こんにちは、ひろかずです。
Dockerコンテナが稼働するContainer InstanceにDeep Security Agentを導入する需要があるので、一筆書きます。
2016年4月8日追補
dockerは、ホストとContainer間の通信をiptablesでnatするため、暗黙的にiptablesを使用します。
Deep Security Agentは、起動時にiptablesを停止するので、事前にiptablesに影響を及ぼさない措置を取っておく必要があります。
参考記事
NATサーバにDSAをインストールする(Deep Security 9.5 / DSaaS)
前提
- Deep Security Manager 9.6、またはDSaaSの導入が完了していること。
- ライセンスを投入していること。
- Container Instanceを配置するVPC, Subnet, SecurityGroupが存在すること。
- Container Instanceを配置するAWSアカウントのクラウドアカウントが登録済みであること。(参照:Auto ScaleしたインスタンスをDeep Securityで管理する)
参照情報
- Amazon EC2 Container Service:よくある質問:セキュリティ
- Amazon EC2 Container Service:Developer Guide: Getting Started with Amazon ECS
- suz-lab - blog:CloudFormationで"Container Instance"が"Auto Scaling"で管理されているECSのクラスターを作成してみた
目的とゴール
- CloudFormationで起動時にDeep Security Agentをインストール/有効化したContainer InstanceがAuto Scalingで管理されているECSのクラスターを作成する。
- Docker Containerで稼働するWebサービスに向けた攻撃通信をDeep Securityが検知する。
構成はこんな感じです。
工程
- CloudFormationテンプレートを用意する。
- CloudFormationテンプレートを実行する。
- Task Definitionsを設定する
- Docker Containerで稼働するWebサービスに向けた疑似攻撃通信を送信する。
1. CloudFormationテンプレートを用意する。
今回は、suz-lab - blog:CloudFormationで"Container Instance"が"Auto Scaling"で管理されているECSのクラスターを作成してみたで公開されているCloudFormationテンプレートをベースに、UserDataにDeep Security Agentをインストール/有効化するコマンドを追加します。
CloudFormationテンプレート
こちらに上げておきました。
Deep Securityインストール/有効化のために変更したポイントは以下です。
- wgetのインストール
- Deep Security Agent有効化時にpolicyが適用されますが、モジュール導入の時間を考慮して、ハートビートコマンドの実行と待ち時間を入れています。
- 今回はUserDataを用いましたが、実装に応じてCloudInitを用いる等検討してください。
- 使用するには、
dsm-ipaddressとpolicyid:XXを実際の値に置き換える必要があります。
"UserData": { "Fn::Base64": { "Fn::Join" : [ "\n", [
"#!/bin/bash",
"yum install -y wget",
"wget https://dsm-ipaddress.194:4119/software/agent/amzn1/x86_64/ -O /tmp/agent.rpm --no-check-certificate --quiet",
"rpm -ihv /tmp/agent.rpm",
"sleep 10",
"/opt/ds_agent/dsa_control -a dsm://dsm-ipaddress:4120/ \"policyid:XX\"",
"sleep 10",
"/opt/ds_agent/dsa_control -m",
"sleep 10",
"/opt/ds_agent/dsa_control -m",
"sleep 10",
"yum -y update",
"grubby --default-kernel | grep `uname -r` || reboot",
{ "Fn::Join" : [ "", [
"echo ECS_CLUSTER=",
{ "Ref": "Cluster" },
" >> /etc/ecs/ecs.config"
] ] }
] ] } }
2. CloudFormationテンプレートを実行する。
先のテンプレートでCreate Stackを実行し、以下のように設定します。
以下のようにECSクラスタが作成されます。
(この時点では、Running tasksは0です。)
この時点で、Deep Security Managerで2つのコンピュータが有効化されてますね。
ポリシーの中身はこんな感じです。
今回は、試験通信としてSQL Injectionを用いるので、SQL Injection用のルールを適用しました。
3. Task Definitionsを設定する
次にContainer Instanceで稼働するWebサービスを設定します。
今回は、httpリクエストを受けられるよう、apacheが稼働するContainerを設定します。
Task Definitionsから、 Create new Task Definition を選択します
Task Definition名を入力して、 Add container を選択します。
参考情報:Amazon EC2 Container Service:Developer Guide: Getting Started with Amazon ECSを参考に以下のように設定します。
作成したTask DefinitionをECSクラスタに設定します。
作成したTask Definition画面にてRun Taskを選択し、→
→ 実行させるECSクラスタを選択します。
すると、ECSクラスタのステータスが以下のように変わります。
ポート80で待受を開始してますね。
# netstat -luntp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
:
tcp 0 0 127.0.0.1:51678 0.0.0.0:* LISTEN 2494/docker-proxy
tcp 0 0 :::80 :::* LISTEN 2795/docker-proxy
tcp 0 0 :::4118 :::* LISTEN 1969/ds_agent
:
アクセスするとこんな感じです。
4. Docker Containerで稼働するWebサービスに向けた疑似攻撃通信を送信する。
こんなリクエストを投げてみます。
検知しました。
2016年4月8日追補
dockerは、ホストとContainer間の通信をiptablesでnatするため、暗黙的にiptablesを使用します。
Deep Security Agentは、起動時にiptablesを停止するので、事前にiptablesに影響を及ぼさない措置を取っておく必要があります。
参考記事
NATサーバにDSAをインストールする(Deep Security 9.5 / DSaaS)
最後に
dockerコンテナにDeep Securityを導入することはできませんが、Container InstanceのNetwork InterfaceでDeep Securityが検査することはできます。
実装する際は、ポリシーにContainer内で使用されているミドルウェアに対応したルールを設定するよう注意してください。