Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring
Search
sasaki
March 13, 2024
Technology
0
120
ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring
sasaki
March 13, 2024
Tweet
Share
More Decks by sasaki
See All by sasaki
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
770
JAWS-UG-Osaka-guardrail
taishin
0
200
成長を続けるSaaSのAWSコスト管理において 開発者としてできること / AWS DevDay SaaS Cost
taishin
10
2.4k
IaCのCI/CDを考えよう / JAWS-UG_Okayama_IaC_CICD
taishin
1
1.2k
目指せCoverage100%! AutoScale環境におけるSavings Plans購入戦略 / JAWS-UG_SRE_Coverage
taishin
1
1.8k
SLO策定までの道とChaosEngineeringを使った最適解の見つけ方 / SLO ChaosEngineering
taishin
1
1.7k
ChatworkDevDay_Kubernetes導入における実践プラクティス / ChatworkDevDay_Kubernetes
taishin
0
6.9k
EKSクラスタのつくりかた / JAWS-UG-Nagoya EKS Cluster
taishin
1
120
Rancherを使ったKubernetes運用 / CNDK2019-Rancher
taishin
1
130
Other Decks in Technology
See All in Technology
What if...? 처음부터 다시 LLM 어플리케이션을 개발한다면
huffon
0
1k
Github Actions 로 Android 팀의 효율성 극대화
hadonghyun
0
160
[NIKKEI Tech Talk]Bias for Action!! 実践から学ぶための仕組とコミュニティ / Community for Practice and Learning
kanamasa
0
260
RAGのサービスをリリースして1年3ヶ月が経ちました
segavvy
4
900
サービスの持続的な成長と技術負債について
siva_official
PRO
10
4.4k
CEL(Common Expression Language)で書いた条件にマッチしたIAM Policyを見つける / iam-policy-finder
fujiwara3
0
710
地理情報とAPIのトレンド
nagix
0
160
Azure OpenAI Service Dev Day / LLMでできる!使える!生成AIエージェント
masahiro_nishimi
3
740
たくさん本を読んだけど 1年後には綺麗サッパリ!を乗り越えて 学習の鬼になるぞ👹
yum3
0
160
フルリモートワークはエンジニアの夢を叶えたか? #cm_odyssey
mamohacy
2
600
DDDにおける認可の扱いとKotlinにおける実装パターン / authorization-for-ddd-and-kotlin-implement-pattern
urmot
4
390
エンジニア向け会社紹介資料
caddi_eng
14
220k
Featured
See All Featured
Art, The Web, and Tiny UX
lynnandtonic
291
20k
Agile that works and the tools we love
rasmusluckow
325
20k
Building Flexible Design Systems
yeseniaperezcruz
323
37k
10 Git Anti Patterns You Should be Aware of
lemiorhan
652
58k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
19k
Six Lessons from altMBA
skipperchong
24
3.2k
We Have a Design System, Now What?
morganepeng
46
7k
The Straight Up "How To Draw Better" Workshop
denniskardys
229
130k
Done Done
chrislema
179
15k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
360
22k
Optimizing for Happiness
mojombo
373
69k
Being A Developer After 40
akosma
72
580k
Transcript
2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36
コンテナについて話したい、助けてほしい人集まれLT大会
2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪
2023年11月〜 ▪ SREチーム • X ◦ @taishin • 趣味 ◦ サッカー観戦 自己紹介
3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。
4 導入施設数推移(ICT) 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500
2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 (2024年3月時点) 14,000 2023年4月
5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring
• もやっとしたこと • まとめ
コンテナランタイムセキュリティ
7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦
Palo Alto Networks ◦ Sysdig 等 コンテナランタイムセキュリティ
None
Amazon GuardDuty ECS Runtime Monitoring
12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する
Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク
13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順
14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単
15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •
有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点
16 • GuardDuty Findingsとして表示 検知
もやっとしたこと
18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・? これ費用は・・・?
19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない
20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・
21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない
22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・
23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・
24 2. ステータスがHealthyにならない なおった・・・
25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)
26 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)
27 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)
28 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)
まとめ
30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも • なんにしたって、この後の運用が重要だと思います まとめ
31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています!
None