これは フェンリル デザインとテクノロジー Advent Calendar 2023 22日目の記事です。
こんにちは! インフラ担当の米田です。
2023年の11月27日から12月2日にわたって開催されたAWS re:Invent 2023に、初めて現地参加しました。
数あるセッションの中から "Introducing GuardDuty ECS Runtime Monitoring, including AWS Fargate" で学んだ内容を紹介します。
セッションの紹介
今回紹介するセッションの内容について、簡単に説明します。
re:Invent2023開始直前の11月26日に発表された新機能のGuardDuty ECS Runtime Monitoringについてのセッションでした。
前半はAWSのGuardDutyチームのテックリードの方から、実際のAWSコンソールを使ったデモンストレーションがありました。中盤にはECS Runtime Monitoringのポイントが紹介されていました。後半はECS Runtime Monitoringがどのような仕組みで動作するかを紹介する内容でした。
こういったリリースされたばかりの新機能についてAWSの方から直接話を聞けるのが、re:Inventに現地参加するメリットですね!
AWS Events公式のYouTubeチャンネルに、セッションの録画がアップロードされています。気になる方はチェックしてみてください。
機能を有効化するデモンストレーション
GuardDutyコンソールにRuntime Monitoringのページが新たにできており、そこで有効化を選択するだけで利用を開始できるようです。
機能を有効化するために必要な事前準備は特に無く、GuardDutyのコンソールからワンクリックで有効化できるようでした。
有効にすると、裏ではセキュリティエージェントが展開されたり、VPCエンドポイントが生成されたりするようです。
さらにデモンストレーションでは、暗号通貨のマイニングを行うようなタスクをFargateで実行することで、GuardDutyに検知されることを確認していました。
デモンストレーションを見る限り、タスク定義に設定を追記することなく脅威検知ができているようでした。
セッション動画より
ECS Runtime Monitoringのポイント
中盤ではECS Runtime Monitoringのポイントについて紹介されていました。
- 完全にマネージドなサーバーレスコンテナのための脅威検出
- 機械学習と統合された脅威インテリジェンスによるイベントの攻撃チェーンの検出
- ビジネスに影響を与えるより前に脅威を検出し、対応する
- 進化する脅威からコンテナを保護するため、カバレッジと可視性を得る
また、ECS Runtime Monitoringで検出できる脅威の種類についても紹介されていました。
- MALWARE INFECTION (マルウェア感染)
- CRYPTOCURRENCY MINING (暗号通貨マイニング)
- CONTAINER RUNTIME DRIFT (コンテナランタイムのドリフト)
- CONTAINER ESCAPE (コンテナエスケープ)
- REMOTE CODE EXECUTION (リモートコード実行)
- DEFENSE EVASION (防御回避)
仕組み
後半ではECS Runtime Monitoringがどのような仕組みで動作するのかが紹介されていました。
FargateのホストOS側にあるGuardDuty Runtime Monitoring AgentがFargate上で稼働しているコンテナを監視し、その結果をVPC Endpointを経由してGuardDutyに送信するという仕組みのようです。
ただしデモンストレーションで紹介されていたように、GuardDutyのコンソールで有効化するだけでにVPC EndpointやGuardDuty Runtime Monitoring Agentが準備されるため、ユーザー側で別途リソースを作成する必要は無さそうです。
まとめ
今回はAWS re:Invent 2023に現地参加し、そこで参加したGuardDuty ECS Runtime Monitoringのセッションで学んだ内容について紹介しました。
構成やタスク定義を変更すること無く導入できる点が、導入のハードルを低くしてくれていると感じました。
GuardDuty自体のコストの面がクリアできるのであれば、既に稼働中のサービスでも今すぐに導入できると思います。
料金(東京リージョンの場合)
- 最初の 500 個の vCPU /月 (監視対象のインスタンスの場合) : vCPU あたり 2.00USD
- 次の 4,500 個の vCPU /月 (監視対象のインスタンスの場合) : vCPU あたり 1.00USD
- 5,000 個以上の vCPU /月 (監視対象のインスタンスの場合) : vCPU あたり 0.33USD
※ 別途、VPC Endpointの料金が必要になる場合があります
30日のフリートライアル期間が設けられているようなので、気軽に始めてみてはいかがでしょうか。