Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuardDutyとSysdigのランタイムセキュリティ機能を比較してみる
Search
t-kikuchi
February 15, 2024
Technology
1
1.9k
GuardDutyとSysdigのランタイムセキュリティ機能を比較してみる
GuardDutyとSysdigのランタイムセキュリティ機能を比較してみる
t-kikuchi
February 15, 2024
Tweet
Share
More Decks by t-kikuchi
See All by t-kikuchi
コンテキストエンジニアリングとは何か?〜Claude Codeを使った実践テクニックとコンテキスト設計〜
tkikuchi
0
10
バッチ処理をEKSからCodeBuildを使ったGitHub Self-hosted Runnerに変更した話
tkikuchi
1
80
Claude Code導入後の次どうする? ~初心者が知るべき便利機能~
tkikuchi
0
22
ClaudeCodeを使ってAWSの設計や構築をしてみた
tkikuchi
0
21
ClaudeCode_vs_GeminiCLI_Terraformで比較してみた
tkikuchi
1
7.4k
AWSLambdaMCPServerを使ってツールとMCPサーバを分離する
tkikuchi
1
4.4k
ネットワークの新要素ResourceGateway&Configuration関連アップデート
tkikuchi
0
2.7k
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
4
850
塩野義製薬様のAWS統合管理戦略:Organizations設計と運用の具体例
tkikuchi
0
940
Other Decks in Technology
See All in Technology
ビズリーチ求職者検索におけるPLMとLLMの活用 / Search Engineering MEET UP_2-1
visional_engineering_and_design
1
130
プロダクトのコードから見るGoによるデザインパターンの実践 #go_night_talk
bengo4com
1
2.5k
"プロポーザルってなんか怖そう"という境界を超えてみた@TSUDOI by giftee Tech #1
shilo113
0
190
いまからでも遅くない!SSL/TLS証明書超入門(It's not too late to start! SSL/TLS Certificates: The Absolute Beginner's Guide)
norimuraz
0
240
『バイトル』CTOが語る! AIネイティブ世代と切り拓くモノづくり組織
dip_tech
PRO
1
130
AI時代こそ求められる設計力- AWSクラウドデザインパターン3選で信頼性と拡張性を高める-
kenichirokimura
3
320
エンタメとAIのための3Dパラレルワールド構築(GPU UNITE 2025 特別講演)
pfn
PRO
0
320
20251014_Pythonを実務で徹底的に使いこなした話
ippei0923
0
190
「使い方教えて」「事例教えて」じゃもう遅い! Microsoft 365 Copilot を触り倒そう!
taichinakamura
0
390
Sansan Engineering Unit 紹介資料
sansan33
PRO
1
3k
CoRL 2025 Survey
harukiabe
1
200
能登半島災害現場エンジニアクロストーク 【JAWS FESTA 2025 in 金沢】
ditccsugii
0
810
Featured
See All Featured
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.4k
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.2k
We Have a Design System, Now What?
morganepeng
53
7.8k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
Optimizing for Happiness
mojombo
379
70k
Large-scale JavaScript Application Architecture
addyosmani
514
110k
Java REST API Framework Comparison - PWX 2021
mraible
34
8.9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.5k
Context Engineering - Making Every Token Count
addyosmani
6
250
Build The Right Thing And Hit Your Dates
maggiecrowley
37
2.9k
GraphQLとの向き合い方2022年版
quramy
49
14k
Visualization
eitanlees
149
16k
Transcript
1 AWS事業本部 コンサルティング部 菊池 聡規 GuardDutyとSysdigのランタイムセキュリティ 機能を比較してみる
• 【名前】 菊池 聡規 • 【所属】 AWS 事業本部 コンサルティング部 •
【キャリア】 金融機関向けオンプレのインフラエンジニア10年ほど→ 自社Webサービスをもつ企業で3年ほど→ クラスメソッドにジョイン • 【Blog】 https://dev.classmethod.jp/author/tooti/ • 【好きなAWSサービス】 Amazon EventBridge, AWS Step Functions, ECS 2 自己紹介
1. はじめに 2. 通知速度 3. コスト比較 4. 検知ルールとカスタマイズ 5. セットアップの簡便さ
6. まとめ 3 アジェンダ
4 前提 • 前提 ◦ ECS Fargate環境を前提とします ◦ ランタイムセキュリティ機能に絞って話します ◦
サービスの比較になりますが、どちらかのサービスを貶す意図はないです。どちらも 良いサービスです
5 1. はじめに - ランタイムセキュリティの役割 • そもそもランタイムセキュリティとは? ◦ 実行中のコンテナを保護すること ◦
コンテナ上の怪しい振る舞いを検出する等の方法で実現 ◦ 例えば以下のような攻撃を防げる ▪ コンテナ内に含まれたマルウェアによる攻撃 ▪ コンテナイメージに含まれる脆弱性を利用した攻撃 ◦ コンテナに含まれる脆弱性はビルド時にもチェックするがゼロデイ脆弱性等、ビルド 時に洗い出せないものも→いわば最後の防衛線
6 1. はじめに - GuardDutyとSysdigの概要 • GuardDuty ◦ AWS環境に対する脅威検出サービス ◦
2023/11アップデートにてECSに対するRuntime Monitoringが追加 • Sysdig ◦ コンテナ、Kubernetes、クラウド環境向けセキュリティ
7 2. 通知速度 • GuardDutyでの通知 ◦ GuardDutyで発生したイベントは Amazon EventBridgeに送信される ◦
発見から5分以内に通知を送信 ◦ 同一ECSタスク内で複数回攻撃が発生 しても最初の5分間に発生したイベント はすべて一つの通知に集約される ◦ 異なるECSタスクで発生した場合は別イ ベントとしてカウント
8 2. 通知速度 • GuardDutyでの通知 ◦ 攻撃発生時のタイムライン例 発生時刻 内容 3:13:34
タスクAで暗号通貨関連のドメイン名に対して nslookup実施 3:13:40 タスクBで暗号通貨関連のドメイン名に対して nslookup実施 3:15:50 GuardDutyにタスクAのイベント作成 3:15:50 GuardDutyにタスクAのイベント作成 3:20:03 Amazon EventBridgeからトリガーされる処理が開始 3:20:07 Amazon EventBridgeからトリガーされる処理が開始
9 2. 通知速度 • Sysdigでの通知 ◦ Notification ChannelsとEvent Forwardingの2種類のイベント送信方 法が存在
◦ Notification Channelsはポリシーに対して設定し、指定したポリシー違反 があった際にSlack,Email,Amazon SNSなどにイベント送信 ▪ Notification Channelsは何かが起きていることを把握する目的のもの であるため同時タイミングのイベント等はミュートされる ◦ Event ForwardingはAWS等のクラウドアカウントやコンテナで発生したポ リシー違反等のセキュリティイベントをElasticsearchやAmazon SQS, Splunk等に転送する機能 ▪ こちらは発生した全イベントを送信
10 2. 通知速度 • Event Forwardingの送信イメージ
11 2. 通知速度 • Sysdigでの通知 ◦ 攻撃発生時のタイムライン例(Event Forwarding) 発生時刻 内容
19:53:18 タスクAで不審なネットワークツール (ncat)実行(※1) 19:53:23 タスクAで不審なネットワークツール (ncat)実行(※2) 19:53:42 SQSからLambdaが起動(※1) 19:54:08 SQSからLambdaが起動(※2)
12 3. コスト比較 • GuardDuty ランタイムモニタリングの価格モデル※ ◦ エージェントが保護するタスクのvCPU数に応じて課金 ▪ 月最初の500vCPUまで:1vCPUあたり2.00USD/月
▪ 500vCPU以上、4500vCPUまで:1vCPUあたり1.00USD/月 ▪ GuardDutyのVPCエンドポイントが作成されるがこちらは無料 ▪ 2vCPU使うタスクが10個の条件で試算すると ➢ 2vCPU * 10台 * 2USD = 40USD/月 ※最新の情報や詳細についてはAWS公式ページをご参照ください https://aws.amazon.com/jp/guardduty/pricing/
13 3. コスト比較 • Sysdigの価格モデル※ ◦ ECS Fargateでランタイムセキュリティを使いたいときは「Secure Workload Sec
CaaS」ライセンスを購入すればOK ◦ ECS Fargateの1タスク毎に月額12USD ◦ 1タスク毎に1ヶ月あたり720時間を超えて使用すると追加で料金がかかる ▪ Additional usage fee for Secure Workload Security CaaS:0.03USD/h ◦ その他、オーケストレータ(ECS,NLB)の料金がかかる ▪ おおよそ、月200USD~250USD程度 ▪ 2vCPU使うタスクが10個の条件で試算すると ➢ 10タスク * 12USD + 250USD = 370USD ※最新の情報や詳細については 以下ページをご参照ください https://aws.amazon.com/marketplace/pp/prodview-p4hagtkrkpgbw?sr=0-1&ref_=beagle&applicationId=AWSMPContes sa
14 4. 検知ルールとカスタマイズ • GuardDutyランタイムモニタリングの検知ルール ◦ ルール数は2/16時点で31 ▪ 暗号通貨関連や既知のC&Cサーバへの通信 ▪
Torネットワークへの接続 ▪ 既知の悪用ドメインへの通信 ▪ リバースシェルなどなど ◦ カスタマイズは不可 ◦ 不要なルールは基本的には抑制ルール(属性名と値の組み 合わせでフィルタ)で制御 ◦ 詳細な検知条件はブラックボックス(例えば既知の悪用ドメイ ンが何かまでは分からない)
15 4. 検知ルールとカスタマイズ • Sysdigの検知ルール ◦ ルール数は2/16時点でWorkloadカテゴリだけでも100以上 ▪ 各ルールには種別を示すタグが複数ついている ➢
例えばCISベンチマークやMITRE ATT&CKになどのセキュリティ標準に準 拠したルールにはそれを示すタグがつく ➢ その他のタグとしてはnetwork, fileなど挙動を表すタグ等 ◦ カスタマイズが柔軟 ▪ 複数ルールを束ねたものがポリシーとして存在、ポリシー内の各ルール毎に有 効無効を設定可能 ▪ 3種類のポリシー種別がありカスタムポリシーという種別ではルールの組み合 わせを自由に設定、マネージドポリシーでは自動でルールがupdate ▪ 各ルールはFalcoルールという書式で書かれており、ユーザが独自のルールを 作ることも可能 ◦ 詳細な検知条件までわかる
16 4. 検知ルールとカスタマイズ • Sysdigの検知ルール
17 4. 検知ルールとカスタマイズ • Sysdigの検知ルール
18 5. セットアップの簡便さ • GuardDutyのセットアップ ◦ めちゃくちゃ簡単
19 5. セットアップの簡便さ • GuardDutyのセットアップ
20 5. セットアップの簡便さ • Sysdigのセットアップ ◦ オーケストレータエージェントとワークロードエージェントを作る 必要あり ◦ それぞれTerraformとCloudFormationが用意されている
21 簡単、簡単☆ミ
22 5. セットアップの簡便さ
23 6. まとめ • まとめ ◦ それぞれに特徴があるので要件に合ったものを使おう! 項目 GuardDuty Sysdig
検知速度 △ ◯ コスト ◎ ◯ ルール数とカスタマイズ ◯ ◎ セットアップの容易さ ◎ ◯
24