Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Security re:Cap 2017
姜 貴日(Kwiil Kang)
Agenda
1. 新しい発表
1. Amazon GuardDuty連携
2. Managed Rule on AWS WAF
Who am I ?
姜 貴日(Kwiil Kang)
Partner Business SE Dev.
Sales Engineer
Product:Deep Security
Alliance:AWS、Google
VMware vExpe...
宣伝:出展したのはこれ:Trend Micro Deep Security
• Trend Micro Deep Securityは、
サーバセキュリティに必要な複数の
機能を1つの保護モジュールに実装
した総合サーバセキュリティ対策製
品です...
AWS上でよくDeployされる製品として選出
Copyright 2015 Trend Micro Inc.6
新しい発表
<Amazon GuardDuty>
• フルマネージドかつ、継続的なセキュリティ監視お
よび脅威検出サービス
• CloudTrail や VPC Flow Logs、DNS ログ
を含む複数のデータソースからなるイベントを分
析し、インフラ...
Amazon GuardDutyとは?
⁃ ポートスキャン等の偵察行為
⁃ C&Cサーバへの通信
- DGAを利用した通信
- ブルートフォース等のログイン試行
⁃ ビットコインの採掘の不正使用
⁃ CloudTrailの異常なアクティビティ
...
Amazon GuardDutyとの棲み分け
予防
発見
コマンド実行
検知
不正プログ
ラム対策
変更検知IDS検知
IPS遮断
OSへの大量
認証試行検知
パッチ適
用
0.事前準備 1.初期潜入
2.バック
ドア設置
3.侵入拡大
情報探...
Amazon GuardDuty と Deep Securityの違い(2017/12/13時点)
対象リソース AWSアカウント内の全てのEC2とIAM DSがインストールされたEC2インスタンス
サービス概要 フルマネージドの継続的な脅威検...
11 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
段階的に脅威を減らす
DDoS対策
Webアプリケーションの脆弱性
OS/Middlewareの脆弱性
ウイル...
Amazon GuardDuty と Deep Securityの連携
GuardDutyでポートスキャンを検知
LambdaがDSのAPIを実行
DSが推奨設定の検索を開始
DSは保護対象サーバでIPSを有効化
Deep Security G...
Torネットワーク上のIPアドレスと通信
1.推奨スキャン実施して適切な状態にする
2.変更監視にて想定外の変更が発生していないか
3.不正プログラム対策を実施
4.脆弱性対策を有効化(必要であれば)
Backdoorが外部通信(Xor DDo...
Managed Rules on AWS WAF
・ルールは従量課金(費用はトレンドマイクロの場合)
-月額$5 in each region
-$0.20/100万リクエスト in each region
-AWS Marketplaceから...
導入は数クリックで完了
①Marketplaceから購入 ②WAFとRuleを紐づける
Managed Rules on AWS WAF
AWS WAFは自分でルール作成必須
Marketplaceからトレンドマイクロのルールを購入
AWS WAFにルールを紐づける
サーバの手前でAWS WAFによる保護
・製品の契約不要
・製品...
30-Day Free Trial
Upcoming SlideShare
Loading in …5
×

Security re:Cap 2017

18,860 views

Published on

Slide Decks for Security re:Cap 2017@AWS

Published in: Technology
  • Be the first to comment

Security re:Cap 2017

  1. 1. Security re:Cap 2017 姜 貴日(Kwiil Kang)
  2. 2. Agenda 1. 新しい発表 1. Amazon GuardDuty連携 2. Managed Rule on AWS WAF
  3. 3. Who am I ? 姜 貴日(Kwiil Kang) Partner Business SE Dev. Sales Engineer Product:Deep Security Alliance:AWS、Google VMware vExpert 2013-2017
  4. 4. 宣伝:出展したのはこれ:Trend Micro Deep Security • Trend Micro Deep Securityは、 サーバセキュリティに必要な複数の 機能を1つの保護モジュールに実装 した総合サーバセキュリティ対策製 品です。 • サーバ管理者、セキュリティ担当者 が抱えているセキュリティ課題を物 理・仮想・クラウド環境にまたがっ て、トータルに解決します。
  5. 5. AWS上でよくDeployされる製品として選出
  6. 6. Copyright 2015 Trend Micro Inc.6 新しい発表
  7. 7. <Amazon GuardDuty> • フルマネージドかつ、継続的なセキュリティ監視お よび脅威検出サービス • CloudTrail や VPC Flow Logs、DNS ログ を含む複数のデータソースからなるイベントを分 析し、インフラストラクチャの運用における異常を 特定し、機械学習を適用して脅威を非常に正 確に識別します。 <Managed Rule for AWS WAF> • 3rd PartyからのWAFルールの提供を可能に • Trend MicroもGlobalでは利用提供開始、 Marketplaceで購入できる(TM北米サポート) AWS re:Invent2017 セキュリティサービスの発表
  8. 8. Amazon GuardDutyとは? ⁃ ポートスキャン等の偵察行為 ⁃ C&Cサーバへの通信 - DGAを利用した通信 - ブルートフォース等のログイン試行 ⁃ ビットコインの採掘の不正使用 ⁃ CloudTrailの異常なアクティビティ 費用 ■VPC Flow Logs and DNS Log Analysis -First 500 GB / month ⇒ $1.18 per GB ■AWS CloudTrail Event Analysis -Per 1,000,000 events / month ⇒ $4.72 per 1,000,000 events ※https://aws.amazon.com/jp/guardduty/pricing/
  9. 9. Amazon GuardDutyとの棲み分け 予防 発見 コマンド実行 検知 不正プログ ラム対策 変更検知IDS検知 IPS遮断 OSへの大量 認証試行検知 パッチ適 用 0.事前準備 1.初期潜入 2.バック ドア設置 3.侵入拡大 情報探索/情報送出/改ざん 4.踏み台 DB・ファイル 情報漏えい 不正プログラム 設置 ポートスキャン 脆弱性探索 脆弱性の悪用 環境確認 リモート侵入 DB・ファイル アクセス権取得 DB・ファイル 情報取得 DB・ファイ ル 情報の改ざん ・・・ 認証やログ DB情報の 暗号化 許可された通 信以外の検知 危険サイトと の通信遮断 意図しない SQL文の検知 DBへの大量 認証試行検知 不正コマンド 実行の遮断 入口対策 出口対策 内部対策 C&C通信 対策 Deep Securityでの対策範囲 Deep Security以外での対策範囲 コンプラ イアンス 脆弱性棚 卸し Amazon Inspector AWS Config System Manager IAM security group AWS KMS
  10. 10. Amazon GuardDuty と Deep Securityの違い(2017/12/13時点) 対象リソース AWSアカウント内の全てのEC2とIAM DSがインストールされたEC2インスタンス サービス概要 フルマネージドの継続的な脅威検出サービス (Lambdaと連携させる事で遮断も可能) 脅威の検知、遮断を行う製品 検出ソース CloudTrail、VPC Flow Logs(ペイロードは含まれない)、 DNSクエリログ ファイルデータ、パケットインスペクション 既知の脅威検出の テクノロジ AWSのセキュリティ、商用やオープンソースのフィード、顧 客提供のSTIX、感染ホスト情報、匿名化プロキシ、暗号化マ イニングプール、ハッカーのツール等々 トレンドマイクロ提供の -アンチウイルスパターン -脆弱性のシグネチャ -トレンドマイクロのBigData 未知の脅威検出の テクノロジ アノマリ検出 -通常と違った挙動の検出アルゴリズム(正常値との差異やML 等利用) -大規模な研究開発体制 挙動監視 ML 変更監視、ログ監視 アプリケーションコントロール 対応する脅威の代 表的なもの 下記の実行を検出 ■偵察行為 ポートスキャン、脆弱性探索 ■外部通信 C&C通信、不正なDNSクエリ、DGA通信 ビットコインマイニングやビットコイン関連のDNS通信 ■CloudTrailのアクティビティ CloudTrailの無効化、Password Policyの変更 ■不正なログイン試行 ブルートフォース等 ※http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html 下記の実行を遮断 ■許可されていない通信(ポートスキャン含む) ■C&Cや不正サイトへの通信 ■不正プログラムの実行 ■OSやミドルウェアへの脆弱性攻撃 ■登録されていないプログラムの実行 下記の実行を検知 ■サーバの改ざん ■大量の認証試行(ブルートフォースなど) ※SID218 - Introduction to Amazon GuardDuty
  11. 11. 11 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 段階的に脅威を減らす DDoS対策 Webアプリケーションの脆弱性 OS/Middlewareの脆弱性 ウイルス対策 Webからの 脅威の流れ 改ざんの検知 AWS Shield Deep Security AWS WAF • AWSのセキュリティサービスを活用し、DSと 組み合わせることでより効果的な対策を実施 ネットワークセキュリティの範囲 ネットワークセキュリティの範囲 サーバセキュリティの範囲 出口対策 ネットワーク上の不審な振る舞い Amazon GuardDutyネットワークセキュリティの範囲 アプリケーションの実行
  12. 12. Amazon GuardDuty と Deep Securityの連携 GuardDutyでポートスキャンを検知 LambdaがDSのAPIを実行 DSが推奨設定の検索を開始 DSは保護対象サーバでIPSを有効化 Deep Security GitHub:https://github.com/deep-security/amazon-guardduty ⇒コミュニティプロジェクトとして提供されていますので、日本のサポートセンターでは問い合わせ受付していません。GitHubにIssueを上げてください
  13. 13. Torネットワーク上のIPアドレスと通信 1.推奨スキャン実施して適切な状態にする 2.変更監視にて想定外の変更が発生していないか 3.不正プログラム対策を実施 4.脆弱性対策を有効化(必要であれば) Backdoorが外部通信(Xor DDoS、Spambot、C&C) 1.不正プログラム対策を実施 2.変更監視にて想定外の変更が発生していないか Deep Security GitHub:https://github.com/deep-security/amazon-guardduty ⇒コミュニティプロジェクトとして提供されていますので、日本のサポートセンターでは問い合わせ受付していません。GitHubにIssueを上げてください Amazon GuardDuty と Deep Securityの連携
  14. 14. Managed Rules on AWS WAF ・ルールは従量課金(費用はトレンドマイクロの場合) -月額$5 in each region -$0.20/100万リクエスト in each region -AWS Marketplaceから購入※ ※AWS Marketplaceからの購入となりますので、米国のトレンドマイクロからのサポートとなります。
  15. 15. 導入は数クリックで完了 ①Marketplaceから購入 ②WAFとRuleを紐づける
  16. 16. Managed Rules on AWS WAF AWS WAFは自分でルール作成必須 Marketplaceからトレンドマイクロのルールを購入 AWS WAFにルールを紐づける サーバの手前でAWS WAFによる保護 ・製品の契約不要 ・製品/インスタンスの運用不要 ・いつでも解約可能 ・費用は手頃な価格 ・ルールの更新はベンダーまかせ (追加コスト無し) https://aws.amazon.com/jp/mp/security/WAFManagedRules/ トレンドマイクロから2017/12/13時点で用意されているRuleGroup ・Apache Suite - Apache Httpd, Apache Struts, Apache Tomcat ・CMS - Wordpress、Drupal、Joomla
  17. 17. 30-Day Free Trial

×