Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュ...

umehara
February 26, 2025

AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策

umehara

February 26, 2025
Tweet

More Decks by umehara

Other Decks in Technology

Transcript

  1. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 基本情報

    ⚫ 梅原 航(うめはら こう) ⚫ NRIネットコム株式会社 Webインテグレーション事業部(@大阪) ⚫ AWSを使ったシステムのインフラ開発・運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
  2. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ クラウドアーキテクチャのベストプラクティスを体系化したフレームワーク

    ◼ 6つの柱の観点で設計原則や定義、ベストプラクティスが紹介 AWS Well-Architectedとは #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱
  3. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Well-Architectedの観点からECS

    on Fargateのセキュリティ対策 ◼ Well-Architectedの具体的なベストプラクティスの項目でそれぞれご紹介 本日お話する内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱
  4. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 責任共有モデルとはAWSとユーザのどちらが責任を持つかを定義したモデル

    ◼ 実行基盤であるFargateの管理はAWSの責務 ⚫ ECSコントロールプレーン ⚫ ワーカーノードの管理 ◼ Fargateを利用することで、ユーザはタスクとネットワーク、データ管理に注力 ECS on Fargateにおける責任共有モデル https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security-shared-model.htmlより #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ECS on Fargateの責任共有モデル
  5. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ IAMロールを利用して認証情報を管理する

    ◼ ECSタスクの権限は最小権限を守る ◼ 環境変数を利用してセキュアに認証情報を受け渡す ID管理とアクセス許可の管理(SEC2, SEC3) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 最小権限 セキュアな認証情報の 保管および受け渡し IAMロールの利用
  6. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 各サービスのログ記録

    ⚫ Fluentbitを利用して用途別に異なる場所にアプリケーションログを配信 ⚫ ELBやWAF、VPCの各種サービスログ ⚫ AWSアカウントの証跡 検出(SEC4) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
  7. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ アプリケーションはプライベートサブネットに配置することでアタックサーフェスの最小化

    ◼ WAFを利用した一般的な脅威からのアプリケーション保護 ◼ SecurityGroupの許可は必要最低限な通信に制限 ◼ VPCエンドポイントを利用したAWS内部に閉じた通信 インフラストラクチャ保護(SEC5) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーション保護 必要最低限のSG許可 アタックサーフェスの最小化 AWS内部通信
  8. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ ECRのイメージスキャンを利用することでソフトウェアの脆弱性を特定

    ◼ 基本スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、手動タイミングでのスキャン ⚫ OSパッケージのみの検出 ◼ 拡張スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、定期的なスキャン ⚫ OSパッケージに加え、プログラミングの言語パッケージもスキャン可能 コンピューティング保護(SEC6) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 定期的なスキャン Push時スキャン
  9. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 通信時データ暗号化

    ⚫ ACMを利用したHTTPS通信 ⚫ ECS Service ConnectでのmTLS通信 データ保護(SEC7, SEC8, SEC9) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 保管時データ暗号化 ⚫ 各ストレージサービスの暗号化
  10. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ GuardDutyによるワークロード保護およびモニタリング

    ⚫ 不審なアクティビティの検知 ⚫ ECSのランタイムモニタリング ⚫ 他AWSサービスの保護 インシデントへの対応(SEC10) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
  11. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Dockleを利用してDockerイメージのベストプラクティスに準拠

    ◼ Codeguruを使ったアプリケーションソースのコードレビュー実施 ◼ Amazon Q Developerを利用したセキュアなアプリケーション実装 アプリケーションセキュリティ(SEC11) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
  12. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ NIST

    SP 800-190文書 ⚫ https://www.ipa.go.jp/security/reports/oversea/nist/about.html ◼ ECSデベロッパーガイド「Amazon Elastic Container Service のセキュリティ」 ⚫ https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security.html ◼ Dockerfile を書くベストプラクティス ⚫ https://docs.docker.jp/develop/develop-images/dockerfile_best-practices.html 参考資料 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します