Amazon Web Services ブログ
Amazon GuardDuty 新着情報: Amazon ECS と AWS Fargate でランタイムセキュリティに対する脅威を検知しましょう
11月26日、Amazon GuardDuty ECS Runtime Monitoring を発表しました。これは、AWS Fargate と Amazon Elastic Compute Cloud (Amazon EC2) の両方で実行される Amazon Elastic Container Service (Amazon ECS) クラスターで発生する潜在的なランタイムセキュリティ問題を検出するのに役立ちます。
GuardDuty は、さまざまな AWS データソースに対して、機械学習 (ML)、異常検知、ネットワークモニタリング、悪意のあるファイルの発見を組み合わせています。脅威が検出されると、GuardDuty はセキュリティの検出結果を生成し、自動的に AWS Security Hub、Amazon EventBridge、Amazon Detective に送信します。このような統合により、AWS とパートナーサービスのモニタリングを一元化し、対応を自動的に開始し、セキュリティ調査を実施するのに役立ちます。
GuardDuty ECS Runtime Monitoring は、ランタイムの脅威があることを示す、ファイルアクセス、プロセス実行、ネットワーク接続などのランタイムイベントを検出するのに役立ちます。何百もの脅威ベクトルと指標をチェックし、30 種類以上の検出タイプを生成できます。例えば、権限昇格の試み、クリプトマイナーやマルウェアによって生成されたアクティビティ、攻撃者による偵察を示唆するアクティビティを検出できます。これは GuardDuty の主要な検出カテゴリに追加されるものです。
GuardDuty ECS Runtime Monitoring は、マネージド型の軽量セキュリティエージェントを使用して、個々のコンテナのランタイム動作の可視性を向上させます。AWS Fargate を使用する場合、エージェントをインストール、設定、管理、または更新する必要はありません。当社にお任せください。これにより、クラスターの管理が簡素化され、一部のタスクが監視されることなく放置されるリスクが軽減されます。また、セキュリティ体制を改善し、ランタイムの脅威に対して規制遵守を実現し、認証に合格するのにも役立ちます。
GuardDuty ECS Runtime Monitoring の検出結果は、コンソールに直接表示されます。GuardDuty は、検出結果を複数の AWS のサービスに送信したり、セキュリティオペレーションセンター (SOC) に接続されたサードパーティーのモニタリングシステムに送信したりするように設定することもできます。
今回のリリースにより、Amazon Detective は GuardDuty ECS Runtime Monitoring からセキュリティに関する検出結果を受け取り、データのコレクションに含めて分析と調査を行えるようになりました。Detective は、潜在的なセキュリティ問題や疑わしいアクティビティの根本原因を分析、調査、迅速に特定するのに役立ちます。Detective は、AWS リソースからログデータを収集し、機械学習、統計分析、グラフ理論を使用して、リンクされたデータセットを構築してセキュリティ調査を簡単に実施できるようにします。
AWS Fargate で GuardDuty ECS Runtime Monitoring を設定する
このデモでは、AWS Fargate がもたらすエクスペリエンスを紹介することにします。Amazon ECS を使用するときは、EC2 インスタンスに GuardDuty エージェントがインストールされているようにする必要があります。エージェントを手動でインストールするか、AMI に組み込むか、GuardDuty が提供する AWS Systems Manager ドキュメントを使用してインストールできます (コンソールのシステムマネージャーに移動し、[Documents] (ドキュメント) を選択して GuardDuty を検索します)。ドキュメントには、EC2 インスタンスへのエージェントのインストールに関する詳細が記載されています。
GuardDuty 管理者アカウントから運用する場合、組織レベルで GuardDuty ECS Runtime Monitoring を有効にして、すべての組織の AWS アカウントにあるすべての ECS クラスターを監視できます。
このデモでは、AWS マネジメントコンソールを使用して Runtime Monitoring を有効にします。コンソールで GuardDuty ECS Runtime Monitoring を有効にすると、すべてのクラスターに影響します。
GuardDuty で GuardDuty ECS Runtime Monitoring エージェントを Fargate に自動的にデプロイさせたい場合は、GuardDuty エージェント管理を有効にします。個々のクラスターを自動管理から除外するには、それらに GuardDutyManaged=false というタグを付けることができます。コンソールで ECS Runtime Monitoring を有効にする前に、クラスターに必ずタグを付けています。自動管理オプションを使用したくない場合は、オプションを無効のままにして、GuardDutyManaged=true というタグを付けて監視するクラスターを自由に選択できます。
Amazon ECS または AWS Fargate クラスター管理者には、クラスターのタグを管理する権限が必要です。
タスクにアタッチする IAM TaskExecutionRole には、プライベート ECR リポジトリから GuardDuty エージェントをダウンロードする許可が必要です。これは、AmazonECSTaskExecutionRolePolicy マネージド IAM ポリシーを使用すると自動的に行われます。
Runtime Monitoring とエージェント管理が有効になっている場合の、このデモでのコンソールのビューは次のとおりです。
すべての ECS クラスターのカバレッジ統計を評価することで、セキュリティエージェントのデプロイ状況を追跡できます。
モニタリングを有効にすると、他に何もする必要はありません。簡単なデモクラスターでどのような検出結果が検出されるか見てみましょう。
GuardDuty ECS ランタイムのセキュリティに関する検出結果をご覧ください
GuardDuty ECS Runtime Monitoring が潜在的な脅威を検出すると、このようなリストに表示されます。
詳細を表示するには、特定の検出結果を選択します。
知っておくべきこと
デフォルトでは、Fargate タスクはイミュータブルです。GuardDuty は、既存のタスクのコンテナを監視するエージェントをデプロイしません。既に実行中のタスクについてコンテナを監視する場合は、GuardDuty ECS Runtime Monitoring を有効にした後でタスクを停止して開始する必要があります。同様に、Amazon ECS サービスを使用するときは、エージェントでタスクが確実に再開されるように、新しいデプロイを強制する必要があります。前述のように、タスクに Amazon ECR から GuardDuty モニタリングエージェントをダウンロードするための IAM 許可があることを確認してください。
GuardDuty エージェントはパフォーマンスにほとんど影響を与えないように設計されていますが、Fargate のタスクサイズを計算する際に考慮する必要があります。
自動エージェント管理を選択すると、GuardDuty は VPC エンドポイントも作成して、エージェントが GuardDuty API と通信できるようにします。このデモと同様、(継続的インテグレーションシナリオなどで) 一定期間後にクラスターを削除する目的で CDK または CloudFormation スクリプトを使用してクラスターを作成する場合、VPC エンドポイントを手動で削除して CloudFormation がスタックを削除できるようにする必要があることにご注意ください。
利用可能なリージョンと料金
AWS Fargate インスタンスと Amazon EC2 インスタンスで GuardDuty ECS Runtime Monitoring を使用できるようになりました。GuardDuty ECS Runtime Monitoring を利用できるリージョンの全リストについては、リージョン固有の機能の提供状況ページをご覧ください。
GuardDuty ECS Runtime Monitoring は 30 日間無料でお試しいただけます。GuardDuty を初めて有効にするときは、GuardDuty ECS Runtime Monitoring を明示的に有効にする必要があります。試用期間が終了すると、時間単位で vCPU ごとにモニタリングエージェントの料金が発生します。GuardDuty 料金ページですべての詳細をご確認いただけます。
今すぐ GuardDuty ECS Runtime Monitoring を有効にして、コンテナの脅威に関するインサイトを得ましょう。
原文はこちらです。