490
2つのフロントエンドと状態管理
mixi_engineers
PRO
3
100
職種の壁を溶かして開発サイクルを高速に回す~情報透明性と職種越境から考えるAIフレンドリーな職種間連携~
daitasu
0
160
Featured
See All Featured
XXLCSS - How to scale CSS and keep your sanity
sugarenia
248
1.3M
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.7k
Optimizing for Happiness
mojombo
379
70k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
36
2.5k
How To Stay Up To Date on Web Technology
chriscoyier
790
250k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
32
1.5k
Raft: Consensus for Rubyists
vanstee
140
7.1k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Fireside Chat
paigeccino
39
3.6k
Making the Leap to Tech Lead
cromwellryan
135
9.5k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
139
34k
Transcript
2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36
コンテナについて話したい、助けてほしい人集まれLT大会
2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪
2023年11月〜 ▪ SREチーム • X ◦ @taishin • 趣味 ◦ サッカー観戦 自己紹介
3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。
4 導入施設数推移(ICT) 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500
2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 (2024年3月時点) 14,000 2023年4月
5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring
• もやっとしたこと • まとめ
コンテナランタイムセキュリティ
7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦
Palo Alto Networks ◦ Sysdig 等 コンテナランタイムセキュリティ
None
Amazon GuardDuty ECS Runtime Monitoring
12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する
Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク
13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順
14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単
15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •
有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点
16 • GuardDuty Findingsとして表示 検知
もやっとしたこと
18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・? これ費用は・・・?
19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない
20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・
21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない
22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・
23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・
24 2. ステータスがHealthyにならない なおった・・・
25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)
26 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)
27 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)
28 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)
まとめ
30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも • なんにしたって、この後の運用が重要だと思います まとめ
31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています!
None
taishin
kazukihayase
qa
sakaitakeshi
pandayumi
hiyokko_data
nologyance
zozotech
takuyay0ne
ganota
onikun94
mixi_engineers
daitasu
sugarenia
mongodb
mojombo
eileencodes
chriscoyier
garrettdimon
vanstee
paigeccino
cromwellryan
chrisshort
