Container runtime threat detection for GuardDutyに思いを馳せる / What do you think about Container runtime threat detection for GuardDuty?

Transcript

1. Container runtime threat detection for GuardDutyに 思いを馳せる 2022/12/20 JAWS-UG コンテナ支部

   #22 寺岡慶佑

2. 寺岡慶佑 (とばち) • クラスメソッド株式会社 ◦ prismatix事業部 Devチーム • 2022 APN

   ALL AWS Certifications Engineer • 2021 APN AWS Top Engineer • 趣味 ◦ 紅茶、ビール 発表者紹介 @toda_kk

3. まずはこれを見てくれ https://youtu.be/Xus8C2s5K9A?t=3267

4. None
5. None

6. 本発表は2022年12月20日時点での内容です。 GAどころかPreviewにすらなっていない サービスに関する架空の情報を含みます。 正確な情報については公式なアナウンスを お待ちください。

7. コンテナランタイムセキュリティについて

8. コンテナのライフサイクルに応じたセキュリティ OSSで始めるコンテナセキュリティ https://speakerdeck.com/tobachi/container-security-with-oss-tools

9. コンテナのライフサイクルに応じたセキュリティ COMING SOON？ OSSで始めるコンテナセキュリティ https://speakerdeck.com/tobachi/container-security-with-oss-tools

10. キーノートで語られていたこと

11. None

12. • コンテナ内部における脅威の検知をサポートする ◦ GuardDutyのこれまでの対応（EKS/Malware Protection）はコ ンテナ外部における脅威の検知 • コンテナ内部におけるOSレベルの動作をモニタリングす ることで脅威を検知する ◦

    ファイルアクセス、プロセス実行、ネットワーク接続、など ◦ ホストノードへのアクセス、クレデンシャルの取得、悪意のある コマンド実行、コントロールサーバーとの通信を試みるコンテナ を特定できる • Amazon EKSと統合する（Amazon ECSは……？） キーノートで語られていたこと

13. • AWSとサードパーティーの脅威インテリジェンス、およ び機械学習を使用して、AWS環境やワークロードにおけ る脅威を検知するサービス • エージェントレスであり、脅威検知のためのリソースは AWSが管理する基盤で動作する コンテナ内部のモニタリングを どうやって実現するのか？ Amazon

    GuardDutyについて

14. 妄想を膨らませてみる

15. EKS AnywhereにおけるCiliumの採用 AWS picks Cilium for Networking & Security on

    EKS Anywhere - Isovalent https://isovalent.com/blog/post/2021-09-aws-eks-anywhere-chooses-cilium/

16. • CiliumはIsovalentが提供するeBPFベースのOSS ◦ Podのネットワーキングやセキュリティを提供する EKS AnywhereにおけるCiliumの採用 AWS picks Cilium for

    Networking & Security on EKS Anywhere - Isovalent https://isovalent.com/blog/post/2021-09-aws-eks-anywhere-chooses-cilium/

17. コンテナランタイムセキュリティにおけるeBPFの利用 eBPFで実現するコンテナランタイムセキュリティ https://speakerdeck.com/tobachi/container-runtime-security-with-ebpf

18. GuardDutyにおいても Ciliumが採用される、 もしくはeBPFベースのツールが 利用されるのでは……？

19. https://github.com/cilium/tetragon https://isovalent.com/blog/post/2022-05-16-tetragon/ https://github.com/aws/containers-roadmap/issues/1027 • Isovalentは、コンテナランタイムにおけるセキュリティ 検知・保護のOSSツールであるTetragonを公開している ◦ AWSのコンテナワークロードにおいてCiliumに加えてTetragon が採用される？ •

    その場合、現状ではFargateがeBPFをサポートしていな いので、どうなる？ ◦ Fargateは未サポートのままPreview/GA？ ◦ Firecracker VM側に何か仕込む？？ 妄想を膨らませてみる

20. Thank you! AWSで 良きコンテナライフを