Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

20181108 Participation record SANS SEC545: Cloud Security Architecture and Operations

624 views

Published on

Participation record 
SANS SEC545: Cloud Security Architecture and Operations (Security-JAWS#11)

Published in: Technology
  • Be the first to comment

20181108 Participation record SANS SEC545: Cloud Security Architecture and Operations

  1. 1. Participation record SANS SEC545: Cloud Security Architecture and Operations Security-JAWS #11 2018/11/08 @Typhon666_death
  2. 2. SANSが提供するSEC545コースに参加してきたことと、受講してきた 内容をお話しますが、コースの内容をすべてお話するものではありま せん。 多少の口頭での補足をします。 許可取ってんの?大丈夫なん?という鉞は不要です。許可取ってます 。 細かい受講内容等、SANSのHPサイトで把握できないものは実際に受 講いただくようお願いいたします。 お断り
  3. 3. 自己紹介 • @Typhon666_death • 仕事:某セキュリティ専門会社にて、 セキュリティエンジニア/コンサルタント/アナリスト/営業してました • 業務:以前は多種企業向けMSSや金融機関向けASP、今は自社AIサービスの運用保守 • 活動コミュニティ: • OWASP Japan Promotion Teamメンバー • AISECjp 運営メンバー • Security-JAWS 運営メンバー • X-Tech JAWS 運営メンバー • FinJAWS 運営メンバー • レトロゲーム勉強会 運営メンバー • 全脳アーキテクチャ若手の会 運営メンバー https://www.slideshare.net/Typhon666_death
  4. 4. SANS Institute: セキュリティトレーニングやGIAC試験の提供、出版活動など行われている世界トップレベルの セキュリティ研究・教育機関 Internet Storm Centerからのセキュリティに関する情報発信 https://www.sans.org/ SANS Japan: SANSの日本法人(事務局はNRIセキュアテクノロジーズ内) https://sans-japan.jp/index.html
  5. 5. SEC545の紹介
  6. 6. クラウドセキュリティの基本について理解することを手始めに、セキ ュリティプロフェッショナルが知っておくべきクラウドポリシーとガ バナンスに関する重要なコンセプトについて解説します。初日と2日 目は、技術的なセキュリティの原理原則について学習し、代表的なク ラウド(SaaS、PaaS、IaaS)の制御について理解します。また、ク ラウド制御向けのクラウドセキュリティアライアンスフレームワーク を学習し、クラウドサービスのリスクについても掘り下げて評価を行 うなど、特に取り組むべきテクニカル分野について追求していきます 。 SEC545の紹介 https://sans-japan.jp/sans_tokyo_autumn2018/sec545.html
  7. 7. 講義では、新規のアーキテクチャーを構築し、実証済みのセキュリティツールと プロセスをクラウドに組み込むために必要なクラウドアーキテクチャーとセキュ リティデザインについて進めていきます。また、ネットワークセキュリティを取 り巻くファイアウォール、アクセスコントロール、IDSなどについてはもちろん 、その他のクラウドセキュリティに関するレイヤーについても包括的な議論を行 っていきます。その際、セキュアインスタンスの構築、データセキュリティ、ア カウント管理など、それぞれのレイヤーについて触れていきます。さらに、脆弱 性マネジメントやペネトレーションテストなど最新かつ最良のクラウドセキュリ ティリサーチに切り込んでいき、クラウドにおける攻撃の焦点について理解しま す 。防御の観点では、インシデントハンドリング、フォレンジック、イベント 管理、アプリケーションセキュリティに関して深い知識を得ることを目指します 。 SEC545の紹介 https://sans-japan.jp/sans_tokyo_autumn2018/sec545.html
  8. 8. 最終的には、DevSecOpsとオートメーションに目を向け、オーケスト レーションとクラウドライフサイクルにおけるそれぞれの事項に対し てセキュリティを埋め込む方法を習得します。実践的なツールや戦術 について学習し、さらにAPIやスクリプトを用いたインシデントハン ドリングとその導入など、自動化されたセキュリティの最新の仕組み をいくつかのケーススタディを交えて学習します。 SEC545の紹介 https://sans-japan.jp/sans_tokyo_autumn2018/sec545.html
  9. 9. 当日の様子
  10. 10. 当日の様子 Dave Shackleford (SANS Senior Instructor & Consultant for Voodoo Security) SEC545に関しては当日は満席 日本人は半数以下 その他は外国籍の方々 同時通訳あり
  11. 11. Intro and Basics Cloud Security Alliance Guidance Cloud Policy and Planning SaaS Security Intro to PaaS and IaaS Security Controls SEC545.1: Cloud Security Foundations
  12. 12. Cloud Security: In-House versus Cloud A Virtualization Security Primer Cloud Network Security Instance and Image Security Data Security for the Cloud Application Security for the Cloud Provider Security: Cloud Risk Assessment SEC545.2: Core Security Controls for Cloud Computing
  13. 13. Cloud Security Architecture Overview Cloud Architecture and Security Principles Infrastructure and core component security Access controls and compartmentalization Confidentiality and data protection Availability SEC545.3: Cloud Security Architecture and Design
  14. 14. Threats to Cloud Computing Vulnerability Manager in the Cloud Cloud Pen Testing Intrusion Detection in the Cloud Cloud IR and Event Manager Cloud Forensics SEC545.4: Cloud security - Offense and Defense
  15. 15. Scripting and Automation in the Cloud DevSecOps Principles Creating Secure Cloud Workflows Building Automated Event Management + Defensive Strategies Tools, Tactics, and Use Cases Class Wrap-Up SEC545.5: Cloud Security Automation and Orchestration
  16. 16. Exploring AWS Cloud Contract Review AWS+Docker SecaaS Hypervisor Security VPCs and Network Controls AWS Config Secrets for Containers S3 IAM EC2 and IAM Roles EC2 Systems Manager Bastion Host Quick Start Day1-Day5: Handson Cloud Threat Modeling AWS Inspector Kali … as-a-Service? Cloud CTF Logs,logs,logs! AWS CLI Automation Ansible Basics Ansible Roles and Security AWS CloudFormation AWS CloudWatch Automating with AWS Lambda ・利用するクラウド環境は すべてAWS ・一部、手元でHypervisor SecurityとContractの確認を 行うものがあった。
  17. 17. flAWS (常にオープンになっているので、好きに問いて良い) クラウドCTF
  18. 18. SaaS/PaaS/IaaSの中で、クラウド全般を紹介。主にAWSとAzure、時々Salesforce についてとりあげていた。 ハンズオンはすべてAWS環境。 Alibaba Cloudなど米国からみた他国のクラウドは特には触れられてはいなかった。 Kubernetes 関連は今回の受講では含まれていなかった。 クラウド開発環境(AWSでいうCode兄弟やCloud9)など、 サービスの紹介はあったが実技はなかったので、 DevSecOpsな話は今後はもっと充実してくる? SEC545、今回は。きっと今後は???
  19. 19. 米国は訴訟大国でもあるので、 特にクラウドサービス、あるいは クラウドを活用した他社サービスなどの 契約関連についてもりこまれているので、 日本ではあまり意識してこなかった部分を意識するようになった。 どういうシチュエーションでサービスが利用できなくなるのか? クラウドベンダーの突然のサービス提供停止など考えさせられる 日本のLegalTechは今後もっと流行るのではないか? SEC545で学べてよかったこと
  20. 20. VPC Flowlogsの分析手法 クラウド向け監査ツールの紹介とハンズオン コンテナセキュリティのツール紹介 CASBツールの紹介 クラウド向けペンテストツール紹介 クラウド向けインシデントレスポンスツール紹介 クラウド向けモニタリングツール全般紹介 Lambdaハンズオン SEC545で学べてよかったこと
  21. 21. クラウド全般のセキュリティについて、これから従事あるいは検討し ていく人 AWS CloudPlactioner や AWS SAA取得者 でセキュリティに興味ある人 USなどのこれまでのクラウドに関する 先行事例や3rdPartyのクラウドセキュリティツールに興味ある人 SEC545をおすすめしたい人
  22. 22. 二日間で行われる 攻撃とその分析・防御を行う観点から、 インターネットベースのインタラクティブな環境で構成されています。 初心者から高度なテクニックを有する専門化まで、 様々なレベルの方が楽しめるように設計されている。 出題形式がいくつかのレベルに分割されています。高いスキルを持っている 方はどんどん上のレベルにチャレンジできますし、初心者の方は考えながら じっくり取り組んで、知識・スキルを理解・習得しながら進むことができま す。 Core NetWars Experience https://sans-japan.jp/training/core_netwars_ex.html
  23. 23. Core NetWars Experience 競技開始前にUSBメモリ を渡される。中には競技 問題用のデータが含まれ ていて、メールログやイ ベントログが含まれてい る。 出題問題をヒントなしで 解くと高得点をGET
  24. 24. SEC 401:Security Essentials Bootcamp Style FOR 610:Reverse-Engineering Malware: Malware Analysis Tools and Techniques FOR 508:Advanced Digital Forensics, Incident Response, and Threat Hunting SEC555:SIEM with Tactical Analytics SEC504:Hacker Tools, Techniques, Exploits and Incident Handling SEC511:Continuous Monitoring and Security Operations SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain Defenses ICS 515: ICS Active Defense and Incident Response その他のSANS Tokyo Autumnコース
  25. 25. SANS Japan: https://sans-japan.jp/index.html SANS org: https://www.sans.org/ オンライントレーニングや資格試験付きのものもあります。 申し込み
  26. 26. AWS re:Invent 行く人達は知ってい る 「Justify Your Trip」というサイト: https://reinvent.awsevents.com/info/j ustification-letter/ 上司にメールでre:Inventに行かせて くれっていうテンプレートが公開さ れている。 研修予算を確保しよう!
  27. 27. ひとまず東京または近隣在住の方向け http://bit.ly/justifyyoursans 上司にメールでSANSに行かせてくれ っていうテンプレートを公開しました 。 きっとこれでSANSにいけます! 知らんけど SEC545用に作ってみた[Justify Your SANS]
  28. 28. SEC545.4の中で紹介されたツールの中から2つ紹介
  29. 29. インシデントレスポンスを行うためのコアエンジン コマンドの実行でインシデントレスポンスに必要となるいくつかの操作を行 える アクセスキーの失効 ホストの分離やシャットダウン、スナップショットの取得 フォレンジックキャプチャをs3にホストする等 https://aws-ir.readthedocs.io/en/latest/index.html# AWS-IR
  30. 30. 実行中のLinuxインスタンスからメモリダンプを作成するツール リモートシステムのカーネルバージョン等が確認されている前提で、 適切なLiMEメモリモジュールがロードされ、システムメモリがsshト ンネルを介してインシデントレスポンダのワークステーションにスト リーミングされる。 メモリダンプはディスクにも、s3バケットに直接ストリーミングも可 https://margaritashotgun.readthedocs.io/en/latest/index.html Margarita Shotgun
  31. 31. IIJさんの秀逸な資料 https://www.slideshare.net/IIJ_PR/ss-121246301 フォレンジックの重要性
  32. 32. クラウドWebネットにおけるIRの例 snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route 53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 VPC内は普遍的な Web+DBの構成 AWS WAFを利用 ログはS3 Bucketへ GuardDutyの Findingsで感染特定 接続元IPの自動遮断 Lambda 接続元IPの遮断 WAFシグネチャの更新等 フォレンジック
  33. 33. クラウドWebネットにおけるIRの例 snapshot CloudWatch Logs AWS CloudTrail IAM AWS WAF SES security group RDS DB instance Route 53 VPC Flow Logs /DNS Logs CloudWatch Event Lambda Amazon GuardDuty 隔離 log bucket instance EBS instance instance EBSEBS Auto Scaling Malicious Instance & EBS log bucket Lambda 保全 該当Security Groupから該当インスタ ンスを削除し、新規インスタンス追加 Outbound Denyの Security Groupにより感 染インスタンスを隔離 GuardDutyのFindings により感染インスタンス が特定 CloudWatchEvent を元にLambdaで 感染インスタンス の隔離と新規イン スタンス追加 隔離インスタンス の保全 マルウェアフォレ ンジック 接続元IPの遮断 WAFシグネチャの更新等 Lambda フォレンジック この部分に 適用できそう
  34. 34. オペレーター端末側に以下の環境 Python3.4以上の環境 AWS CLIをインストール AMI用のLiMEメモリモジュールの作成(メモリダンプに必要) $ sudo yum install -y kernel-devel-$(uname -r) $ git clone https://github.com/504ensicsLabs/LiME.git $ cd LiME/src $ make $ cp *.ko ~ ・2018/11/04時点で最新のAmazonLinux2のAMI amzn2-ami-hvm-2.0.20181024-x86_64-gp2 (ami- 013be31976ca2c322) ・Kernel: 4.14.72-73.55.amzn2.x86_64 準備
  35. 35. --case-number ケース 番号をつけれる(ログ を保持するのに便利) --bucket-name インシ デントの結果を格納す るために使用される S3バケット名を指定 特に指定しないとこんな感じ のバケットが生成される。 AWS-IR
  36. 36. AWS IRで行う作業内容をPluginで指定。 スナップショットを取る、ホストを停止させる等 AWS-IR
  37. 37. $ aws_ir --case-number 001 --bucket-name secjaws11-ir --examiner-cidr-range 54.205.83.117/32 instance-compromise --target 18.204.197.239 --user ec2- user --ssh-key ~/.ssh/secjaws11.pem --plugins gather_host,isolate_host,snapshotdisks_host,examineracl_host 総じて投げてみたコマンドはこんな感じ。 AWS-IR
  38. 38. 〜中略〜 フォレンジック端末からのみアクセ ス可能なSGに変わる (このログでは54.205.81.117のみ) 自動でSnapshot取得 AWS-IR
  39. 39. key-compromiseでは利用中のアクセ スキーを失効させることが可能。 AWS-IR
  40. 40. $ margaritashotgun --server 18.204.197.239 --module lime-4.14.72- 73.55.amzn2.x86_64.ko --username ec2-user --key ~/.ssh/secjaws11.pem -- filename mymemcap.lime Margarita Shotgun 総じて投げてみたコマンドはこんな感じ。
  41. 41. Margarita Shotgun 準備の段階で作っ たLiMEメモリモジ ュールを指定しな いと、メモリダン プが行えない。 作成されたメモリ ダンプを必要に応 じてフォレンジッ カーに連携
  42. 42. フォレンジック専門家に依頼?それとも? https://digital-forensics.sans.org/community/downloads
  43. 43. Secure DevOps Toolchain
  44. 44. SANSの紹介 SEC545のコース内容紹介 SANSの予算確保の仕方 AWS-IRの紹介 Margarita Shotgunの紹介 Review

×