JAWS-UG和歌山第0回キックオフミーティング

  • 1,017 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,017
On Slideshare
0
From Embeds
0
Number of Embeds
3

Actions

Shares
Downloads
4
Comments
0
Likes
5

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. (C)Copyright 1996-2014 SAKURA Internet Inc. クラウドとセキュリティ ∼運用現場における実際∼ JAWS-UG和歌山第0回キックオフミーティング さくらインターネット株式会社 田中邦裕 (@kunihirotanaka) 14年3月29日土曜日
  • 2. 2 JAWS-UG WAKAYAMA 14年3月29日土曜日
  • 3. • 名前   :田中邦裕(たなかくにひろ) • 年齢   :36歳 • 出身   :大阪(今も一応、大阪在住) • 好きなAWSサービス:Amazon S3 • 趣味 • プログラミング – 計算機科学方面ではなく、何かを動かすのが好き • 電子工作 – ラジオからAVR(マイコン)まで • DTM – SC-55を皮切りにパソ通などにアップしていた • 旅行&鉄道 – 北海道から沖縄まで国内専門、あと乗り鉄 自己紹介 3 @kunihirotanaka http://facebook.com/kunihirotanaka 14年3月29日土曜日
  • 4. 日曜プログラミングしています 4 • さくらのクラウドも最初は個人で作ってました • 昔はApacheドキュメント翻訳やってました • いわゆるジェネレーター系サイトやってます 14年3月29日土曜日
  • 5. 日曜プログラミングしています 5 • さくらのクラウドも最初は個人で作ってました • 昔はApacheドキュメント翻訳やってました • いわゆるジェネレーター系サイトやってます ちなみに2009年の開始当初はEC2上で動いていました 14年3月29日土曜日
  • 6. 日曜プログラミングしています 6 14年3月29日土曜日
  • 7. 日曜プログラミングしています 7 14年3月29日土曜日
  • 8. 日曜プログラミングしています 8 14年3月29日土曜日
  • 9. 9 • さくらインターネットの紹介 14年3月29日土曜日
  • 10. さくらインターネットの紹介 10 1996年 京都府舞鶴市にて創業 1998年 大阪市中央区へ移転 1999年 株式会社化、東京支社開設 大阪・東京へIDCを新設 2005年 東証マザーズへ上場 2011年 石狩IDCを新設 06/3期 07/3期 08/3期 09/3期 10/3期 11/3期 12/3期 13/3期 8678731,194 723 34985 -162 207 9,4829,164 8,584 7,812 7,106 6,204 4,398 2,758 売上高 経常利益 商号 さくらインターネット株式会社 本社所在地 大阪市中央区南本町一丁目8番14号 設立年月日 1999年8月17日 (サービス開始は1996年12月23日) 取締役 代表取締役 社長 田中 邦裕 取締役 副社長  舘野 正明 取締役      川田 正貴 取締役      村上 宗久 取締役(社外)  野村 昌雄 上場年月日 2005年10月12日(東証マザーズ) 決算 3月末日 資本金 8億9,530万円 従業員数 225名 1996年からサービスを行う データセンター・ホスティング事業者です 14年3月29日土曜日
  • 11. さくらインターネットの事業 11 10 0% 25% 50% 75% 100% 当社サービス別売上高構成比 (’13/3期) その他 ホスティング 58.2% ハウジング 32.8% データセンターサービス ホスティング 仮想ホスティング: 物理ホスティング: ・VPS・クラウドサービス ・専用サーバサービス ・レンタルサーバサービス コロケーション スペース貸し  : ラック貸し   : ・ハウジングサービス 既存サービス 新たなサービス ・大規模ハウジング案件 (石狩DC) データセンターサービスを幅広く手掛けるが、 近年ではクラウド・ホスティング系が2/3以上に 14年3月29日土曜日
  • 12. 数字で見るさくらインターネット(四半期決算) 12 (金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円)(金額:百万円) 科目名 ‘13/3期‘13/3期‘13/3期‘13/3期 ’14/3期’14/3期’14/3期 前四半期比前四半期比 科目名 Q1 Q2 Q3 Q4 Q1 Q2 Q3 増減額 増減率 ハウジング 760 757 786 805 793 776 716 ▲59 ▲7.7%  構成比 32.5% 32.5% 33.2% 33.0% 32.1% 31.3% 28.3% 専用サーバ 751 729 686 688 679 656 644 ▲12 ▲1.8%  構成比 32.1% 31.3% 29.0% 28.2% 27.5% 26.5% 25.4% レンタルサーバ 463 475 489 504 517 537 548 10 1.9%  構成比 19.8% 20.4% 20.7% 20.7% 20.9% 21.7% 21.6% VPS・クラウド 143 155 200 232 260 286 319 33 11.8%  構成比 6.2% 6.7% 8.5% 9.5% 10.5% 11.5% 12.6% その他 221 212 207 210 222 221 305 84 37.9%  構成比 9.4% 9.1% 8.7% 8.6% 9.0% 8.9% 12.1% 中でも、VPS・クラウドは高い伸び 14年3月29日土曜日
  • 13. 13 セキュリティとは何か 14年3月29日土曜日
  • 14. 情報セキュリティの3要素 14 http://www.jts-japan.co.jp/element/ 機密性 完全性 可用性 バックアップと復旧 (性能と保管方法) 更新管理(履歴) 悪意のあるコードの侵入防止 強制アクセス制御 強制完全性制御 完全性 (データやソフトウェアの完全性保護や否認防止) 構成管理(保管上の完全性に関する効率性を確保するポリシー) 識別と認証 アクセス制御 アカウント管理 監査(侵入検査を含む) 最少特権 セッションコントロール リソースコントロール 機密ラベル(情報の重要度を格納するもので強制アクセス制御で使用) 電源冗長 モニタリング Dos攻撃防御 コンテンジェンシープラン 期待される応答時間の維持 バックアップと復旧(手順、他のシステムに影響を与えない構造) 14年3月29日土曜日
  • 15. 情報セキュリティの階層構造 15 データ アプリケーション OS サーバー ネットワーク データセンター アクセス制御、ユーザー管理 ソースコード管理、セキュアな開発 パッチ管理、マルウェア対策 故障検出、資産管理 侵入検知、DDoS対策、スプーフィング対策 物理アクセス管理、入退室管理、 14年3月29日土曜日
  • 16. クラウド利用における重要な事 16 クラウド利用における セキュリティの確保は 事業者・利用者の両方によって 担保される 14年3月29日土曜日
  • 17. よくある誤解 17 クラウドって 自分でサーバーを管理するより セキュリティが心配 14年3月29日土曜日
  • 18. よくある誤解 18 クラウドって 自分でサーバーを管理するより セキュリティが心配×プロが管理した方が、信頼性が高い 14年3月29日土曜日
  • 19. よくある誤解 19 クラウドだったら セキュリティを気にしなくても いいんでしょ? 14年3月29日土曜日
  • 20. よくある誤解 20 クラウドだったら セキュリティを気にしなくても いいんでしょ?×結局、最低限の管理は必要。 「インストールして終わり」ではない 14年3月29日土曜日
  • 21. サービス毎の責任分界点 21 タイプ サーバ 所有 OS管理 コンテンツ 管理 サーバ 設置場所 共有/ 専有 自社所有 お客様 お客様 お客様 お客様 専有 コロケーション お客様 お客様 お客様 事業者 専有 専用サーバ 事業者 お客様 お客様 事業者 専有 IaaS 事業者 お客様 お客様 事業者 共有 共用サーバ SaaS/PaaS 事業者 事業者 お客様 事業者 共有 14年3月29日土曜日
  • 22. 22 「サイバー攻撃」について 14年3月29日土曜日
  • 23. サイバー攻撃について 23 防衛省・自衛隊のページによれば、サイバー攻撃につい て、確立した定義は無いが、一般的には、情報通信ネット ワークや情報システムを利用して行われる、以下のような 行為等を指すとされる。 • 不正侵入 • データの窃取・破壊 • 不正プログラムの実行 • DDoS攻撃(分散サービス不能攻撃) 14年3月29日土曜日
  • 24. 被害を受けた場合、加害者になる場合も少なくない 24 攻撃を受ける [被害者] 例:パスワードクラック 攻撃を行う [加害者] 例:spam送信、DoS攻撃、フィッシングサイト 第三者、他のユーザへの影響 例:DNSBLへの登録 14年3月29日土曜日
  • 25. 被害者側として受ける攻撃の種類(1) 25 1.パスワードをクラックする  パスワードの種類  ・FTP  ・SSH  ・メール  ・CMS等のWebアプリケーション  手法  ・ブルートフォース  ・漏えいしたリストを利用 14年3月29日土曜日
  • 26. 被害者側として受ける攻撃の種類(2) 26 2.公開サービスの設定不備を利用する  踏み台にされるサービスの例  ・DNS  ・NTP  ・メールサーバ 3.DoS攻撃(Denial of Service attack)  大量の通信を発生させることにより、サーバや通信を  麻痺させる  分散した多数のサーバから一斉に行われるケースが多い (DDoS… Distributed DoS) 14年3月29日土曜日
  • 27. 加害者側として発生させてしまう攻撃手法 27 1.spam送信 2.不正アクセス 3.サイト改竄  −フィッシングサイト  −マルウェア設置 14年3月29日土曜日
  • 28. その他、派生する問題 28 1.DNSBLへの登録  メール受信の拒否・遅延 2.周辺のお客様への影響  共用サーバにおける、負荷の上昇等 3.管理責任が問われる  警察からの問合せが寄せられる場合も 14年3月29日土曜日
  • 29. 攻撃手法ごとの対応方法の分類(共用サーバ) 29 攻撃手法攻撃手法 お客様での対応 当社での対応 1.パスワード クラック ブルートフォース 強度の高いパスワードを設 定する ・強度の低いパスワードが設定できないよう にする(対応1) ・メールパスワード漏洩と見られるspam送 信の監視(対応2) ・Fail2banによる接続制限を実施 ・メール送信通数制限 1.パスワード クラック 漏洩したリストを使用 パスワードをサービスごと に別にする。 ・通報を受けた場合、警告等の対応を行う 2.公開サービス の設定不備 DNS、NTP、メール サーバ 対応不可 ※Webコンテンツは除く ・サーバの設定、日々のメンテナンスを適切 に行う(対応3) 3.DoS攻撃 対応不可 ・検知、対応システムによる、早期発見、早 期対処(対応5) 当社が管理者権限を有するサーバ(「さくらのレンタルサーバ」等) 14年3月29日土曜日
  • 30. 攻撃手法ごとの対応方法の分類(専用サーバ/IaaS) 30 攻撃手法攻撃手法 お客様での対応 当社での対応 1.パスワード クラック ブルートフォース 強度の高いパスワードを設定 する ・Fail2banをOS初期イメージへ同梱、及び 自動検知・遮断システムの構築(対応4) ・サーバ停止状態でのサービス提供開始 (VPS) 1.パスワード クラック 漏洩したリストを 使用 パスワードをサービスごとに 別にする ・通報を受けた場合、警告等の対応を行う 2.公開サービスの 設定不備 DNS、NTP、メー ルサーバ サーバの設定、日々のメンテ ナンスを適切に行う ・通報を受けた場合、警告等の対応を行う 3.DoS攻撃 対応不可 ・検知、対応システムによる、早期発見、 早期対処(対応5) お客様が管理者権限を有するサーバ(「さくらのVPS」等) 14年3月29日土曜日
  • 31. 31 当社での取り組みの例 14年3月29日土曜日
  • 32. レンタルサーバにおけるSymlink Attacks対策 32 • Symlink Attacksとは 同サーバの別ユーザのファイルへシンボリックリンクを張り、自 分のURLから該当のファイルへのアクセスができるようにする手 法。 • 対策手法 ホスト側で、ユーザーを越えてシンボリックリンクをはれないよ うに対策。(SymlinksIfOwnerMatch) 14年3月29日土曜日
  • 33. • 不正接続検知及び接続拒否を行うツール「Fail2ban」の OS初期イメージへの同梱。 • 自動検知・遮断システムの構築 SSHブルートフォース攻撃への対応 33 OS初期イメージ Fail2ban 14年3月29日土曜日
  • 34. DoS攻撃への対応 34 • DoS攻撃とは – 直訳すると、“サービス不能攻撃” – 攻撃対象ホストに、無関係なパケットを大量に送りつけることによって、 そのホストが提供するサービスが正常に提供できなくなるように外部から 攻撃を行うこと。 • 単純に帯域を食いつぶす • 帯域は少なくとも、セッションを食いつぶす • セキュリティホールをつくクラックもDoSといえばDoS • DNSオープンリゾルバ、NTPを踏み台とした攻撃が増加してい る。 • 大量トラフィックの検知及びパケット破棄の仕組み(RTBH)を 構築 14年3月29日土曜日
  • 35. スイッチ RTBHとは? 35 • Remote Triggered Black Holeの略 – DoS攻撃の宛先IPアドレスを、内部BGPで特殊な宛先(事前に仕込む)宛に広報し、 ボーダルータで破棄する仕組み ボーダルータ DoS サーバ サーバ DoS DoS DoS RTBH有りの場合RTBH 無しの場合 スイッチ ボーダルータ DoS サーバ サーバ 14年3月29日土曜日
  • 36. DoS攻撃が発生した時の対応フロー 36 DoS攻撃発生! 数秒でアラート発砲 WebUIでクリックするだけでRTBH! 対応終了 14年3月29日土曜日
  • 37. DoS攻撃に対する今後の対策 37 DoS攻撃への対応について  [これまで]  ・該当するアドレスの通信全てを除外  [新たな取り組み]  ・該当するアドレスに関する通信のうち、   DoS攻撃の通信のみを除外し、それ以外の   通信は可能な状態にする 14年3月29日土曜日
  • 38. 最後に 38 事業者に任せられるものは任せる方が良い 全部任せる事はできない事を理解する 14年3月29日土曜日
  • 39. あと 39 エンジニアを募集しています! 14年3月29日土曜日
  • 40. 40 ご清聴ありがとうございました • フィードバック、感想よろしくお願いします • 他のイベントにも、ぜひ呼んでいただければ幸いです – ハッシュタグ #sacloud – 公式Twitter  @sakuracloud 14年3月29日土曜日