Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をまるっとお届け〜
Search
濱田孝治
January 18, 2024
Technology
2
980
GuadDutyによるコンテナランタイム脅威検知にすべて〜その凄さと設定注意点と検知の様子をまるっとお届け〜
AWSマネージドサービスGuardDutyによる待望のコンテナランタイム脅威検知。その検知内容と設定上の注意事項、検出の様子をまとめてお届けします。
濱田孝治
January 18, 2024
Tweet
Share
More Decks by 濱田孝治
See All by 濱田孝治
20分で完全に理解するGrafanaダッシュボード
hamadakoji
5
1k
re:Invent2023で体験したIoT面白ワークショップ〜お絵描き2Dロボットの構築〜
hamadakoji
0
570
今改めて見直してみるラズパイの真価
hamadakoji
1
500
40分1本勝負 VPoE ハマコーvs20人の悩めるエンジニアリングマネージャー
hamadakoji
0
37
AWSの次世代プロセッサ Graviton2(Arm64)をLambdaとFargateで使うために考えるべきこと
hamadakoji
2
1.3k
エンジニアリングマネージャーの理想と現実
hamadakoji
13
8.1k
JAWS-UGコンテナ支部22回進行用資料
hamadakoji
0
460
VPS運用のWordPressブログをAWSフル活用したモダン構成にする全過程
hamadakoji
2
1k
人類そしてあなたはなぜブログを書くのか〜皆様への激励を添えて〜
hamadakoji
0
320
Other Decks in Technology
See All in Technology
QA経験のないエンジニアリング マネージャーがQAのカジュアル面談に出て 苦労していること・気づいたこと / scrum fest niigata 2024
yoshikiiida
2
650
Google Cloudを組織(企業)で運用する時のベストプラクティス × 健康の環境分離戦略 #まるクラ勉強会
yasumuusan
0
170
拓展QA日常工作的邊界
line_developers_tw
PRO
0
550
LLM評価の落とし穴~開発者目線で気をつけるポイント~
rishigami
11
3.2k
エムスリーQAチーム紹介資料 / Introduction of M3 QA Team
m3_engineering
1
320
AWSの生成AI入門書を執筆しました🎉
minorun365
PRO
0
140
Observabilityジャーニーを実現するためのAWSサービス:CloudWatch編
o11yfes2023
0
140
OPENLOGI Company Profile
hr01
0
45k
使われないものを作るな!出口から作るデータ分析基盤 / Data Platform Development Starting from the User Needs
amaotone
16
4.5k
Shinagile 2024
kawaguti
PRO
2
120
エムスリーマルチデバイスチーム紹介資料 / Introduction of M3 Multi Device Team
m3_engineering
1
150
Prisma ORMを2年運用して培ったノウハウを共有する
tockn
19
5k
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
14
8.4k
The Straight Up "How To Draw Better" Workshop
denniskardys
228
130k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
21
1.6k
Being A Developer After 40
akosma
67
580k
Done Done
chrislema
178
15k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Infographics Made Easy
chrislema
238
18k
Designing for Performance
lara
601
67k
Why Our Code Smells
bkeepers
PRO
331
56k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
228
16k
RailsConf 2023
tenderlove
9
580
Web Components: a chance to create the future
zenorocha
306
41k
Transcript
GuardDutyによる コンテナランタイム脅威検知のすべて 〜その凄さと設定注意点と検知の様⼦をまるっとお届け〜 1 濱⽥孝治(ハマコー)
2 About me 濱⽥孝治(ハマコー) • @hamako9999 • 最近の流⾏ • ランニング
• フロストバイトロードレース(ハーフ) • さいたまマラソン(フル) • サイバーパンク2077 仮初めの⾃由 • Cities Skylines2 • このゲームめっちゃ重いので、誰かGeForce RTX 4070下さい
3 最初に みなさんあの⽇の 感動と興奮を覚えていますか︖
4 最初に
5 最初に これはre:Invent 2022 の出来事です
6 遥かなる時を経て2023年11⽉26⽇リリース︕︕ ref: https://aws.amazon.com/jp/blogs/aws/introducing-amazon-guardduty-ecs-runtime-monitoring-including-aws-fargate/
7 というわけで 世界が注⽬、そして待望していた コンテナランタイム脅威検知を 皆さんにお届け
8 Agenda • Container runtime threat detectionとは • 動作イメージ •
設定⽅法と設定上の注意点 • 実際に脅威を検出してみた • まとめ
9 Container runtime threat detectionとは
10 Container runtime threat detectionとは GuardDutyの新機能としてECS Runtime Monitoring が提供 •
実⾏中のECSタスクにおいて、ランタイムの脅威を ⽰す可能性のあるイベントを検出 • GuadDutyに集約されるので、他のセキュリティ脅 威と合わせて包括的に脅威情報を集約し管理可能 • ECS on FargateはGA(今⽇の話は全部こちら) • ECS on EC2はPreview
11 実際になにが検出されるのか︖ • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
12 なにが嬉しいのか︖ これまでは、実⾏中のECSタスクの ランタイム脅威検知にはそれなりに ⾼価な商⽤製品の導⼊が必須だった • ex. Sysdig, aqua, dynatrace
• aquaは、脅威検知後のコンテナ 保護機能などもあり AWSマネージドな仕組みだけでこの ランタイム検知ができるようになっ たのは素晴らしい進化︕
13 動作イメージ
14 動作イメージ •設定はクラスター 単位で実施(配下 の全サービスが対 象) •タスク起動時にフ ルマネージドな GuardDutyサイド カーコンテナが⾃
動的に起動し、検 出した脅威の GuadDutyへの通 知を実施
15 設定⽅法と設定上の注意点
16 ほなやってみよと思ったそこのあなたへ 設定はめちゃくちゃ簡単
17 安易にやるとめちゃくちゃ 影響範囲が⼤きくなります
18 設定時間30秒、影響範囲はリージョン全部 GuadDuty -> ランタイムモニタリングを開いて 「ランタイムモニタリング」を有効 「AWS Fargate」を有効 にするだけ これだけで、設定したリージョンの全てのECSクラ
スターが検出対象になる
19 ランタイム脅威検知で利⽤するリソースと料⾦ 検出対象になったクラスターで注意しておくべき代表点 • ECSタスクのリソース • ECSタスク定義はそのままの場合、設定したリソースを追加される GuadDuty⽤のサイドカーコンテナが利⽤するので、注意が必要(CPU and memory
limits) • サイドカーコンテナの料⾦ • 超ざっくりで4%ぐらいのコスト増 • 参考︓Intelligent Threat Detection – Amazon GuardDuty Pricing • ⼀度設定すると、今後作成する全てのクラスターが上記の影響を受 けることも注意
20 ECSクラスターを設定対象外にする⽅法 クラスターに事前に以下のタグを付与しておく • Key:GuardDutyManaged • Value:false プロダクション環境などで設定する場合は、意図せぬと ころに影響が出ないように注意
21 実際に脅威を検出してみた
22 やっぱり 実際に検出してみないと やっぱりねぇ、実感がわかないよねぇ
23 検出対象にしてみた脅威 • 通常ではないネットワークトラフィック コンテナからの予期しないアウトバウン ド接続。 • ポートスキャン活動 コンテナが他のシステムやサービスのポ ートをスキャン。
• 既知の悪意のあるIPまたはドメインへの アクセス コンテナが既知の悪意あるIPやドメイン と通信。 • 予期せぬデータ量やパターン データ転送量やパターンの⼤幅な変化。 • 疑わしいファイルやプロセスの活動 コンテナ内での通常ではないファイルの 変更やプロセスの実⾏。 • 異常なユーザー⾏動 コンテナ内からの通常ではないログイン パターンや特権昇格試み。 • 侵害されたコンテナイメージ 既知の脆弱性がある、または悪意のある コンテナイメージの使⽤。 • 暗号通貨マイニング CPUまたはGPU使⽤率の予期しない急増。 • コマンド&コントロール(C&C)通信 既知のC&C通信プロトコルに⼀致するト ラフィックパターン。 • リバースシェルまたは不正なリモートア クセス GuadDuty:Runtime Monitoring finding types
24 検出するためのツール ECS ExecでFargateにログインして コマンド実⾏
25 CryptoCurrency:Runtime/BitcoinTool.B!DNS 暗号通貨関連ドメイン pool.supportxmr.comへのDNS クエリ。これはほぼ確実に毎回出る。 他にも同じような挙動をするドメインがあるかどうか ChatGPTに聞いてみたら、それは教えられないよ、と ⾔われました。
26 参考にしたブログ https://dev.classmethod.jp/articles/guardduty-findings-test-cryptocurrency/
27 Execution:Runtime/NewBinaryExecuted インストールしたバ イナリ実⾏の脅威が 検知。 Nmapコマンド使っ ているので、ポート スキャン脅威がでる かと思いきや、ここ では、新バイナリの
実⾏の脅威で検知さ れていた
28 しばらくの間 実際の画⾯を⾒てみましょう
29 検出した後の運⽤をどうするか 設定したは良いが、実際に検出されたときの運⽤も考え ておくのが⼤事 • Managing Amazon GuardDuty findings -
Amazon GuardDuty • 公式ドキュメント。運⽤についての詳細が記載されてある [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を 考える | DevelopersIO • セキュリティHero、⾅⽥の記事 • Amazon GuardDuty ECS Runtime Monitoringで脅威を検出した ECSタスクを自動停止してみた | DevelopersIO • トクヤマシュンによる脅威検知対象ECSタスクの⾃動停⽌
30 まとめ
31 • ECSにおけるコンテナランタイム検知がマネージド な仕組みだけでできるようになったので⼤いに活⽤ の余地あり︕ • 設定は異常に簡単だが影響範囲が⼤きいため、事前 の計画は必須 • コンテナセキュリティ全般は、ビルドプロセスにお
けるイメージスキャンやIAMの最⼩権限の⽅策など と合わせて包括的に対処しましょう︕
32 皆さんのECS環境 よりセキュアに安全に 使っていきましょう︕