20160825_DevSecOps_and_security_automation

Transcript

1. Dev Ops and Security Automation Sec ^ Masaki Nabara AWS

   Alliance Manager

2. Copyright 2015 Trend Micro Inc. 2 Who are you?? •

   南原 正樹(Masaki Nabara) • トレンドマイクロでのAWS窓口 • 新卒⇒大阪勤務⇒東京 • 社内の高身長枠 • 趣味：クラフトビール • 好きなAWSのサービス： AWS Config Amazon Inspector AWS WAF

3. Copyright 2015 Trend Micro Inc. 3 Agenda Cloud Security Challenges

   DevSecOps for AWS with DS Detail of our collaboration

4. Copyright 2015 Trend Micro Inc. 4 Cloud Security Challenges

5. Copyright 2015 Trend Micro Inc. 5 Security Market is growing

   IDC Japan http://www.idcjapan.co.jp/Press/Current/20160614Apr.html

6. Copyright 2015 Trend Micro Inc. 6 Why growing?? 脅威 Threats

   標的型攻撃 マルウェア サイバー攻撃 脆弱性 Vulnerabilities セキュリティホール 人為的ミス 心理的要素 情報資産 Assets 機密情報 個人情報 コンプライアンス 出展：Security Strategy by the Cloud in AWS / AWS http://www.slideshare.net/HayatoKiriyama/security-strategy-by-the-cloud-in-aws- aws?qid=1293af89-af84-4f6b-861e-393d54afd9a3&v=&b=&from_search=3

7. Copyright 2015 Trend Micro Inc. 7 Company Risk is Changing…

   企業ニュース 社会イベント 風評 資産投資 組織拡大・変更 人材獲得・配置 ビジネス成長 業態拡大・変更 アセット拡充 脅威 脆弱性 情報資産 Threats Vulnerabilities Assets 出展：Security Strategy by the Cloud in AWS / AWS http://www.slideshare.net/HayatoKiriyama/security-strategy-by-the-cloud-in-aws- aws?qid=1293af89-af84-4f6b-861e-393d54afd9a3&v=&b=&from_search=3

8. Copyright 2015 Trend Micro Inc. 8 Need to think from

   risks

9. Copyright 2015 Trend Micro Inc. 9 But… shortage of Security

   Engineer 2016年6月10日 Security Next http://www.security-next.com/070864

10. Copyright 2015 Trend Micro Inc. 10 How can we protect

    our data?

11. Copyright 2015 Trend Micro Inc. 11 Cloud Security is shared

    responsibility

12. Copyright 2015 Trend Micro Inc. 12 Cloud Security is shared

    responsibility 施設 サーバー ネットワーク 暗号化 脆弱性管理 ファイヤウォール ユーザー認証 セキュリティ診断 インシデント・レスポンス 設備 ストレージ ハイパーバイザー ログ管理 アンチマルウェア IPS/IDS アクセス制御 セキュリティ監査 フォレンジック

13. Copyright 2015 Trend Micro Inc. 13 Cloud Security is shared

    responsibility 施設 サーバー ネットワーク 暗号化 脆弱性管理 ファイヤウォール ユーザー認証 セキュリティ診断 インシデント・レスポンス 設備 ストレージ ハイパーバイザー ログ管理 アンチマルウェア IPS/IDS アクセス制御 セキュリティ監査 フォレンジック Security as code

14. Copyright 2015 Trend Micro Inc. 14 DevSecOps for AWS with

    Deep Security

15. Copyright 2015 Trend Micro Inc. 15 Dev Ops Development 開発

    Operations 運用 ＋

16. Copyright 2015 Trend Micro Inc. 16 Dev Ops ⇒ Dev

    Sec Ops ＋ Development 開発 Operations 運用 Security

17. Copyright 2015 Trend Micro Inc. 17 Key Product Trend Micro

    Deep Security

18. Copyright 2015 Trend Micro Inc. 18 サーバに必要なセキュリティ機能をAll in Oneで提供する 多層防御に対応したホスト型のセキュリティソリューション

    多 層 防 御 Trend Micro Deep Security

19. Copyright 2015 Trend Micro Inc. 19 Server Harding と で多層的な防御の仕組みを構築

    予防 発見 情 報 ファイア ウォール 侵入防御 不正プログラム 対策 セキュリティ ログ監視 変更監視 Deep Security Agent 発見＝モニタリング 予防＝ブロック

20. Copyright 2015 Trend Micro Inc. 20

21. Copyright 2015 Trend Micro Inc. 21

22. Copyright 2015 Trend Micro Inc. 22 Improved account management, grouping

    and segmentation Automatic placement of servers into infrastructure grouping

23. Copyright 2015 Trend Micro Inc. 23 Smart Folders: Organize workloads

    from any environment with tags Organize by application, or development vs production Workloads are multi-tiered Applications spanning cloud and data center

24. Copyright 2015 Trend Micro Inc. 24 Deep Security SOAP &

    Rest APIs

25. Copyright 2015 Trend Micro Inc. 25 Detail of our collaboration

26. Copyright 2015 Trend Micro Inc. 26 https://github.com/deep-security 本ツールに関してはGitHubに フリーツールとして公開されています。 リクエストはGitHubのissueまで

27. Copyright 2015 Trend Micro Inc. 27

28. Copyright 2015 Trend Micro Inc. 28 DevSecOps with Deep Security

    EC2 Amazon Inspector Deep Security AWS WAF AWS Config 予測・評価 検知・防御 監査 脆弱性情報（CVE）を 元にルール有効化 インスタンスのアプリケー ション情報を元にWAF ルールを実装 社内ルールで決められた ポリシーが実装されているかをチェック 監視・対処 Amazon SNS SNS経由でのイベント通知 （トリガーにアクションを自動化 も可能）

29. Copyright 2015 Trend Micro Inc. 29 Amazon Inspector連携 DEEP SECURITY

    ON AWS 予測・評価 Amazon Inspector Deep Security

30. Copyright 2015 Trend Micro Inc. 30 /amazon-inspector • アプリケーションのセキュリティ診断ツール •

    ビルトインのルールパッケージを選択可能  Common Vulnerabilities & Exposures  Center for Internet Security – Secure Configration Benchmarks  Security Best Practices  Runtime Behavior Analysis 診断後の対策は？ Deep Securityで防御

31. Copyright 2015 Trend Micro Inc. 31 /amazon-inspector（一部予定） Amazon Inspectorのアセスメント結果に応じて仮想パッチを自動適用 ※現状CVEのマッチングのみ

    Deep Securityで 保護された instance Amazon Inspector Deep Security as a Service アセスメント結果 CVE-2015-7499 CVE-2014-8176 CVE-2014-9140 CVE-2015-5312 CVE-2015-8242 ②脆弱性に対応する仮想パッチ(IPSルール)を適用 ③攻撃を ブロック 攻撃者 Lambda

32. Copyright 2015 Trend Micro Inc. 32 AWS WAF連携 Deep Security

    検知・防御 AWS WAF

33. Copyright 2015 Trend Micro Inc. 33 クラスメソッド株式会社 森永 大志さんから ご紹介頂きます！

    クラスメソッド 二次元社員 めそ子 さん

34. Copyright 2015 Trend Micro Inc. 34 Amazon SNS連携 Deep Security

    監視・対処 Amazon SNS

35. Copyright 2015 Trend Micro Inc. 35 /amazon-SNS Deep Security as

    a Serviceにてイベント発生 時にSNSへ発報が可能。

36. Copyright 2015 Trend Micro Inc. 36 Collaboration Image Cloud Watch

    （リソース監視） Amazon SNS 通知サービス AWS Lambda 各種アクション実行 DSaaS （セキュリティ監視） Event/log Amazon SNS Lambda セキュリティイベントに応じて各種の 運用アクションを実行できるように 実装することが可能 CloudWatch 監視・対処

37. Copyright 2015 Trend Micro Inc. 37 AWS Config連携 Deep Security

    AWS Config 監査

38. Copyright 2015 Trend Micro Inc. 38 /aws-config – 予め設定した“準拠すべきルール”に沿った 構成変更が行われているかを評価するサービス

    すべてのEBSボリュームが暗号化されているか？ EC2インスタンスが適切にタグ付けされているか？ 等 AWS Managed Rules Customer Managed Rules AWSにより定義・提供される ベーシックなルール 自分でAWS Lambdaをベースに ルール作成可能

39. Copyright 2015 Trend Micro Inc. 39 /aws-config  Deep Securityを入れたすべてのEC2インスタンスで

    不正プログラム対策を有効にしていること  Deep Securityを入れたすべてのEC2インスタンスに セキュリティ対策製品が導入されていること  Deep Securityを入れたすべてのEC2インスタンスで決められた セキュリティポリシー設定が反映されていること  Deep Securityを入れたEC2インスタンスで アラートが発令されていないこと トレンドマイクロがGitHubで提供するカスタムルール

40. Copyright 2015 Trend Micro Inc. 40 /aws-config AWS Config Lambda

    Amazon S3 S3上のルールファイルを元にDeep Security ManagerからAPI経 由で情報取得を実行 チェック対象のインスタンス情報を 指定してチェック ルールパラメータに合致しているかど うかを表示 Deep Seucrityから情報取得す るルールファイルを格納 ds-DoesInstanceHavePolicy.zip ds-IsInstanceClear.zip ds-IsInstanceProtectedBy.zip ds-IsInstanceProtectedByAntiMalware.zip Deep Security Manager

41. Copyright 2015 Trend Micro Inc. 41 /aws-config

42. Copyright 2015 Trend Micro Inc. 42 Cloud Security is shared

    responsibility 施設 サーバー ネットワーク 暗号化 脆弱性管理 ファイヤウォール ユーザー認証 セキュリティ診断 インシデント・レスポンス 設備 ストレージ ハイパーバイザー ログ管理 アンチマルウェア IPS/IDS アクセス制御 セキュリティ監査 フォレンジック Security as code

43. Copyright 2015 Trend Micro Inc. 43 Cloud Security is shared

    responsibility 施設 サーバー ネットワーク 暗号化 脆弱性管理 ファイヤウォール ユーザー認証 セキュリティ診断 インシデント・レスポンス 設備 ストレージ ハイパーバイザー ログ管理 アンチマルウェア IPS/IDS アクセス制御 セキュリティ監査 フォレンジック Security as code with Deep Security

44. Thank you