Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS IoT Device Defender による IoT デバイスのセキュリティ管理

414 views

Published on

JAWS Security 支部 第十一回:
AWS IoT Device Defender による IoT デバイスのセキュリティ管理

Published in: Technology
  • Be the first to comment

AWS IoT Device Defender による IoT デバイスのセキュリティ管理

  1. 1. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS IoT Device Defender による IoT デバイスのセキュリティ管理
  2. 2. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 自己紹介 名前: 園田 修平(そのだ しゅうへい) 所属: アマゾンウェブサービスジャパン株式会社 技術統括本部 ソリューションアーキテクト 担当: エッジコンピューティングを含む IoT 全般 2
  3. 3. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Agenda • AWS が提供する IoT サービス • AWS IoT Core がデバイスに提供するセキュリティ • AWS IoT Device Defender が解決する課題 • AWS IoT Device Defender 詳細 • デモ • まとめ
  4. 4. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS の IoT サービス Endpoints Gateway AWS IoT Core Greengrass Amazon FreeRTOS AWS IoT Device Management AWS IoT Device Defender AWS IoT Analytics AWS IoT Device SDK モノ センサー、実行 クラウド 保存、計算 知能 (Intelligence) 洞察と論理 → 実行 デバイスの導入、 管理、SWアップ デート デバイスの 監査と保護 IoTデータ分析と インテリジェン ス ローカルでの安全な トリガー、アクション、 データの同期 安全な デバイス接続と メッセージング
  5. 5. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Agenda • AWS が提供する IoT サービス • AWS IoT Core がデバイスに提供するセキュリティ • AWS IoT Device Defender が解決する課題 • AWS IoT Device Defender 詳細 • デモ • まとめ
  6. 6. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS IoT におけるセキュリティ Administrator Users Application Devices Management Console 1. デバイスと AWS IoT Device Gateway 間のセキュリティ 4. システム運用者と AWS IoT の Provisioning 系 API 間の セキュリティ 2. ユーザ(アプリ)と AWS IoT Device Gateway 間のセキュリ ティ 3. AWS IoT Rule Engine と AWS サービス間のセキュリティ 今日のスコープ
  7. 7. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS IoT がデバイスに提供するセキュリティ • デバイス単位の認証と認可の仕組みをサポート • X.509 証明書ベースの相互認証 • AWS IoT Core によって生成された証明書か、推奨される認 証機関(CA)によって署名された証明書を利用できる • 各証明書に任意のポリシーをマッピングできる
  8. 8. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. そもそも TLS を使った相互認証とは? 証明書 プライベートキー 証明書 プライベートキー 証明書 プライベートキー 通常の Web サーバの認証 AWS IoT における相互認証 各デバイスを認証するためのもの デバイスごとに異なる ユーザ ID パスワード 各ユーザを認証するためのもの ユーザごとに異なる
  9. 9. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS IoT における認可 • 各モノが、何をしてよいか、ポリシーとして定義して制 御する • Connect, publish, subscribe, receive • 定義したポリシーは証明書にアタッチされる
  10. 10. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. デバイスをセキュアにするための Best Practice • 各デバイスは、それぞれユニークな秘密鍵と証明書を利 用する • 証明書に付与するポリシーは最低限の権限を保持するよ う設定する
  11. 11. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 全デバイスで共通の秘密鍵を利用する場合の課題 • あるデバイスの鍵が Leak した場合に、全デバイスが revoke の影響を受ける AWS IoT Core Attacker 1. Attacker に より秘密鍵が取 得され、不正ア クセスされる 2. Operator に より証明書が revoke される 3. 全デバイスが AWS IoT に接続 できなくなる x x x x
  12. 12. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 各デバイスで固有の秘密鍵を利用する場合 • あるデバイスの鍵が Leak した場合に、対象のデバイス のみ revoke できる AWS IoT Core Attacker 1. Attacker に より秘密鍵が取 得され、不正ア クセスされる 2. Operator に より証明書が revoke される 3. 対象のデバイ スのみが AWS IoT に接続でき なくなる x x
  13. 13. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iot:*"], "Resource": ["*"] }] } ポリシー設定のアンチパターン
  14. 14. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 正しいポリシー設定の例 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iot:Connect"], "Resource": ["arn:aws:iot:us-east-1:123456789012:client/clientid1"] },{ "Effect": "Allow", "Action": [ "iot:Publish"], "Resource": ["arn:aws:iot:us-east-1:123456789012:topic/iotmonitor/1234"] },{ "Effect": "Allow", "Action": [ "iot:Receive"], "Resource": [" arn:aws:iot:us-east-1:123456789012:topic/iotmonitor/foo/bar/*"] }, { "Effect": "Allow", "Action": [ "iot:Subscribe"], "Resource": ["arn:aws:iot:us-east-1:123456789012:topicfilter/foo/bar/*"] }] }
  15. 15. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Agenda • AWS が提供する IoT サービス • AWS IoT Core がデバイスに提供するセキュリティ • AWS IoT Device Defender が解決する課題 • AWS IoT Device Defender 詳細 • デモ • まとめ
  16. 16. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoT におけるセキュリティの課題 今日デバイスが安全な状態であっても、明日も安全な状態 とは限らない どうすれば IoT デバイスの安全を維持できるのか 安全でなくなった状態を検出し、運用者に通知を行い、 進化を続ける脅威に対応すべく IoT デバイスも進化する
  17. 17. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoT デバイスの 設定をセキュア に保つ 異常な振る舞い を検出する アラートを 受け取る セキュリティ の問題を修正 する AWS IoT Device Defender が提供する価値
  18. 18. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Agenda • AWS が提供する IoT サービス • AWS IoT Core がデバイスに提供するセキュリティ • AWS IoT Device Defender が解決する課題 • AWS IoT Device Defender 詳細 • デモ • まとめ
  19. 19. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoT デバイスの 設定をセキュア に保つ 異常な振る舞い を検出する アラートを 受け取る セキュリティ の問題を修正 する デバイスの監査
  20. 20. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. デバイスの監査設定 • IoT デバイスに関連したリソース(証明書、 ポリシー)の設定が、セキュリティのベス トプラクティスに沿っているかを監査 • 定期的な監査(毎日、毎週)の実施、 または、必要なときにオンデマンドで実 施することができる(デプロイ後に問題が ないことを確認する, など) scheduled Ad-hoc
  21. 21. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 監査項目 Certificates Policies Device Connection Account Setting デバイス証明書 や CA 証明書の 有効期限切れ (が近づいてい ることを検出) 過剰な権限を付 与しているデバ イスの検出 同じ クライアン ト ID での接続 を検出 IoT Core のロ グが無効になっ ていることを検 出 Revoke された デバイス証明書 や CA 証明書 (が使われてい ることを検出) 過剰な権限を付 与している Cognito ID の 検出 証明書が共通で 利用されている ことを検出
  22. 22. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoT デバイスの 設定をセキュア に保つ 異常な振る舞い を検出する アラートを 受け取る セキュリティ の問題を修正 する デバイスの監査
  23. 23. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. デバイスの振る舞いの モニタリング • デバイスに紐づくセキュリティのメ トリクスを継続的に監視する • クラウド側で取得できるメトリクス と、クライアント側で取得し、クラ ウドに収集が必要なメトリクスが存 在する • 期待するデバイスの振る舞いを、メ トリクスに関連したルールとして定 義して、逸脱を検出する • 全デバイスもしくはグループ単位で ルールを定義できる • 定義した期間でデバイスメトリック と期待されるデバイスの動作を比較
  24. 24. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. デバイスの振る舞いの定義 Metrics Threshold Blacklist/Whitelist AWS Metrics • Message Rate (Sent and Received) • Message Size • Authorization Failures • Source IPs Device Metrics • TCP Connections • Open Ports (TCP/UDP) • In/Outbound Packets • In/Outbound Bytes • Destination IPs (TCP) • Open Ports (TCP/UDP) • Destination IPs (TCP)
  25. 25. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoT デバイスの 設定をセキュア に保つ 異常な振る舞い を検出する アラートを 受け取る セキュリティ の問題を修正 する アラート
  26. 26. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アラートの生成 • 識別された異常および監査に基 づいて生成されたアラート • アラートはAWS IoT コンソ−ル 、Amazon CloudWatch、 Amazon SNSに送信される • SNS + Lambda の組み合わせで アクションを自動化できる
  27. 27. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoT デバイスの 設定をセキュア に保つ 異常な振る舞い を検出する アラートを 受け取る セキュリティ の問題を修正 する 問題の修正
  28. 28. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. セキュリティ課題への 対応 • 検出結果には、対象のコンテキスト の情報、履歴、推奨されるアクショ ンといった情報を提供 • 修正には AWS IoT Device Management を利用することがで きる (Reboot/ Factory Reset/ Security Patch, など)
  29. 29. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoT Device Management による OTA アップデート 任意の Job を任意のデバイスに実行可能 機能改善など、リリース済みのデバイス に OTA を Push 任意のデバイスもしくはグループを指定 してデプロイが可能 実行状況のモニタリングとコントロール 各デバイスのアップデートの状態を受け 取り、状況をモニタリング 全体にデプロイされる早さをコントロー ル可能 (リスク低減)
  30. 30. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Agenda • AWS が提供する IoT サービス • AWS IoT Core がデバイスに提供するセキュリティ • AWS IoT Device Defender が解決する課題 • AWS IoT Device Defender 詳細 • デモ • まとめ
  31. 31. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Agenda • AWS が提供する IoT サービス • AWS IoT Core がデバイスに提供するセキュリティ • AWS IoT Device Defender が解決する課題 • AWS IoT Device Defender 詳細 • デモ • まとめ
  32. 32. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. まとめ • AWS IoT Device Defender を利用することで、デバイ スをセキュアに保ち続けるために、脆弱性を検出し、通 知を受け、対応することができる • サーバ側の監査、検出は数クリックで利用可能。デバイ スに SDK を組み込めば、より多角的に異常な振る舞い を検出できる

×