Threat Stack により AWS Fargate 上の Amazon EKS を簡単に監視できる方法
Threat Stack は現在、 F5 Distributed Cloud App Infrastructure Protection (AIP) です。 今すぐチームで Distributed Cloud AIP を使い始めましょう。
これは、UI およびエージェントのシニア テクニカル プロダクト マネージャーである Amber Bennoui と、AppSec エンジニアリング担当 VP である Sabin Thomas が共同で執筆したブログ投稿です。
Fargate とは何ですか?
2017 年に AWS によってリリースされた Fargate は、サーバーや仮想マシンのクラスターを管理することなくコンテナをデプロイおよび実行するサーバーレス コンピューティング エンジンです。 Fargate は、追加のインフラストラクチャを管理する必要性を排除することで、運用チームと開発者が得意とする業務、つまりアプリケーション コードの開発とデプロイに集中できるようにします。
Fargate を使用すると、AWS、ECS、EKS のいずれのコンテナに対しても、オンデマンドで適切なサイズのコンピューティング能力をプロビジョニングできます。 Threat Stack はこれまで Fargate 上の ECS の可視性を提供してきましたが、現在では Fargate 上の EKS にも同じ機能を導入できることを嬉しく思っています。 Threat Stack は、EKS と ECS の両方をカバーする数少ないクラウド セキュリティ プロバイダーの 1 つです。ワークロードを保護し、悪意のあるプロセスとネットワーク アクティビティを探すことで、これらの環境内でのデータ流出などの脅威から積極的に保護します。 これは、Threat Stack エージェントによって東西および南北のネットフローの監視が可能になり、Fargate 環境を完全に可視化できるようになるためです。 このブログでは、Threat Stack が Fargate EKS に提供する検出機能を包括的に見ていきます。
AWS Fargate で Amazon EKS を使用する理由
ネイティブ Kubernetes を実行していて、クラスターの保守と管理に必要な負担を軽減したい場合、Fargate 上の Amazon EKS は最適な選択肢です。 Fargate は、機械学習アプリケーションやマイクロサービス アーキテクチャ アプリケーションなど、使用される可能性のあるすべての一般的なコンテナのユースケースをサポートしています。 さらに、EC2 インスタンスをプロビジョニングまたは管理せずにコンテナを起動できるため、ユーザー側で完全な制御を必要としないアプリケーションは Fargate に最適です。
Fargate で EKS を実行すると、Kubernetes と環境内の基盤となるインフラストラクチャの両方を維持するための労力が少なくなるため、DevOps やセキュリティなど、複数の部門を運営しているマネージャーにとって、これは強力なオプションとなります。 ただし、Fargate で EKS を実行すると、AWS にセキュリティ上の負担がいくらかかかることになりますが、完全にカバーされるわけではありません。 これは、Fargate が共有セキュリティ責任モデルをクラウドのセキュリティからクラウド内のセキュリティに移行しているためです。
以下に示すように、AWS は AWS クラウドで AWS サービスを実行するインフラストラクチャを保護する責任を負います。 Fargate EKS の場合、AWS はコントロールプレーンノードや etcd データベースを含む Kubernetes コントロールプレーンを担当します。
顧客の責任と AWS の責任を示す AWS Fargate EKS の共有責任モデル。
AWS によれば、「セキュリティとコンプライアンスは AWS と顧客の共同責任です。」 この共有モデルは、ホストオペレーティングシステムや仮想化レイヤーから、サービスが稼働する施設の物理的なセキュリティに至るまでのコンポーネントを AWS が運用、管理、制御するため、顧客の運用上の負担を軽減するのに役立ちます。」 その結果、Threat Stack では、共有責任モデルを念頭に置いて AWS 機能を適応させることが極めて重要になりました。 したがって、Threat Stack を構成して Fargate EKS のネットワーク構成とアプリケーション プロセスを完全に可視化することは、共有責任モデルの「顧客」側を満たしながら、わずか数分で完了できます。
インストールと設定
以下は、EKS Fargate 上のサンプル アプリケーションで Threat Stack の実行を開始するための簡単な 3 ステップのプロセスです。
1. まず、アプリケーション コンテナと Threat Stack コンテナの両方からアクセスできる共有ボリュームを Kubernetes デプロイメントにマウントします。
2. 次に、エージェントの初期インストルメンテーションを可能にするために、 initContainerを使用して既存の Kubernetes デプロイメントを更新します。
3. 最後に、アプリケーション コンテナーが起動したときに実行される Threat Stack サイドカーを追加します。
Threat Stack を使用して AWS Fargate 上の Amazon EKS を安全に監視する
Fargate EKS で実行されているアプリケーションに Threat Stack エージェントがデプロイされると、Threat Stack プラットフォームにイベントが表示され、これらのイベントに Threat Stack 管理ルールを適用したり、カスタム ルールを作成したりできるようになります。
Threat Stack は、Fargate EKS 環境における次のアクティビティをリアルタイムで監視および検出します。
- インタラクティブセッション
- SSHDバイナリ
- データ流出の試み
- 予期しないネットワーク接続
Threat Stack イベントは重要なコンテキストを高レベルで明らかにし、ユーザーはプロセスとネットワーク イベントのメタデータ、期間、特定のワークロードの両方についてフォレンジック調査を迅速に実行できます。
Fargate プロセス イベントの概要ビュー。
Threat Stack のマネージド Fargate ルール セットの概要。
Threat Stack の管理ルールまたはカスタム ルールに一致する Fargate プロセスまたはネットフロー イベントは、環境を即座に可視化できる実用的なアラートを生成します。
脅威スタックがグループ ビューで Fargate アラートを検出しました。
AWS Fargate 上の Amazon EKS に対する Threat Stack サポートは、2021 年 8 月に一般提供される予定です。
Threat Stack は現在、 F5 Distributed Cloud App Infrastructure Protection (AIP) です。 今すぐチームで Distributed Cloud AIP を使い始めましょう。