DevelopersIO 2024 Tokyo で Sysdigを使ったコンテナセキュリティのハンズオンをやってみた #devio2024
「DevelopersIO 2024 Tokyo」でコンテナセキュリティのハンズオン
2024.08.01はじめに
お疲れさまです。とーちです。
2024/6/20に開催された「DevelopersIO 2024 Tokyo」というイベントで、"【ハンズオン】ECSベストプラクティスに沿ってSysdigでセキュアなコンテナ運用をしよう!"というタイトルでハンズオンをしました。
本記事では上記イベントの中で実施したハンズオン資料をご紹介します。
ハンズオン資料
資料概要
詳細については上記のリポジトリのREADMEをご参照頂ければと思いますが、以下の要素を含むハンズオンとなっています
- TerraformとGitHub Actionsを使ったインフラ部分のCI/CDの実施
- ecspressoとGitHub Actionsを使ったコンテナイメージスキャンとECSへのアプリケーションデプロイ(※要Sysdigライセンス)
- Sysdig Secureのランタイムモニタリングで脅威の検知(※要Sysdigライセンス)
- AWS Distro for OpenTelemetryを使ったトレースの確認
コンテナイメージスキャンとランタイムモニタリングの部分については申し訳ないのですが、このハンズオンではSysdigライセンスが必須となります。
後日、AWSネイティブなサービスに置き換えたハンズオンも作成出来ればと考えています。
事前準備
ハンズオン実施にあたっては事前に以下のものが必要です
- AWSアカウントとそのアカウントにAdministratorAccess権限でアクセスできるIAMユーザやIAMロール
- Terraform Backend用リソース(S3バケット)
- Cloud9※にアタッチするAdministratorAccess権限をもったIAMロール(ハンズオンでは一部Cloud9からTerraform applyする場面があるため)
※Cloud9については2024/8/1現在、一部のアカウントでの新規利用が制限されています。ハンズオンの記載もこれに沿ってCloud9以外の方法に書き換えを予定しています
感想
初めてのハンズオンイベント開催にあたり、資料作成には予想以上の労力を要しましたが、この過程を通じてコンテナセキュリティへの理解を大きく深めることができました。当日は不慣れな進行にもかかわらず、ご参加いただいた皆様の熱心な姿勢に心から感謝申し上げます。
予期せぬトラブルが多発する中、イベントをなんとか進行できたのは、サポートメンバーの皆様のおかげです。Sysdig川端様、たかくにさん、こーへいさんありがとうございました!
![[AWS CDK] Step Functions の EcsRunTask でタスクサイズをオーバーライド可能になりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-5f8ac6d1392d52f09eefb00a5ad1b303/fceee02f9b8607d60014a828933bc45b/aws-step-functions)
