コンテナランタイムを保護するツール「Falco」のセキュリティログをAmazon Security Lakeに送信できるようになりました #reinvent

2022.12.01

prismatixのとばち(@toda_kk)です。

現在開催中のAWS re:Invent 2022にて、セキュリティログ管理のための新サービスである Amazon Security Lake が発表されました。詳細については上記の記事をご参照ください。

この新サービスに関連して、コンテナランタイムセキュリティを提供するOSSであるFalcoというツールがあるのですが、コンテナランタイムから取得できるセキュリティログをAmazon Security Lakeに対して送信できるようになったというアナウンスがありました。

具体的には、Falcoから取得できるログをさまざまな出力先に送信できるFalcosidekickというツールがAmazon Security Lakeに対応した形になります。

Falco/Falcosidekickとは?

Falcoは、Sysdig社が中心となって開発され、現在はCloud Native Computing Foundation(CNCF)という団体に寄贈されているOSSツールです。

コンテナランタイムセキュリティにおいては、デファクトスタンダードと言えるようなツールとなっています。

詳細については、下記の記事や登壇資料をご参照ください。

Falcosidekickは、Falcoによるイベント通知やセキュリティログを収集するためのプラグインであり、以前から下記のAWSサービスに対してログを送信することができました。

  • Cloudwatch Logs
  • S3
  • Lambda
  • SQS
  • SNS
  • Kinesis

Amazon Security Lakeでは、Open Cybersecurity Schema Framework(OCSF)というオープンフォーマットによってセキュリティログを管理できるのですが、今回Falcosidekickがバージョン2.27.0でこのフォーマットをサポートしたことにより、Security Lakeに対して直接セキュリティログを送信できるようになったというわけです。

Falco/Falcosidekickの利用方法

Falco/Falcosidekick共に、Amazon ECR Public Registryで公式からコンテナイメージが提供されているため、AWS上で稼働しているコンテナワークロードに対して簡単に適用できるようになっています。

具体的な手順については、上述の記事や登壇資料をご参照ください。

Amazon Security Lakeの幅広さに期待大

今回のアナウンスによって、AWSから提供されるサービスだけではなく、サードパーティのツールからもAmazon Security Lakeに対してセキュリティログを送信し一元的に管理できるようになる、ということが実感できました。

まだPreview段階の新サービスではありますが、対応範囲の幅広さに大きく期待しています。

以上、prismatixのとばち(@toda_kk)でした。