Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / n...

Avatar for sasaki sasaki
March 13, 2024
Technology
0
320

ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 / nakanoshima-dev-ecs-runtime-monitoring

Avatar for sasaki

sasaki

March 13, 2024
Tweet

More Decks by sasaki

See All by sasaki
FinOpsとタグ付け防止対策 / CCoE Osaka FinOps Tags
Avatar for sasaki taishin
1
220
Glacierだからってコストあきらめてない? / JAWS Meet Glacier Cost
Avatar for sasaki taishin
1
350
スケールするプロダクトと膨らむ組織 SREの挑戦と解決策 / Findy Job LT SRE
Avatar for sasaki taishin
0
150
組織の変化とSREの役割進化 責務拡大にどう応えるか / globis_sre
Avatar for sasaki taishin
0
320
Lambdaの運用についてのなにか / lambda_unyo
Avatar for sasaki taishin
0
190
おすすめAWSコスト対策 / AWS Startup Meetup Osaka AWS Cost
Avatar for sasaki taishin
1
460
プラットフォームってつくることより計測することが重要なんじゃないかという話 / Platform Engineering Meetup #8
Avatar for sasaki taishin
1
1.4k
JAWS-UG-Osaka-guardrail
Avatar for sasaki taishin
0
360
成長を続けるSaaSのAWSコスト管理において 開発者としてできること / AWS DevDay SaaS Cost
Avatar for sasaki taishin
11
3.3k

Other Decks in Technology

See All in Technology
SREじゃなかった僕らがenablingを通じて「SRE実践者」になるまでのリアル / SRE Kaigi 2026
Avatar for AEON aeonpeople
6
2.2k
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
Avatar for KNOWLEDGE WORK / 株式会社ナレッジワーク kworkdev
PRO
1
420
ファインディの横断SREがTakumi byGMOと取り組む、セキュリティと開発スピードの両立
Avatar for adachi.ryo rvirus0817
1
1.3k
日本の85%が使う公共SaaSは、どう育ったのか
Avatar for たけだ taketakekaho
1
150
小さく始めるBCP ― 多プロダクト環境で始める最初の一歩
Avatar for kekke-n kekke_n
1
380
StrandsとNeptuneを使ってナレッジグラフを構築する
Avatar for やくも yakumo
1
100
10Xにおける品質保証活動の全体像と改善 #no_more_wait_for_test
Avatar for nihonbuson nihonbuson
PRO
2
230
Webhook best practices for rock solid and resilient deployments
Avatar for Guillaume Laforge glaforge
1
280
コスト削減から「セキュリティと利便性」を担うプラットフォームへ
Avatar for SansanTech sansantech
PRO
3
1.4k
会社紹介資料 / Sansan Company Profile
Avatar for Sansan, Inc. sansan33
PRO
15
400k
~Everything as Codeを諦めない~ 後からCDK
Avatar for mu7889yoon / Yuta Nakamura mu7889yoon
3
310
IaaS/SaaS管理における SREの実践 - SRE Kaigi 2026
Avatar for Shun bbqallstars
4
1.8k

Featured

See All Featured
First, design no harm
Avatar for Per Axbom axbom
PRO
2
1.1k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
191
11k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
810
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
Avatar for Eileen M. Uchitelle eileencodes
141
34k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
Claude Code どこまでも/ Claude Code Everywhere
Avatar for nwiizo nwiizo
61
52k
Optimizing for Happiness
Avatar for Tom Preston-Werner mojombo
379
71k
The #1 spot is gone: here's how to win anyway
Avatar for Tamara Novitovic tamaranovitovic
2
930
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
0
110
Designing for Timeless Needs
Avatar for Cassini Nazir cassininazir
0
130
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
162
24k

Transcript

  1. 2024年3月13日 コドモン株式会社 佐々木真也 ECS Runtime Monitoring で コンテナランタイムセキュリティに入門 nakanoshima.dev #36

    コンテナについて話したい、助けてほしい人集まれLT大会

  2. 2 • 名前 ◦ 佐々木真也 • 所属 ◦ コドモン株式会社 ▪

    2023年11月〜 ▪ SREチーム • X ◦ @taishin • 趣味 ◦ サッカー観戦 自己紹介

  3. 3 すべての先生に 子どもと向き合う 時間と心のゆとりを こんなプロダクトを開発しています メインプロダクトは、保育・教育施設向けWebアプリケーション。 保護者と施設のやり取りを支えるモバイルアプリケーションや、施設職員向けモバイル版 アプリケーション、外部サービスと連携するAPIなども開発しています。

  4. 4 導入施設数推移(ICT) 2021年4月 8,000 2020年4月 5,200 2019年4月 3,000 2018年4月 1,500

    2017年4月 500 2016年4月 120 全国導入数 18,000 施設 2022年2月 11,000 18,000 2024年3月 (2024年3月時点) 14,000 2023年4月

  5. 5 アジェンダ • コンテナランタイムセキュリティ • Amazon GuardDuty ECS Runtime Monitoring

    • もやっとしたこと • まとめ

  6. コンテナランタイムセキュリティ

  7. 7 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

  8. 8 ECS Security BestPractice https://docs.aws.amazon.com/AmazonECS/latest/bestpracticesguide/security.html

  9. 9 • コンテナ実行環境のふるまいをモニタリングし、異常なふるまいを検知し たときに、通知したり、ブロックしたり • ECSでは商用製品しか対応していなかった ◦ Aqua Security ◦

    Palo Alto Networks ◦ Sysdig 等 コンテナランタイムセキュリティ
  10. None

  11. Amazon GuardDuty ECS Runtime Monitoring

  12. 12 • re:Invent 2023で発表 • FargateもEC2も対応だが、EC2は現在のところプレビュー • 検出するだけで、ブロックはしない • タスクごとにエージェントコンテナがサイドカーとして起動する

    Amazon GuardDuty ECS Runtime Monitoring GuardDuty エージェント コンテナ タスク

  13. 13 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順

  14. 14 GuardDutyの設定で有効にするだけ(アカウントレベル) 導入手順 めっちゃ簡単

  15. 15 • 有効にしたアカウントの全クラスタで有効になる • クラスタにタグを設定すれば、クラスタレベルで無効にできる ◦ GuardDutyManaged : false •

    有効化前に稼働しているサービスについては、サービスを更新して、再起 動させるとエージェントが起動してくる 注意点

  16. 16 • GuardDuty Findingsとして表示 検知

  17. もやっとしたこと

  18. 18 現状、StepFunctionsとCodePipelineから起動したタスクには非対応 1.StepFunctionsとCodePipelineは非対応 とはいえエージェントは起動している・・・ だめな理由は・・? これ費用は・・・?

  19. 19 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない

  20. 20 有効後、サービスを再起動しても半分くらいはUnhealthy 2. ステータスがHealthyにならない 全部 Unidentified issue・・・

  21. 21 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない

  22. 22 Troubleshooting coverage issues • https://docs.aws.amazon.com/guardduty/latest/ug/gdu-assess-coverage-ecs.html 2. ステータスがHealthyにならない どれも該当しない・・・

  23. 23 2. ステータスがHealthyにならない AWSサポート 再度サービスの更新をしてください やったけどな・・・

  24. 24 2. ステータスがHealthyにならない なおった・・・

  25. 25 2. ステータスがHealthyにならない なおった・・・ 何度かやるとHealthyになるとか、たまにUnhealthyになってたりとか、 ちょっとよくわからない・・・ (このUnhealthyの状況でも検知はする・・・)

  26. 26 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 (2024/3現在)

  27. 27 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア (2024/3現在)

  28. 28 3. Tokyoリージョン高くない? https://aws.amazon.com/jp/guardduty/pricing/ 東京 バージニア ソウル (2024/3現在)

  29. まとめ

  30. 30 • とはいえ、導入がかなり簡単で、お手軽に始められる • ここから始めて、ブロックとか必要になれば商用製品に乗り換えてもいい かも • なんにしたって、この後の運用が重要だと思います まとめ

  31. 31 コドモン採用ページ 開発ブログ コドモンでは一緒に働きたい仲間を募集しています!

  32. None