Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュ...

umehara
February 26, 2025
Technology
1
83

AWS Well-Architected Frameworkで学ぶAmazon ECSのセキュリティ対策

umehara

February 26, 2025
Tweet

More Decks by umehara

See All by umehara
AWSサービスアップデート 2025/02
umekou
0
43
CloudWatch Container Insightsを使ったAmazon ECSのリソース監視
umekou
1
160
AWSサービスアップデート202412 re:Invent特別編
umekou
0
71
DDoS攻撃への対策できてますか?
umekou
0
18
AWSサービスアップデート 2024/09​
umekou
0
61
ECSサービス間通信に入門しよう!
umekou
0
230

Other Decks in Technology

See All in Technology
OpenID BizDay#17 みんなの銀行による身元確認結果の活用 / 20250219-BizDay17-KYC-minna-no-ginko
oidfj
0
210
Helm , Kustomize に代わる !? 次世代 k8s パッケージマネージャー Glasskube 入門 / glasskube-entry
parupappa2929
0
290
Pwned Labsのすゝめ
ken5scal
0
230
IAMポリシーのAllow/Denyについて、改めて理解する
smt7174
2
180
Cracking the Coding Interview 6th Edition
gdplabs
14
28k
Classmethod AI Talks(CATs) #17 司会進行スライド(2025.02.19) / classmethod-ai-talks-aka-cats_moderator-slides_vol17_2025-02-19
shinyaa31
0
170
コンピュータビジョンの社会実装について考えていたらゲームを作っていた話
takmin
1
570
OPENLOGI Company Profile
hr01
0
60k
【5分でわかる】セーフィー エンジニア向け会社紹介
safie_recruit
0
18k
EMConf JP 2025 懇親会LT / EMConf JP 2025 social gathering
sugamasao
2
170
データマネジメントのトレードオフに立ち向かう
ikkimiyazaki
6
1.2k
2025-02-21 ゆるSRE勉強会 Enhancing SRE Using AI
yoshiiryo1
1
460

Featured

See All Featured
Building an army of robots
kneath
303
45k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
How to Think Like a Performance Engineer
csswizardry
22
1.4k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
49
2.3k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.3k
Visualization
eitanlees
146
15k
Unsuck your backbone
ammeep
669
57k
How to Ace a Technical Interview
jacobian
276
23k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
656
59k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
30
4.6k
Mobile First: as difficult as doing things right
swwweet
223
9.4k
Optimizing for Happiness
mojombo
376
70k

Transcript

  1. 2025年2月26日 AWS Well-Architected Frameworkで学ぶ Amazon ECSのセキュリティ対策 NRIネットコム株式会社 Webインテグレーション事業部 基盤デザイン課 梅原

    航 NRIネットコム×シーイーシー共催ウェビナー

  2. 1 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 基本情報

    ⚫ 梅原 航(うめはら こう) ⚫ NRIネットコム株式会社 Webインテグレーション事業部(@大阪) ⚫ AWSを使ったシステムのインフラ開発・運用に従事 ◼ 好きなAWSサービス ◼ 所有資格 自己紹介 Amazon Elastic Container Service (Amazon ECS) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  3. 2 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ クラウドアーキテクチャのベストプラクティスを体系化したフレームワーク

    ◼ 6つの柱の観点で設計原則や定義、ベストプラクティスが紹介 AWS Well-Architectedとは #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱

  4. 3 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Well-Architectedの観点からECS

    on Fargateのセキュリティ対策 ◼ Well-Architectedの具体的なベストプラクティスの項目でそれぞれご紹介 本日お話する内容 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 運用上の優秀性 セキュリティ 信頼性 パフォーマンス コスト最適化 持続可能性 Well-Architectedの6つの柱

  5. 4 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 責任共有モデルとはAWSとユーザのどちらが責任を持つかを定義したモデル

    ◼ 実行基盤であるFargateの管理はAWSの責務 ⚫ ECSコントロールプレーン ⚫ ワーカーノードの管理 ◼ Fargateを利用することで、ユーザはタスクとネットワーク、データ管理に注力 ECS on Fargateにおける責任共有モデル https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security-shared-model.htmlより #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ECS on Fargateの責任共有モデル

  6. 5 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ IAMロールを利用して認証情報を管理する

    ◼ ECSタスクの権限は最小権限を守る ◼ 環境変数を利用してセキュアに認証情報を受け渡す ID管理とアクセス許可の管理(SEC2, SEC3) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 最小権限 セキュアな認証情報の 保管および受け渡し IAMロールの利用

  7. 6 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 各サービスのログ記録

    ⚫ Fluentbitを利用して用途別に異なる場所にアプリケーションログを配信 ⚫ ELBやWAF、VPCの各種サービスログ ⚫ AWSアカウントの証跡 検出(SEC4) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  8. 7 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ アプリケーションはプライベートサブネットに配置することでアタックサーフェスの最小化

    ◼ WAFを利用した一般的な脅威からのアプリケーション保護 ◼ SecurityGroupの許可は必要最低限な通信に制限 ◼ VPCエンドポイントを利用したAWS内部に閉じた通信 インフラストラクチャ保護(SEC5) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します アプリケーション保護 必要最低限のSG許可 アタックサーフェスの最小化 AWS内部通信

  9. 8 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ ECRのイメージスキャンを利用することでソフトウェアの脆弱性を特定

    ◼ 基本スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、手動タイミングでのスキャン ⚫ OSパッケージのみの検出 ◼ 拡張スキャン ⚫ イメージがPushされたタイミングでスキャンもしくは、定期的なスキャン ⚫ OSパッケージに加え、プログラミングの言語パッケージもスキャン可能 コンピューティング保護(SEC6) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 定期的なスキャン Push時スキャン

  10. 9 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ 通信時データ暗号化

    ⚫ ACMを利用したHTTPS通信 ⚫ ECS Service ConnectでのmTLS通信 データ保護(SEC7, SEC8, SEC9) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 保管時データ暗号化 ⚫ 各ストレージサービスの暗号化

  11. 10 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ GuardDutyによるワークロード保護およびモニタリング

    ⚫ 不審なアクティビティの検知 ⚫ ECSのランタイムモニタリング ⚫ 他AWSサービスの保護 インシデントへの対応(SEC10) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  12. 11 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ Dockleを利用してDockerイメージのベストプラクティスに準拠

    ◼ Codeguruを使ったアプリケーションソースのコードレビュー実施 ◼ Amazon Q Developerを利用したセキュアなアプリケーション実装 アプリケーションセキュリティ(SEC11) #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

  13. 12 Copyright(C) NRI Netcom, Ltd. All rights reserved. ◼ NIST

    SP 800-190文書 ⚫ https://www.ipa.go.jp/security/reports/oversea/nist/about.html ◼ ECSデベロッパーガイド「Amazon Elastic Container Service のセキュリティ」 ⚫ https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/developerguide/security.html ◼ Dockerfile を書くベストプラクティス ⚫ https://docs.docker.jp/develop/develop-images/dockerfile_best-practices.html 参考資料 #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します
  14. None