Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / n...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
sasaki
March 13, 2024
Technology
350
0
Share
ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring
sasaki
March 13, 2024
More Decks by sasaki
See All by sasaki
FinOpsとタグ付け防止対策 / CCoE Osaka FinOps Tags
taishin
1
260
Glacierだからってコストあきらめてない? / JAWS Meet Glacier Cost
taishin
1
390
スケールするプロダクトと膨らむ組織 SREの挑戦と解決策 / Findy Job LT SRE
taishin
0
160
組織の変化とSREの役割進化 責務拡大にどう応えるか / globis_sre
taishin
0
360
Lambdaの運用についてのなにか / lambda_unyo
taishin
0
200
おすすめAWSコスト対策 / AWS Startup Meetup Osaka AWS Cost
taishin
1
500
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
taishin
1
1.5k
JAWS-UG-Osaka-guardrail
taishin
0
390
成長を続けるSaaSのAWSコスト管理において 開発者としてできること / AWS DevDay SaaS Cost
taishin
11
3.5k
Other Decks in Technology
See All in Technology
How to learn AWS Well-Architected with AWS BuilderCards: Security Edition
coosuke
PRO
0
150
Agent Skillsで実現する記憶領域の運用とその後
yamadashy
2
2k
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
1.7k
写真で見るAWS Summit Singapore 2026
k_adachi_01
0
110
AI飲み会幹事エージェントを作っただけなのに
ykimi
0
230
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.4k
データモデリング通り #5オンライン勉強会: AIに『ビジネスの文脈』を教え込むデータモデリング
datayokocho
0
280
Gaussian Splattingの表現力を拡張する — 高周波再構成とインタラクションへのアプローチ —
gpuunite_official
0
190
アプリブロック機能のつくりかたと、AIとHTMLの不合理な相性の良さについて
kumamotone
1
260
サイボウズ、プラットフォームエンジニアリング始めるってよ ― プラットフォームチームの事業貢献と組織アラインメントの強化
ueokande
0
120
続 運用改善、不都合な真実 〜 物理制約のない運用改善はほとんど無価値 / 20260518-ssmjp-kaizen-no-value-without-physical-constraints
opelab
2
240
AWSアップデートから考える継続的な運用改善
toru_kubota
2
280
Featured
See All Featured
The Pragmatic Product Professional
lauravandoore
37
7.3k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
38
2.9k
Building a Modern Day E-commerce SEO Strategy
aleyda
45
9k
Why You Should Never Use an ORM
jnunemaker
PRO
61
9.8k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
110
Context Engineering - Making Every Token Count
addyosmani
9
890
How to optimise 3,500 product descriptions for ecommerce in one day using ChatGPT
katarinadahlin
PRO
1
3.6k
Keith and Marios Guide to Fast Websites
keithpitt
413
23k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
1.3k
Accessibility Awareness
sabderemane
1
120
Rebuilding a faster, lazier Slack
samanthasiow
85
9.5k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
360
Transcript
2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36
コンテナについて話したい、助けてほしい人集まれLT大会
2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪
2023年11月〜 ▪ SREチーム • X ◦ @taishin • 趣味 ◦ サッカー観戦 自己紹介
3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。
4 導入施設数推移(ICT) 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500
2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 (2024年3月時点) 14,000 2023年4月
5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring
• もやっとしたこと • まとめ
コンテナランタイムセキュリティ
7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html
9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦
Palo Alto Networks ◦ Sysdig 等 コンテナランタイムセキュリティ
None
Amazon GuardDuty ECS Runtime Monitoring
12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する
Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク
13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順
14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単
15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •
有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点
16 • GuardDuty Findingsとして表示 検知
もやっとしたこと
18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・? これ費用は・・・?
19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない
20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・
21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない
22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・
23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・
24 2. ステータスがHealthyにならない なおった・・・
25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)
26 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)
27 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)
28 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)
まとめ
30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも • なんにしたって、この後の運用が重要だと思います まとめ
31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています!
None
taishin
coosuke
yamadashy
oracle4engineer
k_adachi_01
ykimi
datayokocho
gpuunite_official
kumamotone
ueokande
opelab
toru_kubota
lauravandoore
eileencodes
aleyda
jnunemaker
akademiya2063
addyosmani
katarinadahlin
keithpitt
irinanazarova
sabderemane
samanthasiow
skipperchong
