AWS固有のセキュリティリスクと対策

 AWS固有のセキュリティリスクと対策

AKIBA.AWS #10 Developers.IO東京 前夜祭!AWS Update LT大会の資料です。
AWS使ってればセキュリティは安心?
きちんと理解してAWSでもセキュリティ対策しましょう。
#akibaaws

A857277d74d4719f7f7751dca5ed553e?s=128

cm-usuda-keisuke

October 04, 2018
Tweet

Transcript

  1. "84ݻ༗ͷηΩϡϦςΟϦεΫͱରࡦ  ӓాՂ༞ ",*#"BXTୈճ

  2. ࣗݾ঺հ   ӓాɹՂ༞ ɾΫϥεϝιουגࣜձࣾ ɾ"84ࣄۀຊ෦ ɹιϦϡʔγϣϯΞʔΩςΫτ ɹɹηΩϡϦςΟνʔϜ ɾ4FDVSJUZ+"84ӡӦ ɾ޷͖ͳαʔϏε

    ɹ"848"'Ϛωʔδυϧʔϧ New
  3. Attention ࠓճ͸ਖ਼࿦ͰϚ΢ϯτΛऔͬͯԥΓ͔͔ΔελΠϧ ͱͳ͓ͬͯΓա৒ͳදݱؚ͕·Ε·͢ ౰೔͸΍΍ڵฃؾຯͰ͠Ό΂͍ͬͯ·ͨ͠ ੜஆ͔͍໨Ͱݟ͍ͯͩ͘͞

  4. ಥવͰ͕͢   ʮAWSͬͯηΩϡϦςΟ΋͔ͬ͠Γ͍ͯͯ͠ ҆৺ͯ͠࢖͑·͢ΑͶʯ ͱ͔ฉ͍ͨ͜ͱ͋Γ·ͤΜ͔ʁ

  5. ࠷ۙ͜Μͳهࣄ͕ग़͍ͯ·ͨ͠   &$্ͷ"84$-*Ͱ࢖ΘΕ͍ͯΔʹ͍ͭͯ IUUQLB[VIIBUFOBCMPHKQFOUSZ &$Ͱ͸ɺΠϯελϯε಺͔ΒIUUQ ʹΞΫηε͢ΔͱɺͦͷΠϯελϯεʹؔ͢Δ৘ใ͕औಘͰ͖Δ Α͏ʹͳ͍ͬͯ·͢ɻ ŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠŠ ྫ͑͹͜͜ʹIUUQMBUFTUNFUBEBUB

    JBNTFDVSJUZDSFEFOUJBMTͱ͍͏63-Λ౤͛Δͱʜʜ͝૝ ૾ͷ௨ΓɺDSFEFOUJBM͕ୣ͑·͢ɻ
  6. &$্Ͱಈ͘XFCγεςϜͰ*".3PMFͷ৘ใࡡऔ   ಺༰ͱͯ͠͸γεςϜ͕Ϣʔβ͔Βड͚औͬͨෆਖ਼ͳ63-ʹΞΫηε͢Δͱ*". 3PMFͷҰ࣌ΫϨσϯγϟϧΛΠϯελϯεϝλσʔλ͔ΒऔಘͰ͖ͯ͠·͏ͱ͍͏ ΋ͷ Ӭଓతʹར༻Ͱ͖ΔΘ͚Ͱ͸ͳ͍͕ɺͦͷ*".3PMFͷݖݶͰ"84؀ڥΛૢ࡞Ͱ͖ Δ 4΁ͷॻ͖ࠐΈݖݶͱ͔&$ ͷૢ࡞ݖݶ͕͋Δͱ·͋େม

    ϑΝΠϧΛϚϧ΢ΣΞʹஔ͖׵ ͑ͨΓେྔͷ&$ͰԾ૝௨՟Λ ϚΠχϯάͨ͠ΓͰ͖Δ
  7. ΋͏Ұݸهࣄ͕͋Γ·͢   ʮ"TTVNFUIF8PSTU&OVNFSBUJOH"843PMFT UISPVHIb"TTVNF3PMF`ʯ "84ͷ໾ׂΛʮ"TTVNF3PMFʯ Ͱྻڍ͢Δ࠷ѱͷ৔߹Λ૝ఆ͠·͢ɻQPXFSFECZHPPHMF  IUUQTSIJOPTFDVSJUZMBCTDPNBXTBTTVNFXPSTUBXTBTTVNFSPMFFOVNFSBUJPO ಺༰͸ΞΧ΢ϯτ*%ͷ࿙Ӯ΍*".3PMFͷਪଌ͔Β

    "TTVNF3PMFΛར༻ͯ͠"84ΞΧ΢ϯτΛ৐ͬऔΔ͜ ͱ͕Ͱ͖Δͱ͍͏΋ͷ
  8. ஌ͬͯΔਓ͸஌͍ͬͯΔ͚Ͳ   ʮAWS͔ͩΒ҆৺ͯ͠࢖͑Δʁʯ ͋Ε͸ӕͩ

  9. "84Ͱ΋͍ͭ΋Ͳ͓ΓͷηΩϡϦςΟΛ   w "84Ͱ΋࣮૷΍ӡ༻Ͱ࡞Γࠐ·ΕΔ੬ऑੑ͸Φϯϓ Ϩ΍ଞͷΫϥ΢υͱಉ͡Α͏ʹ͋Δ w ΋ͪΖΜɺ"84ݻ༗ͷηΩϡϦςΟϦεΫ΋͋Δʂ

  10. ิ଍΋ͪΖΜ"84͔ͩΒྑ͍෦෼΋͍ͬͺ͍͋Δ   w ΦϯϓϨϛεͰ'JSFXBMMΛ ༧ࢉΛένͬͯ ೖΕͣʹ࢖ͬ ͍ͯΔΑΓ΋4FDVSJUZ(SPVQͰແঈͰ؆୯ʹ--ͷอ ޢ͕Ͱ͖Δ w

    ෺ཧ؀ڥͷ؅ཧ͸"84͕ΊͬͪΌ͔ͬ͠Γ͍ͯͯ҆͠৺ Ͱ͖Δ w ͳͲͳͲϝϦοτ͸ͨ͘͞Μ͋Δʜ w ʮηΩϡϦςΟ͔ͬ͠Γ͍ͯ͠ΔʯͷൣғΛऔΓҧ͑Δͳʂ
  11. ͱ͍͏Θ͚Ͱ   AWSݻ༗ͷηΩϡϦςΟϦεΫΛ ߟ͍͑ͯ͘

  12. ઌʹޙ൒ͷ"TTVNF3PMFʹΑΔ৐ͬऔΓͷରࡦ   ͪ͜Β͸هࣄʹৄࡉͳղઆ͕͋ΔͷͰׂѪ ๷ࢭࡦ͸࣍ͷ͕ͭڍ͛ΒΕ͍ͯΔ  ௥ՃͷΞΫηεΛඞཁͱ͢Δ"84αʔϏε·ͨ͸*".Ϣʔ βʔΞΧ΢ϯτͷΈΛ۩ମతʹϦετ͢Δݫີͳ "TTVNF3PMFϙϦγʔΛཁٻ͢Δ 

    "84Ϧιʔεʹڞ௨ͷਪଌՄೳͳ໊લΛ࢖༻͠ͳ͍Ͱͩ͘ ͍͞  "84ΞΧ΢ϯτ*%Λެ։͠ͳ͍Α͏ʹ͢Δ
  13. *".3PMFͷҰ࣌ΫϨσϯγϟϧ࿙Ӯʹ͍ͭͯͷ֓ཁ   w &$ʹ͸Πϯελϯεͷ৘ใΛऔಘ͢ΔͨΊͷΠϯελϯε ϝλσʔλ͕͋ΓɺIUUQ ϦϯΫ ϩʔΧϧΞυϨε ͰΞΫηεͰ͖Δ w

    ΠϯελϯεϝλσʔλͰ*".3PMFͷҰ࣌ΫϨσϯγϟϧ ΛऔಘՄೳ w XFCγεςϜͰ֎෦͔Βࢦఆͨ͠63-΁ΞΫηε͢Δ࢓૊ ΈΛ࣋ͭ৔߹ʹ͜ͷϦεΫ͕͋Δ ྫͱͯ͠֎෦ͷը૾Λऔ ಘͯ͠ϦαΠζͨ͠ΓɺϢʔβ౤ߘͷ63-Λݕূ͢Δγες Ϝ౳
  14. ͜͜Ͱɺ֤୲౰ऀͷݟղ   w Πϯϑϥ୲౰ऀ w ʮͲ͏ߟ͑ͯ΋ΞϓϦͷ࣮૷ͷ໰୊΍ΖɻΞϓϦ୲౰ऀͳ Μͱ͔͠Ζʯ w ΞϓϦ୲౰ऀ

    w ʮΠϯϑϥʹ"84࢖͏ͷ͕ѱ͍Μ΍ΖɻΠϯϑϥ୲౰ऀͳ Μͱ͔͠Ζʯ
  15. ࢲͷҙݟ   ͓લΒ(ͪΌΜͱࣗ෼ͷ)࢓ࣄ͠Ζ

  16. ໾ׂతͳਖ਼࿦   w Πϯϑϥ୲౰ऀ͸Πϯϑϥʹ੹೚͕͋ΔΜ͔ͩΒΠϯ ϑϥͰͰ͖ΔηΩϡϦςΟରࡦ͸͖ͬͪΓ΍Ε w ΠϯϑϥͷಛੑͰΞϓϦʹӨڹ͕͋Γͦ͏ͳΒͪΌΜ ͱ৘ใڞ༗͠Ζ w

    ΞϓϦ୲౰ऀ͸Ϣʔβʹ௚઀ૢ࡞͞ΕΔ෦෼͔ͩΒΑ ΓηΩϡϦςΟʹؾΛ͚ͭΖ w ΠϯϑϥͷಛੑͳΜ͔஌ΒΜͱ͸ݴΘͤͳ͍ͧ
  17. ͭ·Γ   ηΩϡϦςΟؚΊ ࣗ෼ͨͪͷγεςϜ͸ ࣗ෼ͨͪͰ࿈ܞͯ͠ͳΜͱ͔͠Ζ

  18. ࿩͸ҳΕ·͕ͨ͠   ΋͏গٕ͠ज़తͳ࿩

  19. ·ͣେࣄͳߟ͑   w ηΩϡϦςΟ͸ͭͷཁૉͰ͸कΕ·ͤΜ w جຊ͸ଟ૚๷ޚͰ͢ w ͍ΖΜͳ΋ͷΛ૊Έ߹Θͤͯରࡦ͠·͠ΐ͏ w

    Πϯϑϥ΋ΞϓϦ΋ͦΕͧΕͰؤுΔඞཁ͕͋Γ·͢
  20. ੬ऑੑͷ௚઀తݪҼͱͳΔΞϓϦ͔Β   w ࠓճ͸IUUQ΁ΞΫηεͰ͖ Δ͜ͱ͕໰୊Ͱ͋Δ w ࠓճ͜Ε͸443' αʔόαΠυϦΫΤετϑΥʔδΣ Ϧʔ

    ͱ͍͏੬ऑੑͱͯ͠දݱ͞Ε͍ͯΔ ೖྗ஋ͱͯ͠ड͚औͬͨ*1ΞυϨε΍63-΁αʔόʔଆͷΞϓϦέʔ γϣϯ͕ϦΫΤετ͢Δॲཧ͕͋Δɻͦͷࡍͷೖྗ஋ݕূʹෆඋ͕ ͋Γɺ಺෦ωοτϫʔΫͷϗετ΁ͷϦΫΤετΛِ૷͞ΕΔ໰୊ ͕αʔόʔαΠυϦΫΤετϑΥʔδΣϦʢ443'ʣͰ͋Δɻ αΠϘ΢ζ੬ऑੑใ঑੍ۚ౓Ͱೝఆ͞Εͨ443'u(JU)VC IUUQTHJTUHJUIVCDPNBUTVOPEBFCDCDCCCBDBDFG
  21. 443'΁ͷରࡦ͸"84ݻ༗Ͱ͸ͳ͍   w ݹདྷΑΓ֎෦63-΍'2%/Λࢦఆ͢Δ෦෼Ͱ MPDBMIPTU΍ɺਪଌ͞ΕΔϓϥΠϕʔτ*1 Λࢦఆ͢Δ߈ܸ͸͋Γɺೖྗ஋ͷݕূ͸ΞϓϦଆͰߦ ͏ඞཁ͕͋Δ w ϒϥοΫϦετ΍ਖ਼نදݱͰରࡦ͢Δ͕ɺΑ͘ݕূෆ

    උ͕ى͜Δ
  22. ೖྗ஋ͷݕূ͸؆୯Ͱ͸ͳ͍   w *1ΞυϨεͷදݱʹ͸ਐ਺΍ਐ਺͕࢖͑Δ w ΍ͷΑ͏ͳҰൠతͰͳ ͍ܗࣜͷ*1ΞυϨε΋ɺͱಉ͘͡ϧʔϓ όοΫΞυϨεͱͯ͠ղऍ͞ΕΔ w

    ϚΠφʔͳදݱ΋ߟ͑Δͱ໢ཏతʹೖྗ஋ݕূ͢Δ͜ ͱ͚ͩʹཔͬͯ͸͍͚ͳ͍
  23. ΞϓϦϨΠϠʔͰͷଞͷରࡦ   w ෆ༻ҙʹ֎෦ͷ஋Λར༻͠ͳ͍͍ͯ͘ͳΒͦΕ͕Ұ൪ w Ͳ͏ͯ͠΋63-Λऔಘͯ͠ΞΫηε͢Δඞཁ͕͋Δͳ ΒϨεϙϯεͷݕূ΋ߦ͏ w ը૾ͳΒ$POUFOU5ZQF͕JNBHF

    Ͱ͋Δ͔΍ϑΝΠϧϔο μ͕ը૾Ͱ͋Δ͔౳ w ظ଴ͯ͠ͳ͍஋΍Τϥʔͷ৔߹͸ෆཁͳ৘ใΛϢʔβ ʹϨεϙϯε͠ͳ͍ ϩάʹ͸ग़͢
  24. ΠϯϑϥͰͷରࡦ   w ಛʹϑϩϯτͷXFCαʔό΍"1αʔό͕֎෦ΞΫηε ͢Δ໾ׂΛ࣋ͭ৔߹ɺΞλον͢Δ໾ׂ *".3PMF Λ ࠷খݶʹ͢Δ ࠷খݖݶͷݪଇ

     w ηΩϡϦςΟάϧʔϓ͸૝ఆ͞ΕΔΞΫηεͷΈʹߜ Δ ෆਖ਼ར༻࣌ͷ૝ఆ֎ͷଞͷαʔό΁ͷϦΫΤετͷ ๷ࢭ  w 71$ϑϩʔϩάͰ3FKFDUΛऔಘ ෆਖ਼ͳ௨৴ͷه࿥ɾ ݕ஌
  25. ΠϯϑϥͰͷରࡦ   w Πϯελϯεϝλσʔλ΁ͷΞΫηε͸ࢭΊΒΕͳ͍ w *".3PMFͷݖݶͰ"1*Λ࣮ߦ͢Δࡍʹ͸ඞਢ w ඞཁҎ্ͷ੍ݶΛߦͬͯརศੑΛԼ͛ΔͷͰ͸ͳ͘ɺ ݕ஌΍ແ֐ԽΛ૊Έ߹Θ͍ͤͯ͘

    w "84ͷΠέͯΔαʔϏε΋ซ༻͠Α͏ w "848"'΋༗ޮ ϧʔϧબఆ͸ؾΛ͚ͭͯ
  26. "NB[PO(VBSE%VUZΛ࢖͓͏   w (VBSE%VUZ͸"84্ͷڴҖΛݕ஌͢ΔϚωʔδυαʔϏε w $MPVE5SBJM΍71$ϑϩʔϩά౳͔ΒػցֶशͰҟৗΛݕ஌ͯ͘͠ΕΔ߇ ͑ΊʹݴͬͯαΠίʔͳαʔϏε w ࠓճͷΑ͏ʹෆਖ਼ʹࡡऔ͞ΕͨΫϨσϯγϟϧΛ֎෦͔Βར༻ͨ͠৔߹ʹ

    ͙͢ݕ஌Ͱ͖Δ w ଞʹ΋TTIͷϒϧʔτϑΥʔε΍$$΁ͷ௨৴ɺԾ૝௨՟ͷϚΠχϯά౳ ෯޿͘ݕ஌Ͱ͖Δ https://dev.classmethod.jp/cloud/aws/ guardduty-add-twelve-finding-types/
  27. ͜Ε͚ͩ͸ݴΘͤͯ͘Ε   Amazon GuardDuty͸ ࠓ͙͢༗ޮԽ͢΂͖

  28. (VBSE%VUZΛ༗ޮʹ͢ΔͳΒ   ϒϩά͕͋ΔͷͰݟͯͶIUUQTEFWDMBTTNFUIPEKQDMPVEBXTTFUHVBSEEVUZBMMSFHJPO  ͍ͭͰʹγΣΞͯ͠Ͷˑϛ

  29. ·ͱΊ   w "84͔ͩΒηΩϡϦςΟ͸҆৺Ͱ͸ͳ͍ͷͰɺ͍ͭ ΋௨Γ΍Δ΂͖͜ͱΛ΍Δ w "84ݻ༗ͳ෦෼͸ҙࣝͭͭ͠΋جຊ௨Γʹɺଟ૚๷ ޚΛҙࣝ͢Δ w

    "84ͷΠέͯΔαʔϏεΛซ༻͢Δͱָ w ੹೚Λԡ͠෇͚߹Θͣʹ͓ޓ͍าΈدΖ͏