Successfully reported this slideshow.

セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう

1

Share

1 of 78
1 of 78

More Related Content

Related Books

Free with a 14 day trial from Scribd

See all

セキュリティの基本とAWSでのセキュリティ対策をフルコースで味あう

  1. 1. 1 1 セキュリティの基本とAWSでの セキュリティ対策をフルコースで味わう
  2. 2. 2 2 対象者 • AWSのセキュリティサービスを知りたい • AWSのセキュリティ対策方を知りたい  あったらいい知識 • ISMSやISOなどの知識 • サーバ/NWのセキュリティ製品の知識
  3. 3. 3 3 ゴール • セキュリティの3要素、追加4要素を理解する • AWSのセキュリティサービスを一通り知る
  4. 4. 4 4 話さないこと • 価格のこと • バックアップとリカバリのサービス
  5. 5. 5 5 アジェンダ • なぜセキュリティ対策をするのか • セキュリティの3要素、追加4要素 • セキュリティの各種情報 • AWSでのセキュリティ対策をフルコースで味あう • まとめ
  6. 6. 6 6 なぜセキュリティ対策をするのか?
  7. 7. 7 7 何を守るのか?  情報資源を守る  資産を守る  人を守る
  8. 8. 8 8 企業の信頼を守るため
  9. 9. 9 9 信 頼 = ビジネスを守る
  10. 10. 10 10 誰からの信頼を失うか 社会 投資家 ユーザ
  11. 11. 11 11 セキュリティ事故が発生すると 検知 対応 回復 事後 対応  事故対応のフェーズ 事故発生に対する労力は大きい
  12. 12. 12 12 コスト/ビジネスへの影響 は大きい
  13. 13. 13 13 失う信頼も大きい
  14. 14. 14 14 だからセキュリティ対策をする
  15. 15. 15 15 どのように対策を考えるか
  16. 16. 16 16 セキュリティの3要素  機密性(Confidentiality)  完全性(Integrity)  可用性(Availability) 頭文字をとって”CIA”
  17. 17. 17 17 機密性(Confidentiality)  許可した人(組織)のみがデータにアクセスできる  不正侵入  データ閲覧  データ漏えい(持出し)  個人情報流出
  18. 18. 18 18 完全性(Integrity)  データが信頼できる状態  データ改ざん  データ削除  Webコンテンツの書きかえ  DNSエントリの書きかえ
  19. 19. 19 19 可用性(Availability)  情報にアクセス可能な人がいつでもアクセスできる  DoS攻撃  DDoS攻撃  高負荷→Webサーバのダウン
  20. 20. 20 20 セキュリティの追加4要素  真正性(Authenticity)  責任追跡性(Accountability)  否認防止(Non-repudiation)  信頼性(Reliability) 3要素に対する方法論
  21. 21. 21 21 真正性(Authenticity)  許可した人(組織)のみがデータにアクセスできる  署名や認証、権限で利用者が適正であること  認証/署名  アクセス権  暗号化(ハッシュ)
  22. 22. 22 22 責任追跡性(Accountability)  いつ何がおこったのか、追跡/追求うできること  ログが改ざんされていなく、システムの挙動を追跡 できること  アクセスログ、システムログ、操作ログ  取得/保存
  23. 23. 23 23 否認防止(Non-repudiation)  行ったことを、後でなかったことにされないようにする  責任追及性の担保  第三者のタイムスタンプ
  24. 24. 24 24 信頼性(Reliability)  システムの処理が適切であること  矛盾なく正常な動作ができる構成であること  冗長性  可用性  保守性
  25. 25. 25 25 3要素+追加4要素で考える 完全性 可用性 真正性 責任 追跡性 否認防止 信頼性 機密性
  26. 26. 26 26  要素分解しながら各セキュリティ対策を少しづつす すめる  AWSにはセキュリティ対策のフレームワーク(型)や ベストプラクティス集があるので参考にする 対策のすすめ方
  27. 27. 27 27 AWSでの セキュリティ対策
  28. 28. 28 28 セキュリティの各種情報 (読みもの/情報収集)
  29. 29. 29 29 AWSのセキュリティ方針  セキュリティは最優先事項  戦略的かつ継続的なセキュリティを日々実行  たくさんの第三者認証を取得  ISO、ISMS、SOC、NIST… • https://amzn.to/3twgmm8
  30. 30. 30 30 IPAのISMAPにAWSが登録(New)  ISMAP(政府情報システムのためのセキュリティ評価制度)  政府が求めるセキュリティ要求を満たしているクラウドサービス  3/12にAWSを含めた”7社”がISMAPに初登録される • https://www.ipa.go.jp/security/ismap/cslist.html
  31. 31. 31 31 責任共有モデル  AWSとユーザ(お客 様)との責任分解点  各サービス(IaaS、 PaaS、SaaS)で責 任範囲が異なる  例→データ保護/管 理はユーザの責任範 囲
  32. 32. 32 32 AWSのネットワークの監視と保護  AWSで実装している保護機能 引用元:アマゾン ウェブ サービス: セキュリティプロセスの概要 • https://bit.ly/3rZxG2t • AWS ネットワークは、既存のネットワークセキュリティの問題に対する強固な保護機 能を備えており、さらに堅牢な保護 を実装することができます。 • 以下にいくつかの例を示します: • 分散型サービス妨害(DDoS)攻撃 • 中間者(MITM)攻撃 • IP スプーフィング • ポートスキャン • 第三者によるパケットスニッフィング
  33. 33. 33 33 セキュリティのフレームワーク  AWS Well-Architected  AWSの大局的なシステム設計指針(セキュリティも含まれる) • https://aws.amazon.com/jp/architecture/well- architected/  NIST サイバーセキュリティフレームワーク  米国国立標準技術研究所 (NIST) に準拠したサイバーセ キュリティフレームワーク(CSF) • https://aws.amazon.com/jp/compliance/nist/
  34. 34. 34 34 AWSセキュリティのドキュメント  AWSセキュリティのベストプラクティス • https://bit.ly/3vInIVM
  35. 35. 35 35 ブログ/セキュリティ速報  AWSセキュリティブログ • https://aws.amazon.com/jp /blogs/security/  AWSのセキュリティ速報 • https://aws.amazon.com/jp /security/security-bulletins/
  36. 36. 36 36 AWSセキュリティのドキュメント/ブログ  AWSセキュリティのベストプラクティス • https://bit.ly/3vInIVM  AWSセキュリティブログ • https://aws.amazon.com/jp/blogs/security/  AWSセキュリティ速報 • https://aws.amazon.com/jp/security/security- bulletins/
  37. 37. 37 37 AWSのネットワークの監視と保護  AWSで実装している保護機能 引用元:アマゾン ウェブ サービス: セキュリティプロセスの概要 • https://bit.ly/3rZxG2t • AWS ネットワークは、既存のネットワークセキュリティの問題に対する強固な保護機 能を備えており、さらに堅牢な保護 を実装することができます。 • 以下にいくつかの例を示します: • 分散型サービス妨害(DDoS)攻撃 • 中間者(MITM)攻撃 • IP スプーフィング • ポートスキャン • 第三者によるパケットスニッフィング
  38. 38. 38 38 セキュリティを改善するため の10個の項目
  39. 39. 39 39 AWSアカウントのセキュリティを改善するための10個の項目-1 1. AWSアカウント保有者を正しく運用する 2. MFA(多要素認証)を利用する 3. 認証情報をコードに書かない • シークレット情報を管理するために AWS Secrets Managerを使う 4. NWへのアクセスに制限をかける、意図した構成かどうか • AWS Config もしくは Firewall Manager でVPCの セキュリティ構成が意図した とおりになっているか確認 • ネットワーク到達性はVPC Transit Gateway Network Manager、 Reachability Analyzer(New)で確認 https://amzn.to/38Y2KbD
  40. 40. 40 40 AWSアカウントのセキュリティを改善するための10個の項目-2 5. 明確なデータへのポリシーを設計し運用する 6. CloudTrail ログの集約化しモニタリングする 7. IAM ロールを確認する • IAM Access Analyzerで適切な状態か確認する 8. 疑わしい発見に対してアクションを取るか検討する • AWS Security Hub, Amazon GuardDuty, AWS IAM Management Access Analyzerは簡単に有効化できるので有効化し、疑わしいものを見つけたら アクションを検討する https://amzn.to/38Y2KbD
  41. 41. 41 41 AWSアカウントのセキュリティを改善するための1011個の項目-3 9. アクセスキーをローテーションさせる 10.セキュリテイに対しての考えと対策をCI/CDする • セキュリティのチームを作る • セキュリティの人材を育成する • チーム/人材開発を継続的かつ戦略的にサイクルさせるローテーションさせる 11.最新パッチを常に適用(11個目) https://amzn.to/38Y2KbD 安全なシステムの構築していく 詳しくは10個の項目ページを確認
  42. 42. 42 42 AWSでのセキュリティ対策 をフルコースで味あう
  43. 43. 43 43 AWSのサービスにないセキュリティサービス  ウイルス対策  サンドボックス  スパムメール対策  Webフィルタリング  IDS/IPS WebフィルタリングとIPSは Network Firewall(New)の機能にある
  44. 44. 44 44 AWSにないサービスはどうするか  3rdパーティ製のものを使う  BYOL  プロダクトを買って持ち込む  SaaS  クラウドタイプのものを選択  マーケットプレイスから購入 • AWSのサービスより、3rdパーティ製品の 方が細かい機能や設定ができる印象 • AWSサービス同士の親和性は非常に高い
  45. 45. 45 45 AWSのセキュリティサービス とコンポーネント
  46. 46. 46 46
  47. 47. 47 47 フルコースを(早食いで)味わう
  48. 48. 48 48 IDとアクセス管理
  49. 49. 49 49 ID管理  IAM  AWSリソースのアクセス管理  ユーザ  ロール  グループ  ポリシー  AWS Directory Service  MS ADのマネージドサービス  オンプレADとの接続  ADを利用してユーザ認証が可能(IAMロールと関連付ける) AWS Identity and Access Management (IAM) AWS Directory Service
  50. 50. 50 50 認証と認可  Cognito  マネージドの認証サービス  Webアプリのユーザ認証認可  OAthuベースのプロバイダと連携可能  外部サービスのTwitter、FB、Googleなどの OpenIDConnectプロトコルと連携可能 Amazon Cognito
  51. 51. 51 51 AWS複数アカウントの管理  Organizations  AWS複数アカウントの管理  組織内にマスターアカウントはひとつ(それ以外はメンバーアカウント)  AWS SSO を使用すると、Organizations にあるすべてのアカウント に対するアクセスとユーザーアクセス許可を簡単に一元管理可能 AWS Organizations
  52. 52. 52 52 シークレット情報の一元管理  AWS Secrets Manager  パスワードやシークレット情報の管理を軽減  パスワードやキーをローテーション  Amazon RDS  Amazon Redshift  Amazon DocumentDB 秘密鍵などが漏れたら不正利用のリスクがあるので 重要な認証情報の管理はSecrets Managerでする という考え AWS Secrets Manager
  53. 53. 53 53 インフラストラクチャの セキュリティ
  54. 54. 54 54 階層と防御の対比
  55. 55. 55 55 NW/サーバのFW  NACL(Network Access Control List) 「L3/4」  VPCでのいわゆるACL  サブネット単位「L3/4」  ステートレス(許可/不許可を設定)  Security Group 「L3/4」  EC2、RDSのFW  各サーバ単位  ステートフル(ホワイトリスト型) この2つの操作を覚えればサーバとNWのFW が設定できるのは便利すぎる
  56. 56. 56 56 外部からの防御  WAF(ウェブアプリケーションファイアウォール) 「L7」  SQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェ クション、DDosから防御  CloudFront、ALB、API gateway、AppSyncにデプロイ  AWS Shield 「L3/4」  DDosからの防御  スタンダードは無料、アドバンスは有料  セットアップが簡単 どちらもDDosから防御だが、WAFはL7、 ShieldはL3/4で動作 AWS WAF AWS Shield
  57. 57. 57 57 FWの管理  AWS Network Firewall(New)  VPCのFWを簡単にデプロイ  ステートフル  Webフィルタリングと侵入防止(IPS)  VPC FWを一元管理と可視性  AWS Firewall Manager  Organizationsアカウントとアプリ全体で一元FWルールの設定、管理  AWS Network Firewallの一元設定、デプロイ(New)  WAFのマネージドルールと統合されている Network FWはVPCの管理、それを統合するのが FW Manager AWS Network Firewall
  58. 58. 58 58 検出インシデント対応
  59. 59. 59 59 侵入検知と脅威の調査  Amazon GuardDuty(検知)  CloudTrail、VPC フローログ、DNS ログにある イベントデータを、継続的に監視(検知)および分析  機械学習と異常検出で高度な検出機能を提供  IDS/IPSでも難しいAWSアカウント侵害を検出  S3のバケット保護  Amazon Detective(脅威の調査)  VPC Flow Logs、AWS CloudTrail、Amazon GuardDuty などの複数のデータソースからイベントを分析  不審な動作を根本原因を素早く調査、特定  ログから機械学習で統計分析+グラフ理論でのデータセットを構築  インタラクティブなビューを自動生成 GuardDutyはIDS(不正侵入検知)と明言されてない が、IDSと同等の機能だと考えます Amazon GuardDuty Amazon Detective
  60. 60. 60 60 EC2の脆弱性診断  Amazon Inspector  EC2のホスト/NWからセキュリティ評価  評価ルールを準備されているから選択  評価結果のレポート  評価ターゲットはタグでグループ管理 Amazon Inspector
  61. 61. 61 61 機密データの保護  Amazon Macie  機密情報の自動検出、利用状況に合わせて監視、保護処理  S3バケット/オブジェクトの可視化  機密情報  名前  メールアドレス  クレジットカード番号  運転免許ID(US)  生年月日  AWSシークレットキー  SSHプライベートキー  アラート機能  検知をCloudWatchイベントからSNSで通知  リスクのあるバケットをLambdaで非公開自動処理 Amazon Macie
  62. 62. 62 62 AWSの対象サービスのアラートを一元管理  AWS Security Hub  AWSのセキュリティ状況を一元管理  対象のサービス  Amazon GuardDuty  Amazon Inspector  IAM Access Analyzer  Amazon Macie  AWS Firewall Manager  AWS System Manager InspectorはEC2のみ Security HubはInspectorを含めて複数のセキュリ ティサービスを管理 AWS Security Hub
  63. 63. 63 63 セキュリティ環境のチェック  AWS Trusted Advisor  AWSアカウントの状況を5つの観点でチェックしてくれる  コスト  パフォーマンス  セキュリティ  フォールトレランス  サービス制限 AWS Trusted Advisor
  64. 64. 64 64 AWSでのインフラ防御 SG NACL AWS WAF AWS Shield AWS Network Firewall Amazon GuardDuty Amazon Detective
  65. 65. 65 65 ログと監視
  66. 66. 66 66 監視  Amazon CloudWatch  AWSサービスのログ、メトリクス(値)、イベントのデータ収集  CloudWatchエージェントでリソース監視が可能  SNS(Simple Notification Service)での通知 CloudWatch Logsと連携させて各セキュリティサービ スからログ収集し通知を送ることが可能 Amazon CloudWatch
  67. 67. 67 67 リソース変更履歴のモニタ  AWS Config  AWS全リソースの変更履歴の自動収集  Cloud Watch EventsやSNSで通知  EC2をモニタリングする場合はSystem Managerに登録  Amazon Inspector  IAM Access Analyzer  Amazon Macie  AWS Firewall Manager  AWS System Manager インスタンスやソースの不正操作や意図しない変更履歴 を検知できる AWS Config
  68. 68. 68 68 AWSアカウントの操作ログ収集  AWS CloudTrail  AWSアカウントの操作イベントログを記録  どのユーザが、どのリソースに、いつ、何をしたかを追跡可能  ログはS3に出力したり、Cloud Watch Logsに連携可能  Cloud Watch EventsやSNSで通知 不正操作や意図しない変更履歴を検知 ・CloudTrailはAWSアカウント ・AWS Configはインスタンスやリソース AWS CloudTrail
  69. 69. 69 69 IPトラフィックのモニタ  VPC Flow Logs  IPトラフィック状況の保存  CloudWatch Logs またはS3に保存  監視する場合はCloudWatch Logsへ保存  ELB  RDS  ElastiCache  Redshift  WorkSpaces  NAT Gateway  Transit Gateway すべてのトラフィックをキャプチャできない ・Route53、DHCP、AWS NTPサーバなど Flow logs
  70. 70. 70 70 データ保護
  71. 71. 71 71 データ暗号化-1  AWS Key Management Service (KMS)  データ暗号化キーの作成と管理  エンベロープ暗号化  2つのキーでデータを暗号化するキーと別のキーでの暗号化により Securityを強化  Customer Master Key(データキーを暗号化するキー)  Customer Data Key(データを暗号化するキー) AWS Key Management Service (AWS KMS)
  72. 72. 72 72 データ暗号化-2  AWS Cloud HSM  KMSより厳重なキー管理、より高いコンプライアンス  専用のハードウエアに暗号化キーを保存  AWSはキーにアクセスできない  KMSよりコストが高い  HSM 1.8$/1h | KMS 1万リクエスト0.03$~  RedshiftやRDSなど対象サービスがKMSより少ない より厳重な管理を行う場合はHSMを選択する AWS CloudHSM
  73. 73. 73 73 番外編:不正行為検知のAI  Amazon Fraud Detect  オンライン支払い詐欺や不正を検出  機械学習 (ML) と 20 年を超える Amazon の不正検出の専門知識 を活用したフルマネージド型のサービス  潜在的に不正なオンラインアクティビティを簡単に識別
  74. 74. 74 74 バックアップとリカバリ  セキュリティ事故がおこった際に、もとに戻せるようバックアッ プ/リカバリの運用設計をする  データが削除、改ざんなどでリカバリが必要  いつまでのデータに、何分で戻すか  RPO/RTOを設計する
  75. 75. 75 75 クロージング
  76. 76. 76 76 AWSセキュリティーサビスの強み  各AWSサービスとの連携/親和性  機械学習での解析/分析  導入が素早い
  77. 77. 77 77 セキュリティはバランス  堅牢にすればするほどコストはかかる  運用が煩雑になる  天秤にかけてセキュリティ設計/運用をする
  78. 78. 78 78 まとめ  セキュリティの7要素から考える  セキュリティを改善するための10個の項目をまず実践する  AWSのセキュリティサービス/コンポーネントは約30  バランスとコストを考えながらAWSセキュリティ対策をする

Editor's Notes

  • てs
  • てs
  • てs
  • てs
  • 最近のぼう銀行のシステム障害や、仮想通貨の流出。みなさんも友達の借りたもの無くしたら弁償代より信頼や信用失うほうが大きくないですか
  • てs
  • サーバ室に入る時、カードキー+生体認証 or第三者が付きそう
  • 保守性(パッチが最新)
  • 保守性(パッチが最新)
  • サーバ室に入る時、カードキー+生体認証 or第三者が付きそう
  • 保守性(パッチが最新)
  • GCPは登録済み、Azureは5,6月に登録されるらしい
  • 保守性(パッチが最新)
  • プライベートのDCでここまでやっているDCはないと思う
  • 脆弱性などの報告
  • 2020年のリインベントの最新10のこと
  • DeepSecurityをおすすめ
  • 先週東京リージョンでローンチされました
  • 検知と教委の調査。ネットワークFWでVPCのFWでIPSとWebフィルタ。WafでSQLインジェクション、クロスサイトスクリプティング、OSコマンドインジェクション、Ddos。シールドでl3/4のddos
  • 完璧なセキュリティは無いので、事故がおこったら戻せる運用をする
  • 保守性(パッチが最新)
  • 保守性(パッチが最新)
  • ×