Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をま...
Search
濱田孝治
January 18, 2024
Technology
4
1.3k
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をまるっとお届け〜
AWSマネージドサービスGuardDutyによる待望のコンテナランタイム脅威検知。その検知内容と設定上の注意事項、検出の様子をまとめてお届けします。
濱田孝治
January 18, 2024
Tweet
Share
More Decks by 濱田孝治
See All by 濱田孝治
製造現場のデジタル化における課題とPLC Data to Cloudによる新しいアプローチ
hamadakoji
0
380
可視化プラットフォームGrafanaの基本と活用方法の全て
hamadakoji
3
1.3k
20分で完全に理解するGrafanaダッシュボード
hamadakoji
5
2.6k
re:Invent2023で体験したIoT面白ワークショップ〜お絵描き2Dロボットの構築〜
hamadakoji
0
750
今改めて見直してみるラズパイの真価
hamadakoji
1
630
40分1本勝負 VPoE ハマコーvs20人の悩めるエンジニアリングマネージャー
hamadakoji
0
73
AWSの次世代プロセッサ Graviton2(Arm64)をLambdaとFargateで使うために考えるべきこと
hamadakoji
3
2k
エンジニアリングマネージャーの理想と現実
hamadakoji
13
8.5k
JAWS-UGコンテナ支部22回進行用資料
hamadakoji
0
510
Other Decks in Technology
See All in Technology
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
840
サービスでLLMを採用したばっかりに振り回され続けたこの一年のあれやこれや
segavvy
2
410
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて
nagisa53
0
260
継続的にアウトカムを生み出し ビジネスにつなげる、 戦略と運営に対するタイミーのQUEST(探求)
zigorou
0
540
DevOps視点でAWS re:invent2024の新サービス・アプデを振り返ってみた
oshanqq
0
180
非機能品質を作り込むための実践アーキテクチャ
knih
5
1.3k
AI時代のデータセンターネットワーク
lycorptech_jp
PRO
1
280
1等無人航空機操縦士一発試験 合格までの道のり ドローンミートアップ@大阪 2024/12/18
excdinc
0
160
2024年にチャレンジしたことを振り返るぞ
mitchan
0
140
GitHub Copilot のテクニック集/GitHub Copilot Techniques
rayuron
36
13k
10個のフィルタをAXI4-Streamでつなげてみた
marsee101
0
170
私なりのAIのご紹介 [2024年版]
qt_luigi
1
120
Featured
See All Featured
Gamification - CAS2011
davidbonilla
80
5.1k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.2k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.5k
A designer walks into a library…
pauljervisheath
204
24k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
111
49k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
48
2.2k
Building an army of robots
kneath
302
44k
Being A Developer After 40
akosma
87
590k
The World Runs on Bad Software
bkeepers
PRO
65
11k
A better future with KSS
kneath
238
17k
Writing Fast Ruby
sferik
628
61k
Transcript
GuardDutyによる コンテナランタイム脅威検知のすべて 〜その凄さと設定注意点と検知の様⼦をまるっとお届け〜 1 濱⽥孝治(ハマコー)
2 About me 濱⽥孝治(ハマコー) • @hamako9999 • 最近の流⾏ • ランニング
• フロストバイトロードレース(ハーフ) • さいたまマラソン(フル) • サイバーパンク2077 仮初めの⾃由 • Cities Skylines2 • このゲームめっちゃ重いので、誰かGeForce RTX 4070下さい
3 最初に みなさんあの⽇の 感動と興奮を覚えていますか︖
4 最初に
5 最初に これはre:Invent 2022 の出来事です
6 遥かなる時を経て2023年11⽉26⽇リリース︕︕ ref: https://aws.amazon.com/jp/blogs/aws/introducing-amazon-guardduty-ecs-runtime-monitoring-including-aws-fargate/
7 というわけで 世界が注⽬、そして待望していた コンテナランタイム脅威検知を 皆さんにお届け
8 Agenda • Container runtime threat detectionとは • 動作イメージ •
設定⽅法と設定上の注意点 • 実際に脅威を検出してみた • まとめ
9 Container runtime threat detectionとは
10 Container runtime threat detectionとは GuardDutyの新機能としてECS Runtime Monitoring が提供 •
実⾏中のECSタスクにおいて、ランタイムの脅威を ⽰す可能性のあるイベントを検出 • GuadDutyに集約されるので、他のセキュリティ脅 威と合わせて包括的に脅威情報を集約し管理可能 • ECS on FargateはGA(今⽇の話は全部こちら) • ECS on EC2はPreview
11 実際になにが検出されるのか︖ • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
12 なにが嬉しいのか︖ これまでは、実⾏中のECSタスクの ランタイム脅威検知にはそれなりに ⾼価な商⽤製品の導⼊が必須だった • ex. Sysdig, aqua, dynatrace
• aquaは、脅威検知後のコンテナ 保護機能などもあり AWSマネージドな仕組みだけでこの ランタイム検知ができるようになっ たのは素晴らしい進化︕
13 動作イメージ
14 動作イメージ •設定はクラスター 単位で実施(配下 の全サービスが対 象) •タスク起動時にフ ルマネージドな GuardDutyサイド カーコンテナが⾃
動的に起動し、検 出した脅威の GuadDutyへの通 知を実施
15 設定⽅法と設定上の注意点
16 ほなやってみよと思ったそこのあなたへ 設定はめちゃくちゃ簡単
17 安易にやるとめちゃくちゃ 影響範囲が⼤きくなります
18 設定時間30秒、影響範囲はリージョン全部 GuadDuty -> ランタイムモニタリングを開いて 「ランタイムモニタリング」を有効 「AWS Fargate」を有効 にするだけ これだけで、設定したリージョンの全てのECSクラ
スターが検出対象になる
19 ランタイム脅威検知で利⽤するリソースと料⾦ 検出対象になったクラスターで注意しておくべき代表点 • ECSタスクのリソース • ECSタスク定義はそのままの場合、設定したリソースを追加される GuadDuty⽤のサイドカーコンテナが利⽤するので、注意が必要(CPU and memory
limits) • サイドカーコンテナの料⾦ • 超ざっくりで4%ぐらいのコスト増 • 参考︓Intelligent Threat Detection – Amazon GuardDuty Pricing • ⼀度設定すると、今後作成する全てのクラスターが上記の影響を受 けることも注意
20 ECSクラスターを設定対象外にする⽅法 クラスターに事前に以下のタグを付与しておく • Key:GuardDutyManaged • Value:false プロダクション環境などで設定する場合は、意図せぬと ころに影響が出ないように注意
21 実際に脅威を検出してみた
22 やっぱり 実際に検出してみないと やっぱりねぇ、実感がわかないよねぇ
23 検出対象にしてみた脅威 • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
24 検出するためのツール ECS ExecでFargateにログインして コマンド実⾏
25 CryptoCurrency:Runtime/BitcoinTool.B!DNS 暗号通貨関連ドメイン pool.supportxmr.comへのDNS クエリ。これはほぼ確実に毎回出る。 他にも同じような挙動をするドメインがあるかどうか ChatGPTに聞いてみたら、それは教えられないよ、と ⾔われました。
26 参考にしたブログ https://dev.classmethod.jp/articles/guardduty-findings-test-cryptocurrency/
27 Execution:Runtime/NewBinaryExecuted インストールしたバ イナリ実⾏の脅威が 検知。 Nmapコマンド使っ ているので、ポート スキャン脅威がでる かと思いきや、ここ では、新バイナリの
実⾏の脅威で検知さ れていた
28 しばらくの間 実際の画⾯を⾒てみましょう
29 検出した後の運⽤をどうするか 設定したは良いが、実際に検出されたときの運⽤も考え ておくのが⼤事 • Managing Amazon GuardDuty findings -
Amazon GuardDuty • 公式ドキュメント。運⽤についての詳細が記載されてある [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を 考える | DevelopersIO • セキュリティHero、⾅⽥の記事 • Amazon GuardDuty ECS Runtime Monitoringで脅威を検出した ECSタスクを自動停止してみた | DevelopersIO • トクヤマシュンによる脅威検知対象ECSタスクの⾃動停⽌
30 まとめ
31 • ECSにおけるコンテナランタイム検知がマネージド な仕組みだけでできるようになったので⼤いに活⽤ の余地あり︕ • 設定は異常に簡単だが影響範囲が⼤きいため、事前 の計画は必須 • コンテナセキュリティ全般は、ビルドプロセスにお
けるイメージスキャンやIAMの最⼩権限の⽅策など と合わせて包括的に対処しましょう︕
32 皆さんのECS環境 よりセキュアに安全に 使っていきましょう︕