AWSのfargate使っているんですが、今度IPS/IDSを入れることになりました。ClassMethodのre:inventのブログでfargateにはIPS/IDSが要らないとか書いていたので裏取ってサポートに聞いてみたら、アプリ層には必要だという回答が返ってきました。ブログ全部信じちゃいけないよー。
で、調べました。候補に挙がったのはsysdig、Prisma Cloud、AQUAの3つ。他にもあるんですが、この3強。
sysdigは中規模企業を主に(メルカリ、ヤフーなどの最大手も使ってる)AWSのマーケットプレイスで販売していたり、SCSKを代理店元とし、5社ほど販売会社があり、サポートはSCSKがするという形になってます。sysdig日本法人はあって、売っては居るのですがいかんせん、小規模でサポートに手が回りにくいのが現状です。安いからとマーケットプレイスから買って、本国とのコミュニケーションに辟易した会社が2倍の料金払ってSCSKと契約するそうです。
ちなみにsysdigの技術力は高く、AWSやGCPからこれ作ってと依頼が来て作っているので先行してます。動かしてあんまり重くもならないようで、これで時間毎の料金だったらと思っています。
ただ、欠点はちょっと難度が高いということ。導入、操作、両方とも。使うときはSCSK経由で買ってください。英語が堪能なら分かりますが、サポートなしで使おうとするとたいへんですよー。
Prisma Cloudはリソースや攻撃状況を図や地図にして表示できるのが特徴で、日本語版があります。sysdig日本語化してない(翻訳すればOKの立場)のでそれはいいかな。導入も操作も簡単で大企業の導入が多いようです。sysdigはシステムコールを拾ってるからパフォーマンスが高いという話ですが、Prisma Cloudのインテリジェントウェイブ社に訊いたところ、web情報は古いか偏っていて今は遜色ないとの回答。コンプライアンスのレポート出力もあるので顧客からの要求にも安心。
AQUAは必ず選択肢に上がって導入企業も結構あるんですが、上記2強の間でそれほどでもない感じ。まあ、他にも8製品ほどあるんですが、それ考えると頑張っている方かも。とりあえず、今後考慮対象にするかもしれません。
と、いったところで今の職場の契約が切れるので、その後どうなっているのかわかりません。ご選定のご参考まで。
2024/10/22
AWS GuardDuty ECS Runtime Monitoringというコンテナ用のサービスがあります。これは、主にIDS(侵入検知システム)の役割を果たすものです。具体的には、ECSクラスターで実行されているコンテナに対する脅威をリアルタイムで検出し、潜在的なセキュリティインシデントのアラートを提供します。
ただし、IPS(侵入防止システム)の機能はありません。つまり、検知するだけで、攻撃を自動的にブロックすることはしません。IPS的な機能が必要な場合は、他のAWSサービス(例えば、AWS WAFやSecurity Groups、Network ACLなど)や外部のセキュリティソリューションと連携する必要があります。
IPSはAWS Network FIREWallが担当するので、この2つを組み合わせるか、トレンドマイクロ製品がコンテナ対応しているのでそちらで。
コメント