Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Container runtime threat detection for GuardDutyに思いを馳せる / What do you think about Container runtime threat detection for GuardDuty?

Container runtime threat detection for GuardDutyに思いを馳せる / What do you think about Container runtime threat detection for GuardDuty?

JAWS-UG コンテナ支部 #22 で発表した「Container runtime threat detection for GuardDutyに思いを馳せる」のLT資料です。
https://jawsug-container.connpass.com/event/267606/

資料内のURLは、PDFをダウンロードするとクリックで遷移できます。

Adam SelipskyによるAWS re:Invent 2022のキーノートにて、GuardDutyのコンテナランタイムにおける脅威検知が「COMING SOON」として発表されました。2022年12月20日時点ではまだ何の情報も出ていませんが、どういったサービスになるのか妄想を膨らませてみます。

TERAOKA Keisuke

December 20, 2022
Tweet

More Decks by TERAOKA Keisuke

Other Decks in Technology

Transcript

  1. Container runtime threat
    detection for GuardDutyに
    思いを馳せる
    2022/12/20 JAWS-UG コンテナ支部 #22
    寺岡慶佑

    View Slide

  2. 寺岡慶佑 (とばち)
    ● クラスメソッド株式会社
    ○ prismatix事業部 Devチーム
    ● 2022 APN ALL AWS
    Certifications Engineer
    ● 2021 APN AWS Top Engineer
    ● 趣味
    ○ 紅茶、ビール
    発表者紹介
    @toda_kk

    View Slide

  3. まずはこれを見てくれ
    https://youtu.be/Xus8C2s5K9A?t=3267

    View Slide

  4. View Slide

  5. View Slide

  6. 本発表は2022年12月20日時点での内容です。
    GAどころかPreviewにすらなっていない
    サービスに関する架空の情報を含みます。
    正確な情報については公式なアナウンスを
    お待ちください。

    View Slide

  7. コンテナランタイムセキュリティについて

    View Slide

  8. コンテナのライフサイクルに応じたセキュリティ
    OSSで始めるコンテナセキュリティ
    https://speakerdeck.com/tobachi/container-security-with-oss-tools

    View Slide

  9. コンテナのライフサイクルに応じたセキュリティ
    COMING SOON?
    OSSで始めるコンテナセキュリティ
    https://speakerdeck.com/tobachi/container-security-with-oss-tools

    View Slide

  10. キーノートで語られていたこと

    View Slide

  11. View Slide

  12. ● コンテナ内部における脅威の検知をサポートする
    ○ GuardDutyのこれまでの対応(EKS/Malware Protection)はコ
    ンテナ外部における脅威の検知
    ● コンテナ内部におけるOSレベルの動作をモニタリングす
    ることで脅威を検知する
    ○ ファイルアクセス、プロセス実行、ネットワーク接続、など
    ○ ホストノードへのアクセス、クレデンシャルの取得、悪意のある
    コマンド実行、コントロールサーバーとの通信を試みるコンテナ
    を特定できる
    ● Amazon EKSと統合する(Amazon ECSは……?)
    キーノートで語られていたこと

    View Slide

  13. ● AWSとサードパーティーの脅威インテリジェンス、およ
    び機械学習を使用して、AWS環境やワークロードにおけ
    る脅威を検知するサービス
    ● エージェントレスであり、脅威検知のためのリソースは
    AWSが管理する基盤で動作する
    コンテナ内部のモニタリングを
    どうやって実現するのか?
    Amazon GuardDutyについて

    View Slide

  14. 妄想を膨らませてみる

    View Slide

  15. EKS AnywhereにおけるCiliumの採用
    AWS picks Cilium for Networking & Security on EKS Anywhere - Isovalent
    https://isovalent.com/blog/post/2021-09-aws-eks-anywhere-chooses-cilium/

    View Slide

  16. ● CiliumはIsovalentが提供するeBPFベースのOSS
    ○ Podのネットワーキングやセキュリティを提供する
    EKS AnywhereにおけるCiliumの採用
    AWS picks Cilium for Networking & Security on EKS Anywhere - Isovalent
    https://isovalent.com/blog/post/2021-09-aws-eks-anywhere-chooses-cilium/

    View Slide

  17. コンテナランタイムセキュリティにおけるeBPFの利用
    eBPFで実現するコンテナランタイムセキュリティ
    https://speakerdeck.com/tobachi/container-runtime-security-with-ebpf

    View Slide

  18. GuardDutyにおいても
    Ciliumが採用される、
    もしくはeBPFベースのツールが
    利用されるのでは……?

    View Slide

  19. https://github.com/cilium/tetragon
    https://isovalent.com/blog/post/2022-05-16-tetragon/
    https://github.com/aws/containers-roadmap/issues/1027
    ● Isovalentは、コンテナランタイムにおけるセキュリティ
    検知・保護のOSSツールであるTetragonを公開している
    ○ AWSのコンテナワークロードにおいてCiliumに加えてTetragon
    が採用される?
    ● その場合、現状ではFargateがeBPFをサポートしていな
    いので、どうなる?
    ○ Fargateは未サポートのままPreview/GA?
    ○ Firecracker VM側に何か仕込む??
    妄想を膨らませてみる

    View Slide

  20. Thank you!
    AWSで
    良きコンテナライフを

    View Slide