Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS

1,729 views

Published on

【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS

Published in: Technology
  • DOWNLOAD FULL BOOKS, INTO AVAILABLE FORMAT ......................................................................................................................... ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. PDF EBOOK here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. EPUB Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... 1.DOWNLOAD FULL. doc Ebook here { https://tinyurl.com/y6a5rkg5 } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

【勉強会資料】Systems Managerによるパッチ管理 for PCI DSS

  1. 1. Systems Managerによるパッチ管理 クラスメソッド株式会社 AWS事業本部 2019/06/03 Nobuhiro Nakayama 1
  2. 2. 2目次 PCI DSSにおけるパッチ管理の要件 Systems Managerによるパッチ管理 Patch Managerの使い方
  3. 3. 3 PCI DSSにおけるパッチ管理の要件
  4. 4. 4要件 6:安全性の高いシステムとアプリケーションを開発し、保守する 6.1 セキュリティ脆弱性情報の信頼できる社外提供元を使ってセキュリティの脆弱 性を特定し、新たに発見されたセキュリティの脆弱性にリスクのランク(「高」、 「中」、「低」など)を割り当てるプロセスを確立する。 • 6.1.a ポリシーと手順を調べ、以下のプロセスが定義されていることを確認する。 • 新しいセキュリティの脆弱性の識別 • すべての「高リスク」と「重大」な脆弱性の識別を含む脆弱性のランク分けの割り当て • セキュリティ脆弱性情報の信頼できる外部情報源の使用 • 6.1.b 担当者をインタビューするかプロセスを観察して、以下を確認する。 • 新しいセキュリティの脆弱性が識別されている • すべての「高リスク」と「重大」な脆弱性の識別を含む脆弱性のランク分けが割り当てられている • 新しいセキュリティの脆弱性を特定するプロセスに、セキュリティ脆弱性情報を得るための外部情 報源の使用が含まれている Payment Card Industry(PCI) データセキュリティ基準 要件とセキュリティ評価手順 バージョン 3.2.1 2018 年 5 月 https://www.pcisecuritystandards.org/document_library
  5. 5. 5要件 6:安全性の高いシステムとアプリケーションを開発し、保守する 6.2 すべてのシステムコンポーネントとソフトウェアに、ベンダ提供のセキュリ ティパッチがインストールされ、既知の脆弱性から保護されている。重要なセキュ リティパッチは、リリース後 1 カ月以内にインストールする。 • 6.2.a セキュリティパッチのインストールに関連したポリシーと手順を調べて、以下のプロ セスが定義されていることを確認する。 • 該当する、ベンダ提供の重要セキュリティパッチは、リリース後 1 カ月以内にインストールする。 • 該当する、ベンダ提供のセキュリティパッチをすべて、適切な時間枠内(3 カ月以内など)にインストールす る。 • 6.2.b システムコンポーネントおよび関連ソフトウェアのサンプルについて、各システムに インストールされたセキュリティパッチのリストと、ベンダの最新のセキュリティパッチの リストを比較して、以下を確認する。 • 該当する、ベンダ提供の重要セキュリティパッチは、リリース後 1 カ月以内にインストールする。 • 該当するすべてのベンダが提供するセキュリティパッチは、適切な時間枠(例えば 3 カ月以内)内にインス トールされている。 Payment Card Industry(PCI) データセキュリティ基準 要件とセキュリティ評価手順 バージョン 3.2.1 2018 年 5 月 https://www.pcisecuritystandards.org/document_library
  6. 6. 6 Systems Managerによるパッチ管理
  7. 7. 7Systems Managerとは? AWS Systems Manager is a collection of capabilities for configuring and managing your Amazon EC2 instances, on-premises servers and virtual machines (VMs), and certain other AWS resources. Systems Manager = 仮想マシンを管理するための機能群 What Is AWS Systems Manager? https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html
  8. 8. 8機能一覧 Resource Groups Insights • Built-in Insights • CloudWatch Dashboards • Inventory Management • Configuration Compliance Shared Resources • Managed Instances • Activations • Systems Manager Documents • Parameter Store Actions • Automation • Run Command • Session Manager • Distributor • Patch Management • Maintenance Windows • State Management • パッチ管理機能 • パッチ管理機能で利用する周辺機能
  9. 9. 9Patch Managerとは? パッチの適用を自動化 • スキャンのみ実行すること可能 • リリースから数日後にパッチを自動承認 • 何日後に承認するかは自身で制御可能 • 適用を拒否するパッチリストや独自のパッチソースを定義するこ とも可能 AWS Systems Manager Patch Manager https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html
  10. 10. 10Patch Baseline インスタンスへのインストールを承認するパッチの定義 • 自動承認ルールを定義可能 • 例)Severity = Critical,Important && Classification = Security • パッチの承認および拒否を個別に指定可能 About Patch Baselines https://docs.aws.amazon.com/systems-manager/latest/userguide/about-patch-baselines.html
  11. 11. 11Configuration Complianceとは? 管理対象のインスタンス群がパッチのコンプライアンスに準拠 しているか確認 AWS Systems Manager Configuration Compliance https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-compliance.html
  12. 12. 12Managed Instancesとは? SSMで管理されているインスタンスの情報 • インベントリ情報を保持(ハードウェア、ソフトウェア) • パッチの適用状況も管理されている AWS Systems Manager Managed Instances https://docs.aws.amazon.com/systems-manager/latest/userguide/managed_instances.html
  13. 13. 13Systems Manager Documentsとは? Managed Instaceに対して実行するアクションを定義 • 事前定義済みのドキュメントが多数提供 • パッチの適用は以下のドキュメントで実行可能 • AWS-ConfigureWindowsUpdate • AWS-InstallWindowsUpdates • AWS-RunPatchBaseline • ドキュメントは JSON / YAML で記述 AWS Systems Manager Documents https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-ssm-docs.html
  14. 14. 14Run Commandとは? Managed Instanceに対してリモートからDocumentで定義 されたアクションを実行 • 一度だけ実行することも定期的に実行することも可能 • 任意のスクリプト (ShellScript / PowerShell) も実行可能 AWS Systems Manager Run Command https://docs.aws.amazon.com/systems-manager/latest/userguide/execute-remote-commands.html
  15. 15. 15Maintenance Windowとは? Managed Instanceに対してアクションを定期的に実行 • パッチの適用やドライバーの更新などで利用 AWS Systems Manager Maintenance Windows https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-maintenance.html
  16. 16. 16補足 SSMエージェントを実行する権限について • root アクセス権限 (Linux) または SYSTEM アクセス権限 (Windows) を使用して Amazon EC2 インスタンスで実行される • AWS IAMでの権限付与には十分留意する必要がある Restrict Access to Root-Level Commands Through SSM Agent https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-restrict-root-level-commands.html
  17. 17. 17 Patch Managerの使い方
  18. 18. 18利用開始からパッチ適用までの流れ 以下の流れで利用方法を説明 1. EC2インスタンスの作成 / インスタンスプロファイルのアタッチ 2. パッチベースラインの確認 3. メンテナンスウィンドウの作成、動作確認(スキャンのみ) 4. Managed Instanceの構成情報を確認 5. メンテナンスウィンドウの修正、動作確認(インストール)
  19. 19. 19Systems Managerの動作要件 Supported Operating Systems • Windows Server • Amazon Linux (2012.03 – 2018.03) / Amazon Linux 2 (2.0 and all later versions) • Ubuntu Server (12.04 LTS, 14.04 LTS, 16.04 LTS, 18.04 LTS) • Red Hat Enterprise Linux (RHEL) (6.0, 6.5, 6.9, 7.0, 7.4, 7.5, 7.6) • CentOS (6.0, 6.3 and later 6.x versions, 7.1 and later 7.x versions) • SUSE Linux Enterprise Server (SLES) (12 and later 12.x versions) • Raspbian (Jessie, Stretch) SSM Agent Interface VPC Endpoint or Internet Access TLS Certificates Systems Manager Prerequisites https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-prereqs.html
  20. 20. 20Patch Managerの動作要件 SSM Agent Version • Version 2.0.834.0 or later of SSM Agent Supported Operating Systems • Amazon Linux 2012.03 - 2018.03 • Amazon Linux 2 2 - 2.0 • CentOS 6.5 - 7.6 • Red Hat Enterprise Linux (RHEL) 6.5 - 7.6 • SUSE Linux Enterprise Server (SLES) 12.0 and later 12.x versions • Ubuntu Server 14.04 LTS, 16.04 LTS, and 18.04 LTS Patch Manager Prerequisites https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-prerequisites.html
  21. 21. 21ちなみに・・・ Systems Managerはオンプレの環境でも利用できます • 詳細は以下のドキュメントで Setting Up AWS Systems Manager for Hybrid Environments https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-managedinstances.html
  22. 22. 22 1.EC2インスタンスの作成 / インスタンスプロファイルのアタッチ
  23. 23. 23検証環境 以下のAMIからEC2インスタンスを作成 • amzn-ami-hvm-2017.09.1.20180307-x86_64-gp2 • ami-a77c30c1 • Windows_Server-2019-Japanese-Full-Base-2019.02.09 • ami-053dccaa90600e423 EC2インスタンスにインスタンスプロファイルをアタッチ • 以下のAWS管理ポリシーをアタッチ • arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforSSM
  24. 24. 24 Managed Instanceとして認識されていることを確認
  25. 25. 25 2.パッチベースラインの確認
  26. 26. 26 OS毎に定義済みのPatch Baselineがあり、 Default Baselineとして指定されている
  27. 27. 27 自動で承認するパッチを分類や深刻度で指定できる = セキュリティに関するパッチだけを適用できる
  28. 28. 28 3.メンテナンスウィンドウの作成 /動作確認(スキャンのみ)
  29. 29. 29
  30. 30. 30 Patch Baselineを適用するインスタンスを指定
  31. 31. 31 パッチを適用(or スキャンのみ)する スケジュールを指定
  32. 32. 32 “Scan only” or “Scan and install” を指定
  33. 33. 33 メンテナンスウィンドウが作成される
  34. 34. 34 次回の実行時刻も表示される
  35. 35. 35 メンテナンスウィンドウで実行するアクションとして パッチのスキャンとインストールを行うドキュメントが指定されている
  36. 36. 36 ドキュメントの実行内容も確認可能 About the SSM Document AWS-RunPatchBaseline https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-about-aws- runpatchbaseline.html
  37. 37. 37 4.Managed Instanceの構成情報を確認
  38. 38. 38
  39. 39. 39 スキャン完了後に収集されたインベントリーを確認可能
  40. 40. 40 インストール済みのパッチと インストールされていないパッチの一覧
  41. 41. 41 インストールされていないパッチのフィルタリングも可能
  42. 42. 42
  43. 43. 43 Insights > Complianceで全体のパッチ適用状況を確認
  44. 44. 44 5.メンテナンスウィンドウの修正 /動作確認(インストール)
  45. 45. 45
  46. 46. 46
  47. 47. 47 インストールに後に適用されたことを確認
  48. 48. 48 パッチが適用された日次を確認
  49. 49. 49 おまけ
  50. 50. 50 コンプライアンスに違反したことを 通知したい
  51. 51. 51 CloudWatch Events で実現可能
  52. 52. 52CloudWatch Eventsとは? Amazon CloudWatch Events delivers a near real-time stream of system events that describe changes in Amazon Web Services (AWS) resources. Using simple rules that you can quickly set up, you can match events and route them to one or more target functions or streams. CloudWatch Events becomes aware of operational changes as they occur. CloudWatch Events responds to these operational changes and takes corrective action as necessary, by sending messages to respond to the environment, activating functions, making changes, and capturing state information. What is Amazon CloudWatch Events? https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html AWS Systems Manager Configuration Compliance Events https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/events/EventTypes.html#SSM-Configuration- Compliance-event-types 特定のAWSリソースの変更をトリガーに任意のアクションを実行可能
  53. 53. 53イベントフィルター { "source": [ "aws.ssm" ], "detail-type": [ "Configuration Compliance State Change" ] }
  54. 54. 54イベント { "version": "0", "id": "01234567-0123-0123-0123-012345678901", "detail-type": "Configuration Compliance State Change", "source": "aws.ssm", "account": "123456789012", "time": "2017-07-17T19:02:31Z", "region": "us-west-1", "resources": [ "arn:aws:ssm:us-west-1:461348341421:managed-instance/i-01234567890abcdef" ], "detail": { "resource-type": "managed-instance", "resource-id": "i-01234567890abcdef", "compliance-status": "non_compliant", "compliance-type": "Patch", "patch-baseline-id": "PB789", "severity": "critical" } }
  55. 55. 55 Discussion
  56. 56. 56【再掲】要件 6:安全性の高いシステムとアプリケーションを開発し、保守する 6.1 セキュリティ脆弱性情報の信頼できる社外提供元を使ってセキュリティの脆弱 性を特定し、新たに発見されたセキュリティの脆弱性にリスクのランク(「高」、 「中」、「低」など)を割り当てるプロセスを確立する。 • 6.1.a ポリシーと手順を調べ、以下のプロセスが定義されていることを確認する。 • 新しいセキュリティの脆弱性の識別 • すべての「高リスク」と「重大」な脆弱性の識別を含む脆弱性のランク分けの割り当て • セキュリティ脆弱性情報の信頼できる外部情報源の使用 • 6.1.b 担当者をインタビューするかプロセスを観察して、以下を確認する。 • 新しいセキュリティの脆弱性が識別されている • すべての「高リスク」と「重大」な脆弱性の識別を含む脆弱性のランク分けが割り当てられている • 新しいセキュリティの脆弱性を特定するプロセスに、セキュリティ脆弱性情報を得るための外部情 報源の使用が含まれている Payment Card Industry(PCI) データセキュリティ基準 要件とセキュリティ評価手順 バージョン 3.2.1 2018 年 5 月 https://www.pcisecuritystandards.org/document_library
  57. 57. 57【再掲】要件 6:安全性の高いシステムとアプリケーションを開発し、保守する 6.2 すべてのシステムコンポーネントとソフトウェアに、ベンダ提供のセキュリ ティパッチがインストールされ、既知の脆弱性から保護されている。重要なセキュ リティパッチは、リリース後 1 カ月以内にインストールする。 • 6.2.a セキュリティパッチのインストールに関連したポリシーと手順を調べて、以下のプロ セスが定義されていることを確認する。 • 該当する、ベンダ提供の重要セキュリティパッチは、リリース後 1 カ月以内にインストールする。 • 該当する、ベンダ提供のセキュリティパッチをすべて、適切な時間枠内(3 カ月以内など)にインストールす る。 • 6.2.b システムコンポーネントおよび関連ソフトウェアのサンプルについて、各システムに インストールされたセキュリティパッチのリストと、ベンダの最新のセキュリティパッチの リストを比較して、以下を確認する。 • 該当する、ベンダ提供の重要セキュリティパッチは、リリース後 1 カ月以内にインストールする。 • 該当するすべてのベンダが提供するセキュリティパッチは、適切な時間枠(例えば 3 カ月以内)内にインス トールされている。 Payment Card Industry(PCI) データセキュリティ基準 要件とセキュリティ評価手順 バージョン 3.2.1 2018 年 5 月 https://www.pcisecuritystandards.org/document_library
  58. 58. 58

×