Amazon GuardDutyでマルチアカウントのセキュリティを効率的に強化しよう！

Transcript

1. Amazon GuardDutyでマルチアカウント のセキュリティを効率的に強化しよう！ NRIネットコム TECH AND DESIGN STUDY#29 2024年4月25日 NRIネットコム株式会社

   デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. Amazon GuardDutyとはどんなサービス？

   02 マルチアカウント管理におけるAmazon GuardDutyの活用 03 補足 04 自己紹介 01

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   大林 優斗 自己紹介 ⚫ 氏名：大林 優斗 ⚫ 経歴 • 2022年 4月 NRIネットコム株式会社 新卒入社 • 2022年 8月 ITSデザイン事業部に配属 • 2023年 4月 クラウド事業推進部に異動 • ～現在 AWSを活用したシステムの設計・開発 ◼ AWS認定資格

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon GuardDutyとはどんなサービス？

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon GuardDutyとは ◼ アカウント、AWSリソースに対する潜在的な脅威や不正なアクティビティを検出する Amazon GuardDutyとはどんなサービス？ 保護プラン Amazon GuardDuty VPC Flow Logs AWS CloudTrail DNS Query Logs Amazon EC2 Amazon EKS Amazon ECS Amazon RDS AWS Lambda Amazon S3 Amazon EBS AWS Cloud

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon GuardDuty S3 Protection ◼ CloudTrailのデータをもとにAWSアカウント内の全てのS3バケットに対する脅威をモニタリング ⚫ 特定のIPアドレスやコンピュータからAPIが実行される ⚫ データ削除などのデータ操作ができるAPIが実行される ⚫ パブリック公開などの危険な設定 ◼ 検出結果の一例 ⚫ Discovery:S3/AnomalousBehavior • 通常とは異なるアクセスパターンや、予期せぬ場所からのアクセス ⚫ Discovery:S3/MaliciousIPCaller • 悪意のあるIPアドレスからのデータへの不正アクセス ⚫ Impact:S3/AnomalousBehavior.Delete • S3バケットからのファイルの異常な削除アクション ⚫ PenTest:S3/KaliLinux • Kali LinuxからのアクセスがS3リソースに対して検出された ⚫ PenTest:S3/ParrotLinux • Parrot LinuxからのアクセスがS3リソースに対して検出された Amazon GuardDutyとはどんなサービス？

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon GuardDuty S3 Protection ◼ 仕組み ◼ コスト ⚫ 最初の5億イベント/月：100 万イベントあたり 1.04USD（東京リージョン） ⚫ 最初の5億イベント/月：100 万イベントあたり 0.80USD（バージニア北部リージョン） Amazon GuardDutyとはどんなサービス？ Amazon GuardDuty AWS CloudTrail Amazon S3 S3 Data Plane Events データソース AWS Cloud

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon GuardDuty EKS Protection ◼ Amazon EKSクラスターへの不正なアクティビティを監視 ⚫ 不正なIPアドレスからのデータ取得などの不審な動きはないか ⚫ ダッシュボードが公開されていないか ⚫ 認証されていないユーザーによってKubernetes APIが呼び出されていないか ◼ 検出できる脅威の一部： ⚫ CredentialAccess:Kubernetes/MaliciousIPCaller • 悪意のあるIPアドレスからのアクセス ⚫ DefenseEvasion:Kubernetes/SuccessfulAnonymousAccess • 匿名ユーザーによってKubernetes APIが呼び出された ⚫ Impact:Kubernetes/TorIPCaller • Tor ネットワークを使用するIPアドレスからアクセスされた場合 ⚫ Persistence:Kubernetes/ContainerWithSensitiveMount • コンテナがセンシティブなデータを含む可能性のあるディレクトリをマウントした場合 ⚫ Policy:Kubernetes/AdminAccessToDefaultServiceAccount • デフォルトサービスアカウントに管理者権限の付与 Amazon GuardDutyとはどんなサービス？

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

   Amazon GuardDuty EKS Protection ◼ 仕組み ◼ コスト ⚫ 最初の 1 億イベント/月：2.48USD/100 万件（東京リージョン） ⚫ 最初の 1 億イベント/月：1.60USD/100 万件（バージニア北部リージョン） Amazon GuardDutyとはどんなサービス？ アカウント Amazon GuardDuty AWS CloudTrail EKS Audit Log DNS Query Logs VPC Flow Logs

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty Malware Protection ◼ 監視対象 ◼ EBSボリュームに対してマルウェアスキャンを実行する ⚫ 実行タイミング：潜在的にマルウェアに感染した可能性のあるアクティビティの検知、24時間間隔で自動スキャン ※前回のスキャンから24時間未満であれば、新たな検出があったとしてもスキャンされない ⚫ 暗号化されていているかどうかにかかわらずスキャン可能 ※デフォルトのKMSキーで暗号化されたボリュームはスキャンできない ◼ トリガー検知イベントの一部： ⚫ Backdoor:EC2/C&CActivity.B • C&Cサーバーと通信している可能性がある ⚫ CryptoCurrency:EC2/BitcoinTool.B • ビットコインまたはその他の仮想通貨に関連するツールの使用 ⚫ Impact:EC2/AbusedDomainRequest.Reputation • 悪意あるドメインに対して通信を試みた Amazon GuardDutyとはどんなサービス？ Amazon EC2 Amazon EKS Amazon ECS

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty Malware Protection ◼ 仕組み ◼ コスト ⚫ 1GBあたり/月：0.05USD（東京リージョン） ⚫ 1GBあたり/月：0.03USD（バージニア北部リージョン） Amazon GuardDutyとはどんなサービス？ Amazon GuardDuty 利用者側アカウント Amazon EC2 AWS側管理：GuardDutyサービスアカウント Amazon EBS EBS Snapshot EBS Snapshot Amazon EBS 検知 スナップショットの作成と共有 スキャン スキャン結果を反映する

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty RDS Protection ◼ Amazon RDSへの異常・疑わしいログインを検知する ⚫ DBへの疑わしいログイン ⚫ 有効化してから最初の検出までしばらく時間がかかる ⚫ Aurora MySQL(バージョン2.10.2 および 3.2.1 以降)、Aurora PostgreSQL(10.17、11.12、12.7、13.3、および 14.3 以降) ◼ 検知イベント例： ⚫ CredentialAccess:RDS/AnomalousBehavior.SuccessfulLogin • 異常な方法でRDSデータベースに正常にログイン ⚫ CredentialAccess:RDS/AnomalousBehavior.FailedLogin • 異常なログイン試行の失敗が1回以上検出された ⚫ CredentialAccess:RDS/AnomalousBehavior.SuccessfulBruteForce • ブルートフォース攻撃の成功 ⚫ CredentialAccess:RDS/MaliciousIPCaller.SuccessfulLogin • 悪意のあるIPアドレスからのログイン Amazon GuardDutyとはどんなサービス？

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty RDS Protection ◼ 仕組み ◼ コスト ⚫ プロビジョンド RDS インスタンス：vCPU あたり 1.33USD（東京リージョン） ⚫ Aurora サーバーレス v2 インスタンス：vCPU あたり 0.33USD（東京リージョン） ⚫ プロビジョンド RDS インスタンス：vCPU あたり 1.00USD（バージニア北部リージョン） ⚫ Aurora サーバーレス v2 インスタンス：vCPU あたり 0.25USD（バージニア北部リージョン） Amazon GuardDutyとはどんなサービス？ AWS Cloud Virtual private cloud (VPC) Amazon Aurora Amazon GuardDuty ログインアクティビティを監視

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty Lambda Protection ◼ Lambda関数に対する脅威をモニタリング ⚫ Lambda関数のネットワークアクティビティログを監視 ⚫ Lambda@Edge関数は含まれない ⚫ 監視するデータ量に応じてコストがかかるため、トライアル期間でコストを確認 ◼ 検出結果の一部 ⚫ UnauthorizedAccess:Lambda/MaliciousIPCaller.Custom • 悪意のあるIPアドレスからのアクセス ⚫ Trojan:Lambda/DropPoint • トロイの木馬型のマルウェアが検出され、それが他の悪意のあるファイルやペイロードをダウンロードしようとする場合 ⚫ Backdoor:Lambda/C&CActivity.B • C&Cサーバーとの通信 ⚫ CryptoCurrency:Lambda/BitcoinTool.B • 仮想通貨のマイニングに使用されている可能性がある場合 ⚫ Trojan:Lambda/BlackholeTraffic • ブラックホールとして知られている通信の発生 Amazon GuardDutyとはどんなサービス？

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty Lambda Protection ◼ 仕組み ◼ コスト ⚫ 最初の 500 GB/月：1 GB あたり 1.18USD（東京リージョン） ⚫ 最初の 500 GB/月：1 GB あたり 1.00USD（バージニア北部リージョン） Amazon GuardDutyとはどんなサービス？ Amazon GuardDuty VPC Flow Logs AWS Lambda データソース DNS Query Logs AWS Cloud

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty Runtime Monitoring ◼ OSレベルのイベントを監視および分析して、脅威を検出する ⚫ GuardDutyエージェントとVPCエンドポイントの作成が必要 ⚫ ポートスキャン活動、既知の悪意のあるIP、ドメインへのアクセスを検出 ⚫ 自動エージェント設定によりGuardDutyエージェントのデプロイとVPCエンドポイントの作成が自動で行われる ⚫ EC2はAmazon Linux2とAmazon Linux2023のみサポート（ 2024/4/25時点） ◼ 検出できる脅威の一部（ランタイムモニタリングによって新たに検知できるようになった）： ⚫ DefenseEvasion:Runtime/ProcessInjection.Proc • プロセスインジェクションが行われた場合 ⚫ DefenseEvasion:Runtime/ProcessInjection.VirtualMemoryWrite • 攻撃者が他のプロセスの仮想メモリ領域にデータを書き込むことでプロセスインジェクションを行った場合 ⚫ Execution:Runtime/ReverseShell • リバースシェルが実行された場合 ⚫ DefenseEvasion:Runtime/FilelessExecution • ファイルレス実行攻撃が検出された場合 Amazon GuardDutyとはどんなサービス？

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty Runtime Monitoring ◼ 仕組み ◼ コスト ⚫ EKSランタイムモニタリング：最初の 500 個の vCPU /月 → vCPU あたり 2.00USD ⚫ ECSランタイムモニタリング：最初の 500 個の vCPU /月 → vCPU あたり 2.00USD ⚫ EC2ランタイムモニタリング：最初の 500 個の vCPU /月 → vCPU あたり 2.00USD Amazon GuardDutyとはどんなサービス？ アカウント Amazon GuardDuty Amazon EC2 Amazon EKS Amazon ECS Virtual private cloud (VPC) Private subnet VPC Flow Logs AWS CloudTrail DNS Query Logs

18. 17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty Runtime Monitoring ◼ 自動エージェント設定を採用した場合 ⚫ EC2、EKS、ECS(Fargate)にGuardDutyのエージェントが自動でデプロイされ、VPCエンドポイントの作成も自動で行われる ⚫ 除外タグ(GuardDutyManaged : false)を付与することで、自動でエージェントがデプロイされることを防げる ◼ 手動エージェント設定を採用した場合 ⚫ エージェントの手動デプロイとVPCエンドポイントの作成または「GuardDutyManaged:true 」のタグを設定する必要がある ◼ エージェントのデプロイ、VPCエンドポイントが作成された後に除外タグを付与した場合の挙動 ⚫ 既にエージェントのデプロイが行われた後、除外タグを付与してもエージェントとVPCエンドポイントは削除されない ⚫ EC2 • 除外タグを付与した後にセキュリティエージェントは削除されず、ランタイムモニタリングは動作し続ける ⚫ EKS • 除外タグを付与した後にセキュリティエージェントは削除されず、ランタイムモニタリングは動作し続ける ⚫ ECS(Fargate) • 除外タグを付与した後にセキュリティエージェントは削除されず、ランタイムモニタリングは動作し続ける • 除外タグを付与した後に当該クラスターでサービスの更新およびタスクの再起動を実行すると、新規のタスクには GuardDuty のサイドカーコンテナが自動的に作成されない Amazon GuardDutyとはどんなサービス？

19. 18 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDutyの信頼されているIPリスト/脅威IPリスト ◼ IPリストに基づいて、脅威の判定を行うことができる ◼ デフォルト：信頼されているIPリストは1つまで、脅威IPリストは6つまで作成できる ◼ リストはS3バケットにアップロードする必要がある Amazon GuardDutyとはどんなサービス？ AWSマネジメントコンソール

20. 19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    マルチアカウント管理におけるAmazon GuardDutyの活用

21. 20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDutyを利用する上での3つのポイント ◼ 全てのAWSアカウント、全ての利用リージョンで有効化する ⚫ 利用しないリージョンはSCPでリージョン拒否設定 ◼ 検出結果を定期的に確認 ⚫ 検出結果は常に変化するため定期的な確認が必要 ⚫ 結果更新頻度はデフォルトだと6時間、15分間隔がおすすめの設定 ◼ AWS Security Hubとの連携 ⚫ AWS Security HubのホームリージョンからAmazon GuardDutyの全ての検出結果を確認できる マルチアカウント管理におけるAmazon GuardDutyの活用

22. 21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDutyで統制を効かせる上でのポイント ◼ 3つのポイント マルチアカウント管理におけるAmazon GuardDutyの活用 世界観 コスト 体制 AWS Cloud ？

23. 22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDutyを使用したマルチアカウント設計 マルチアカウント管理におけるAmazon GuardDutyの活用 Root OU マネジメントアカウント Security OU 監査アカウント System OU アカウント_01 アカウント_02 AWS Control Tower Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty 委任

24. 23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty + AWS Organizations ◼ AWS Organizationsと組み合わせると何が嬉しいのか ⚫ Amazon GuardDutyの委任先アカウントからの管理が可能 ※Amazon GuardDutyはリージョンごとのサービスなので、マネコンから有効化、もしくはCLIなどから有効化する ◼ よくある問い合わせ ⚫ 組織に追加された新しいアカウントでAmazon GuardDutyを自動で有効化できるなら、OUを指定してGuardDutyの有効化す る保護プランの設定は変えられるのでは？ A. OUを指定した一括有効化はできない。CLIかスクリプトを実行して対応する マルチアカウント管理におけるAmazon GuardDutyの活用

25. 24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDutyとAWS Security Hubを使用したマルチアカウント設計 マルチアカウント管理におけるAmazon GuardDutyの活用 Root OU マネジメントアカウント Security OU 監査アカウント System OU アカウント_01 アカウント_02 AWS Control Tower Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty 委任 AWS Security Hub 集約

26. 25 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    検知と通知 マルチアカウント管理におけるAmazon GuardDutyの活用 監査アカウント アカウント_01 Amazon GuardDuty Amazon GuardDuty Amazon EventBridge Amazon SNS 管理者 SNS通知 Security OU System OU アカウント_02 Amazon GuardDuty アカウント_03 Amazon GuardDuty AWS Security Hub

27. 26 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    検知後の対応 ◼ 手動での対応例 ① 検知に上がったリソースをSecurity Hubで確認する ② 検知内容に応じた対応を実施する • インスタンスの停止 • Inspectorの検出結果を確認 • セキュリティグループの変更 ◼ 一部自動対応の可能 マルチアカウント管理におけるAmazon GuardDutyの活用 Amazon GuardDuty 利用アカウント Amazon EC2 検知 Amazon EventBridge AWS Lambda Amazon SNS 管理者 修復 SNS通知

28. 27 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    補足

29. 28 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します

    Amazon GuardDuty Runtime MonitoringのUIについて ◼ 「新しいアカウントについて自動有効化」のUIに差異がある 補足 トップページ 編集ページ AWSマネジメントコンソール AWSマネジメントコンソール
30. None