AWS Fargateを含むGuardDuty ECSランタイム監視の紹介

Pulisher : Managed & Support Center イ・スンヒ
Description : AWS Fargateで実行されるサーバーレスコンテナワークロードのセッションと、Amazon ECSのフルマネージドランタイム脅威検出のメリットについて。

はじめに

AWS FargateおよびAmazon EC2で実行されるAmazon ECSワークロードの脅威検出を簡素化するGuardDuty ECS Runtimeモニタリングに関するインサイトを得ることができると期待して、このセッションを申し込みました。

セッションの概要紹介

このセッションでは、AWS Fargateで実行されるサーバーレスコンテナワークロードと、Amazon ECSの完全マネージドランタイム脅威検出のメリットと、GuardDuty ECS Runtime Monitoringが組織全体のAmazon ECSワークロードに対する脅威検出をどのように簡素化するかをご紹介します。

この監視ツールは、ホストOSレベルのアクティビティを透過的に表示し、AWS FargateまたはAmazon EC2で実行されているAmazon ECSワークロードに対する脅威の検出と対応に必要なコンテナレベルのコンテキストを提供します。

まず、GuardDutyコンソールでのfinding機能について確認してみましょう。

様々なセキュリティ問題を検出し、関連するインスタンス、アカウント、アクティビティ、タグ、使用されたプロファイル、DNSリクエストなどの詳細情報を提供します。このツールは、オペレーティングシステムの活動に対する深い洞察を提供し、問題の原因と解決策を見つけるのに役立ちます。

この機能は多くのインサイトを持っていますが、さらにコンテナレベルのコンテキストを提供するために、Amazon GuardDuty ECS Runtime Monitoringを発表することになりました。

GuardDuty ECS Runtime Monitoringは、仮想通貨マイニングのために再利用されたコンテナや、コンテナで承認されていないコードの実行を示す異常なアクティビティなど、検出された脅威に対するコンテナレベルのコンテキストを提供します。

次の章では、この機能を有効にする方法について紹介します。

GuardDutyコンソール > Runtime Monitoring機能にアクセスし、アクションバーから簡単に有効にすることができます。ランタイムモニタリングを有効にすることで、オペレーティングシステムレベルのイベントを監視・分析し、特定のAWSワークロードで潜在的な脅威を検知することができます。

GuardDutyは2017年のリリース以来、大きな進化を遂げました。当初はVPCフローログ、DNSログ、CloudTrailの3つのログソースに依存していましたが、お客様のニーズに応じてサポート範囲を拡大し、さまざまなデータイベントやコンテナサービスを統合しました。 最近では、Aurora RDSやラムダフローログなど、より多くのログソースをサポートするようになり、高度な脅威インテリジェンスと機械学習技術を使用して複雑な攻撃タイプを検出・分析するようになりました。

GuardDuty ECS Runtime Monitoring機能を構築する際、既存の検知を拡張する過程で4つの項目に対する基準点を基に構成しました。

第一は、他のすべてのログソースに対してAWSバックエンドから直接提供され、顧客がいかなる構成や活性化方法を要求しないように構成しました。

第二に、お客様がすでに慣れているように、この経験をワンクリックに近い形で簡単に設定できるように考案しました。

また、攻撃チェーン全体を検知できるように、カーネル空間で固有の可視性を得るためのfull-managed方式で構成しようとしました。

最後に、Organization、ECS、Fargateなどの他のサービスとうまく統合できるように設計しました。 これにより、顧客がそれぞれの環境ではなく、中央管理型で作業できるように構成しようとしました。

コンテナワークロードの重要な利点の1つは、単一のホストでより多くのアプリケーションを実行できるようにすることですが、セキュリティのために利用可能なスペースをどんどん占有すると、この効率が低下する可能性があります。

これを解決するために、AWSはBerkeleyパケットフィルターをベースにした独自のエージェントを社内で開発しました。

このエージェントはテレメトリデータを収集し、このデータをバックエンドに送信して複雑なイベント分析を行い、インフラストラクチャへの負担を軽減します。 このシステムは、単一のイベントではなく一連のイベントを分析することで、実際の攻撃を特定するために必要な信頼性を高め、顧客に新しい検知機能を即座に提供します。

新しくリリースされたGuardDuty ECSランタイムモニタリングを30日間無料でご利用いただけます。GuardDuty ECSランタイムモニタリングを明示的に有効にする必要があり、プレビュー期間が終了すると、監視エージェントの1時間あたりのvCPUあたりの料金が課金されます。

セッションを終えて

今回のセッションでは、GuardDutyサービスで新しくリリースされた機能をご紹介しました。 また、その機能を構築する際の視点や現在までのGuardDutyの歴史を確認しながら、お客様のリソースやデータに対するセキュリティについて、簡単で拡張可能な機能を拡張してきたことを確認することができました。

使いやすさを高め、管理負担を軽減し、セキュリティレベルを強化する方向に設計されており、お客様のワークフローでクラウドベースのアプリケーションのセキュリティを強化するために非常に有用であると期待されます。