AWS Fargateに最適な最新のコンテナセキュリティとは

AWS Fargateに最適な最新のコンテナセキュリティとは

公開日
2023年12月11日

まとめ

AWSインフラ担当兼セキュリティ担当者として、AWS Fargateの導入を検討されている方へ最適な、トレンドマイクロの最新コンテナセキュリティをご紹介します。
ご利用中の資産(セキュリティツール/契約)を活かして、仮想サーバと同レベルのセキュリティ対策を実装できれば、最適化と説明責任達成が可能です。
導入のステップとして、まずはAmazon Guard Dutyで包括的かつ簡便なベースラインを確保しましょう。
次に、Trend Vision One – Container Security™ によるマルウェア対策・リアルタイムのランタイムセキュリティをお勧めします。

●AWS Marketplaceからの購買のご相談はこちら

●ソリューションの詳細調査はこちら

本稿は2023/11/26時点の情報で記載している点に注意ください。

はじめに

AWSのコンテナ向けサーバレスコンピューティングサービス「AWS Fargate」。ホスト管理の必要なくコンテナを動かすことができ、非常に便利なサービスです。
サーバレスならセキュリティ対策のユーザ責任も"レス"になるのでは?とお思いの方、残念ですがサーバレスのAWS Fargate環境にもユーザが対策を講じなければいけないセキュリティの責任範囲が存在します。

AWSセキュリティの責任

AWSセキュリティは組織内の誰の責任か

AWSセキュリティは組織内の誰が責任を持つのでしょうか。
大規模な組織ではない場合、自社サービス基盤のAWS環境のインフラ担当の多くは、AWSセキュリティも担当しているでしょう。

AWSセキュリティ向上に対するインセンティブ

AWSセキュリティを向上するインセンティブはあるか

増え続けるクラウドリソースをインフラ担当として管理しながら、セキュリティの維持向上をすることは大変な労力でしょう。
特に、AWSセキュリティの組織内共通ポリシーが整っていない場合や、他部門が開発やビジネスを優先している状況では、負担は小さくありません。

将来のリスク

将来顕在化するリスクは何か

しかし、自社ビジネスの成長に合わせて、AWSセキュリティの悩みも増えていませんか。
例えば、開発速度の向上と運用コストの低減という課題に対して、Amazon EC2からAmazon Fargateへのコンテナ化が議論されているものの、セキュリティが組織内で十分に議論されていないこと。
サーバレスアーキテクチャに対する明確なセキュリティガイドラインが組織内にないこと。
実は既に一部の環境でヒヤリハットを経験していること。

解決策

セキュリティに100点はありません。まず第1歩を始めることが重要です。第1歩は、既存の体制・プロセス・手段を再利用できると、踏みだしやすくなります。特に、多忙なあなたには最適です。
ご利用中の資産を活かして、まずは、仮想サーバと同レベルのセキュリティ対策を実装しませんか。組織にとっての最適化と説明責任の達成が可能です。

課題 解決策 成果
コンテナ化 Amazon EC2同レベルのセキュリティ対策
(不正プログラム対策、ランタイムセキュリティ)
社外説明責任
ベンダー統合 ご利用中のツールと「同じ」ベンダーを選択 学習コスト最適化
購買 ご利用中の契約と「同じ」AWS Marketplace Private Offer 購買最適化
DX 組織内情シス/SOCと共通のセキュリティプラットフォームを利用する 組織最適化
社内説明責任

※AWS Marketplace Private Offerをご存じでない場合には、以下のコラムをご覧ください。

ソリューションステップ

ソリューションステップ

あなたがセキュリティを兼任する事業部門のAWSインフラ担当の場合、セキュリティサービスの最初の選択肢は、AWSネイティブサービスがよいでしょう。AWSネイティブのセキュリティサービスは、検知機能が主であるものの、費用や範囲、有効化の容易さから、小さな組織のセキュリティ担当者にメリットを提供します。

そのため、最初のステップとして、まずはAmazon GuardDutyで包括的かつ簡便なベースラインを確保しましょう。コンテナイメージに含まれる脆弱性監視と、オーケストレータに対する不正な操作に対する監視、コンテナに関わる不正通信の監視は、Amazon GuardDutyですぐにでも対策できるため、ぜひ活用ください。

次に、Trend Vision One – Container Securityによるマルウェア対策・リアルタイムのランタイムセキュリティをお勧めします。GuardDutyを補完して、より高度なセキュリティ機能を提供します。イメージや関連アーティファクトへのマルウェア対策、Fargate環境で稼働中のコンテナで発生する不審活動に対して、MITRE ATT&CKベースのルールによるリアルタイムな監視をTrend Vision One – Container Securityは提供します。あなたが、AWS MarketplaceでTrend Cloud Oneを購入して運用している場合、同じAWS Marketplaceで同じTrend Microの製品を購入して運用することは、オンボーディング体験をより一層簡便かつ効果的にします。

今後の動向として注目いただきたいことは、起動タイプFargateにおける稼働中コンテナのマルウェア対策です。2023/11時点では、Fargate環境の技術的な制約上、従来の対策通りに「マルウェア」の検知駆除は難しい状況です。ただし、現在Trend Vision One – Container Securityは、マルウェアかどうかは判定できないものの、コンテナ上の実行ファイルに対する監視を行うこと、およびマルウェア感染後の不審な挙動を検知することは可能です。例えば、デプロイ時には想定していなかった、不審な実行ファイルへの権限付与や実行と、それに伴うコンテナ内でのクレデンシャルファイルの捜索活動を検知することができます。今後この領域への機能改善は、多くのFargateユーザにとって待望のものであると考えております。Trend Microもお客様からのリクエストにお応えできるよう、検討を進めていければと思います。

注:図表には参考として、AWS Fargateでは考慮する必要のないホストも保護対象として記載しています。Trend Vision One – Container Securityは、起動タイプEC2もFargateも両方をサポートいたします。Trend Cloud One - Workload Security™ はコンテナ稼働ホストにマルウェア対策を提供します。
注:コンテナアプリへの不正通信を検知ではなく、防御したい場合にはTrend Cloud One - Network Security™ をご検討ください。

●更に詳しい情報をお求めの方へ

購買に向けて具体的なご相談はPrivate Offer申し込みフォームまでご連絡ください。

ソリューションの詳細調査はエンジニアとの打ち合わせをご利用ください。

監修

根本 恵理子

根本 恵理子

トレンドマイクロ株式会社 セキュリティエキスパート本部
セールスエンジニアリング部 サーバセキュリティチーム
ソリューションアーキテクト

CDN業界にて大規模なWebサービスの負荷分散やパフォーマンス改善、セキュリティ対策等の提案・導入を経験した後にセキュリティ業界へ転身し7年業務に従事。Trend Cloud Oneシリーズのソリューションアーキテクトとして、クラウド全体のセキュリティ対策の検討やストレージ環境に対するセキュリティ対策の普及に注力。またトレンドマイクロとAWSのアライアンスにてTech担当をしており、共催イベント、エンジニア連携企画等のリードに従事。

関連記事

新着記事