Trend Vision One Container SecurityをECS Fargate環境で構築してランタイム監視してみた

こんにちは、シマです。
皆さんはTrend Vision Oneを使っていますか？今回はTrend Vision Oneの中でも個人的に注目しているContainer Securityについてです。
Trend Vision One Container Security(以降V1CS)は、2023年9月にリリースされたコンテナ環境に対するセキュリティ強化ソリューションです。Cloud One Container Securityでは未対応だったECS Fargate環境にも、現時点では限定された機能ではありますが、対応しているという点からとても注目しています。

V1CSはECS Fargate環境で何ができるの？

コンテナのイメージスキャン、ランタイム監視(ログ出力のみ)、ランタイム脆弱性検索の3つのことができます。
コンテナのイメージスキャンは、コンテナデプロイ前のイメージをスキャンし、脆弱性や不正プログラム検出をします。ランタイム監視(ログ出力のみ)は、コンテナ内部での不信な挙動を監視し、ログの出力を行います。ランタイム脆弱性検索は、稼働中の各コンテナに含まれる脆弱性を可視化します。

ランタイム監視(ログ出力のみ)を見てみる

今回の構成はシンプルに以下のような構成にしています。

ECSやV1CSの詳細な構築手順については割愛しますが、ECS Fargate環境でのランタイム監視はサイドカーとしてV1CSモジュールを配置して監視するような仕組みになっています。

AWS CloudShellからECS Execによりアプリケーションが動作しているmainコンテナへログインします。

aws ecs execute-command \
>     --cluster cluster \
>     --task xxxxxxxxxxxxxxx \
>     --container main \
>     --interactive \
>     --command "/bin/bash"

The Session Manager plugin was installed successfully. Use the AWS CLI to start a session.

Starting session with SessionId: ecs-execute-command-xxxxxxxxx
bash-5.2#

毎度お世話になっているEICAR テストファイルをコンテナ内にダウンロードしてみます。

bash-5.2# wget https://secure.eicar.org/eicar.com

この状態でTrend Vision Oneコンソールを見てます。
Trend Vision Oneコンソールへログインし、左ペインの「CLOUD SECURITY OPERATIONS」から「Container Security」→「Container Protection」を選択します。

表示される画面から、「Events」→「ECS Runtime」を選択することで出力されたログを確認することができます。

今回のアクションはルール「Create Hidden Files or Directories」、「Launch Ingress Remote File Copy Tools in Container」にて検出することができました。ルール名からわかるようにファイルの取り込み自体がトリガーになっているようで、不正プログラム検出をしたわけではないようです。
※不正プログラム検出用のルールはなさそうです。

下図は一例ですがこの他にも多数のルールセットが用意されているので、必要に応じて追加をして対応することができます。

最後に

今回はECS Fargate環境でV1CS動作させ、ランタイム監視(ログ出力のみ)の動きを見てみました。ECS Fargate環境では利用できる機能がまだまだできることが少ないですが、個人的には不正プログラム検出やその隔離みたいな動きができるようになってくれるとうれしいなと思っています。

本記事がどなたかのお役に立てれば幸いです。