Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュ...

umehara
February 26, 2025
Technology
2
140

AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策

umehara

February 26, 2025
Tweet

More Decks by umehara

See All by umehara
AWSサービスアップデート 2025/02
umekou
0
43
CloudWatch Container Insightsを使ったAmazon ECSのリソース監視
umekou
1
160
AWSサービスアップデート202412 re:Invent特別編
umekou
0
71
DDoS攻撃への対策できてますか?
umekou
0
18
AWSサービスアップデート 2024/09​
umekou
0
61
ECSサービス間通信に入門しよう!
umekou
0
240

Other Decks in Technology

See All in Technology
EMConf JP 2025 懇親会LT / EMConf JP 2025 social gathering
sugamasao
2
190
システム・ML活用を広げるdbtのデータモデリング / Expanding System & ML Use with dbt Modeling
i125
1
320
Active Directory攻防
cryptopeg
PRO
8
5.5k
DevinでAI AWSエンジニア製造計画 序章 〜CDKを添えて〜/devin-load-to-aws-engineer
tomoki10
0
130
データベースの負荷を紐解く/untangle-the-database-load
emiki
2
510
IoTシステム開発の複雑さを低減するための統合的アーキテクチャ
kentaro
1
110
依存パッケージの更新はコツコツが勝つコツ! / phpcon_nagoya2025
blue_goheimochi
3
210
Change Managerを活用して本番環境へのセキュアなGUIアクセスを統制する / Control Secure GUI Access to the Production Environment with Change Manager
yuj1osm
0
100
ESXi で仮想化した ARM 環境で LLM を動作させてみるぞ
unnowataru
0
180
IAMポリシーのAllow/Denyについて、改めて理解する
smt7174
2
210
アジャイルな開発チームでテスト戦略の話は誰がする? / Who Talks About Test Strategy?
ak1210
1
590
スキルだけでは満たせない、 “組織全体に”なじむオンボーディング/Onboarding that fits “throughout the organization” and cannot be satisfied by skills alone
bitkey
0
180

Featured

See All Featured
How to Ace a Technical Interview
jacobian
276
23k
Adopting Sorbet at Scale
ufuk
74
9.2k
Git: the NoSQL Database
bkeepers
PRO
427
65k
4 Signs Your Business is Dying
shpigford
182
22k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
6
570
Building Flexible Design Systems
yeseniaperezcruz
328
38k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
30
2.2k
How GitHub (no longer) Works
holman
314
140k
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
The Cult of Friendly URLs
andyhume
78
6.2k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Testing 201, or: Great Expectations
jmmastey
42
7.2k

Transcript

  1. 2025年2月26日 AWS Well-Architected Frameworkで学ぶ Amazon ECSのセキュリティ対策 NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原

    航 NRIネットコム×シーイーシー共催ウェビナー

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 基本情報

    ⚫ 梅原 航(うめはら こう) ⚫ NRIネットコム株式会社 Webインテグレーション事業部(@大阪) ⚫ AWSを使ったシステムのインフラ開発・運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ クラウドアーキテクチャのベストプラクティスを体系化したフレームワーク

    ◼ 6つの柱の観点で設計原則や定義、ベストプラクティスが紹介 AWS Well-Architectedとは #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Well-Architectedの観点からECS

    on Fargateのセキュリティ対策 ◼ Well-Architectedの具体的なベストプラクティスの項目でそれぞれご紹介 本日お話する内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 責任共有モデルとはAWSとユーザのどちらが責任を持つかを定義したモデル

    ◼ 実行基盤であるFargateの管理はAWSの責務 ⚫ ECSコントロールプレーン ⚫ ワーカーノードの管理 ◼ Fargateを利用することで、ユーザはタスクとネットワーク、データ管理に注力 ECS on Fargateにおける責任共有モデル https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security-shared-model.htmlより #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ECS on Fargateの責任共有モデル

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ IAMロールを利用して認証情報を管理する

    ◼ ECSタスクの権限は最小権限を守る ◼ 環境変数を利用してセキュアに認証情報を受け渡す ID管理とアクセス許可の管理(SEC2, SEC3) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 最小権限 セキュアな認証情報の 保管および受け渡し IAMロールの利用

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 各サービスのログ記録

    ⚫ Fluentbitを利用して用途別に異なる場所にアプリケーションログを配信 ⚫ ELBやWAF、VPCの各種サービスログ ⚫ AWSアカウントの証跡 検出(SEC4) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ アプリケーションはプライベートサブネットに配置することでアタックサーフェスの最小化

    ◼ WAFを利用した一般的な脅威からのアプリケーション保護 ◼ SecurityGroupの許可は必要最低限な通信に制限 ◼ VPCエンドポイントを利用したAWS内部に閉じた通信 インフラストラクチャ保護(SEC5) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーション保護 必要最低限のSG許可 アタックサーフェスの最小化 AWS内部通信

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ ECRのイメージスキャンを利用することでソフトウェアの脆弱性を特定

    ◼ 基本スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、手動タイミングでのスキャン ⚫ OSパッケージのみの検出 ◼ 拡張スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、定期的なスキャン ⚫ OSパッケージに加え、プログラミングの言語パッケージもスキャン可能 コンピューティング保護(SEC6) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 定期的なスキャン Push時スキャン

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 通信時データ暗号化

    ⚫ ACMを利用したHTTPS通信 ⚫ ECS Service ConnectでのmTLS通信 データ保護(SEC7, SEC8, SEC9) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 保管時データ暗号化 ⚫ 各ストレージサービスの暗号化

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ GuardDutyによるワークロード保護およびモニタリング

    ⚫ 不審なアクティビティの検知 ⚫ ECSのランタイムモニタリング ⚫ 他AWSサービスの保護 インシデントへの対応(SEC10) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Dockleを利用してDockerイメージのベストプラクティスに準拠

    ◼ Codeguruを使ったアプリケーションソースのコードレビュー実施 ◼ Amazon Q Developerを利用したセキュアなアプリケーション実装 アプリケーションセキュリティ(SEC11) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ NIST

    SP 800-190文書 ⚫ https://www.ipa.go.jp/security/reports/oversea/nist/about.html ◼ ECSデベロッパーガイド「Amazon Elastic Container Service のセキュリティ」 ⚫ https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security.html ◼ Dockerfile を書くベストプラクティス ⚫ https://docs.docker.jp/develop/develop-images/dockerfile_best-practices.html 参考資料 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
  14. None