ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring

Transcript

1. 2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36

   コンテナについて話したい、助けてほしい人集まれLT大会

2. 2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪

   2023年11月〜 ▪ SREチーム • X ◦ @taishin • 趣味 ◦ サッカー観戦 自己紹介

3. 3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。

4. 4 導入施設数推移（ICT） 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500

   2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 （2024年3月時点） 14,000 2023年4月

5. 5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring

   • もやっとしたこと • まとめ

6. コンテナランタイムセキュリティ

7. 7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

8. 8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

9. 9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦

   Palo Alto Networks ◦ Sysdig 等 コンテナランタイムセキュリティ
10. None

11. Amazon GuardDuty ECS Runtime Monitoring

12. 12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する

    Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク

13. 13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順

14. 14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単

15. 15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •

    有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点

16. 16 • GuardDuty Findingsとして表示 検知

17. もやっとしたこと

18. 18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・？ これ費用は・・・？

19. 19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない

20. 20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・

21. 21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない

22. 22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・

23. 23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・

24. 24 2. ステータスがHealthyにならない なおった・・・

25. 25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)

26. 26 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)

27. 27 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)

28. 28 3. Tokyoリージョン高くない？ https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)

29. まとめ

30. 30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも • なんにしたって、この後の運用が重要だと思います まとめ

31. 31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています！

32. None