Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュ...

umehara
February 26, 2025
Technology
2
110

AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策

umehara

February 26, 2025
Tweet

More Decks by umehara

See All by umehara
AWSサービスアップデート 2025/02
umekou
0
43
CloudWatch Container Insightsを使ったAmazon ECSのリソース監視
umekou
1
160
AWSサービスアップデート202412 re:Invent特別編
umekou
0
71
DDoS攻撃への対策できてますか?
umekou
0
18
AWSサービスアップデート 2024/09​
umekou
0
61
ECSサービス間通信に入門しよう!
umekou
0
230

Other Decks in Technology

See All in Technology
内製化を加速させるlaC活用術
nrinetcom
PRO
2
110
AWSではじめる Web APIテスト実践ガイド / A practical guide to testing Web APIs on AWS
yokawasa
5
340
Autonomous Database Serverless 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
17
45k
php-conference-nagoya-2025
fuwasegu
0
140
抽象化をするということ - 具体と抽象の往復を身につける / Abstraction and concretization
soudai
27
15k
エンジニアが加速させるプロダクトディスカバリー 〜最速で価値ある機能を見つける方法〜 / product discovery accelerated by engineers
rince
4
540
ExaDB-XSで利用されている Exadata Exascaleについて
oracle4engineer
PRO
3
170
人はなぜISUCONに夢中になるのか
kakehashi
PRO
6
1.8k
白金鉱業Meetup Vol.17_あるデータサイエンティストのデータマネジメントとの向き合い方
brainpadpr
7
990
Active Directory攻防
cryptopeg
PRO
8
5.2k
コンピュータビジョンの社会実装について考えていたらゲームを作っていた話
takmin
1
580
ESXi で仮想化した ARM 環境で LLM を動作させてみるぞ
unnowataru
0
150

Featured

See All Featured
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
570
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
10
1.3k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.2k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
A Tale of Four Properties
chriscoyier
158
23k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
7k
Done Done
chrislema
182
16k
Visualization
eitanlees
146
15k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
Bash Introduction
62gerente
611
210k
Large-scale JavaScript Application Architecture
addyosmani
511
110k

Transcript

  1. 2025年2月26日 AWS Well-Architected Frameworkで学ぶ Amazon ECSのセキュリティ対策 NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原

    航 NRIネットコム×シーイーシー共催ウェビナー

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 基本情報

    ⚫ 梅原 航(うめはら こう) ⚫ NRIネットコム株式会社 Webインテグレーション事業部(@大阪) ⚫ AWSを使ったシステムのインフラ開発・運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ クラウドアーキテクチャのベストプラクティスを体系化したフレームワーク

    ◼ 6つの柱の観点で設計原則や定義、ベストプラクティスが紹介 AWS Well-Architectedとは #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Well-Architectedの観点からECS

    on Fargateのセキュリティ対策 ◼ Well-Architectedの具体的なベストプラクティスの項目でそれぞれご紹介 本日お話する内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 責任共有モデルとはAWSとユーザのどちらが責任を持つかを定義したモデル

    ◼ 実行基盤であるFargateの管理はAWSの責務 ⚫ ECSコントロールプレーン ⚫ ワーカーノードの管理 ◼ Fargateを利用することで、ユーザはタスクとネットワーク、データ管理に注力 ECS on Fargateにおける責任共有モデル https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security-shared-model.htmlより #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ECS on Fargateの責任共有モデル

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ IAMロールを利用して認証情報を管理する

    ◼ ECSタスクの権限は最小権限を守る ◼ 環境変数を利用してセキュアに認証情報を受け渡す ID管理とアクセス許可の管理(SEC2, SEC3) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 最小権限 セキュアな認証情報の 保管および受け渡し IAMロールの利用

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 各サービスのログ記録

    ⚫ Fluentbitを利用して用途別に異なる場所にアプリケーションログを配信 ⚫ ELBやWAF、VPCの各種サービスログ ⚫ AWSアカウントの証跡 検出(SEC4) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ アプリケーションはプライベートサブネットに配置することでアタックサーフェスの最小化

    ◼ WAFを利用した一般的な脅威からのアプリケーション保護 ◼ SecurityGroupの許可は必要最低限な通信に制限 ◼ VPCエンドポイントを利用したAWS内部に閉じた通信 インフラストラクチャ保護(SEC5) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーション保護 必要最低限のSG許可 アタックサーフェスの最小化 AWS内部通信

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ ECRのイメージスキャンを利用することでソフトウェアの脆弱性を特定

    ◼ 基本スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、手動タイミングでのスキャン ⚫ OSパッケージのみの検出 ◼ 拡張スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、定期的なスキャン ⚫ OSパッケージに加え、プログラミングの言語パッケージもスキャン可能 コンピューティング保護(SEC6) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 定期的なスキャン Push時スキャン

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 通信時データ暗号化

    ⚫ ACMを利用したHTTPS通信 ⚫ ECS Service ConnectでのmTLS通信 データ保護(SEC7, SEC8, SEC9) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 保管時データ暗号化 ⚫ 各ストレージサービスの暗号化

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ GuardDutyによるワークロード保護およびモニタリング

    ⚫ 不審なアクティビティの検知 ⚫ ECSのランタイムモニタリング ⚫ 他AWSサービスの保護 インシデントへの対応(SEC10) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Dockleを利用してDockerイメージのベストプラクティスに準拠

    ◼ Codeguruを使ったアプリケーションソースのコードレビュー実施 ◼ Amazon Q Developerを利用したセキュアなアプリケーション実装 アプリケーションセキュリティ(SEC11) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ NIST

    SP 800-190文書 ⚫ https://www.ipa.go.jp/security/reports/oversea/nist/about.html ◼ ECSデベロッパーガイド「Amazon Elastic Container Service のセキュリティ」 ⚫ https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security.html ◼ Dockerfile を書くベストプラクティス ⚫ https://docs.docker.jp/develop/develop-images/dockerfile_best-practices.html 参考資料 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
  14. None