Developers.IO 2018「ゲーム、仮想通貨で導入が進むSumoLogicのリアルタイムログ分析とAWSセキュリティについて」の登壇資料です。 弊社及びSumoLogic様プレゼン内容をマージしています。
ゲーム、仮想通貨で導入が進むSumoLogicのリアルタイムログ分析とAWSセキュリティについてSumoLogicジャパン株式会社パートナー・セールス・ダィレクター 古根川哲也クラスメソッド株式会社ソリューションアーキテクト 臼田佳祐
View Slide
自己紹介臼田 佳祐・クラスメソッド株式会社・AWS事業本部ソリューションアーキテクトセキュリティチーム・Security-JAWS運営・好きなサービス:AWS WAFマネージドルール
SumoLogicの話の前に昨今のAWSを取り巻くログとセキュリティについてイントロダクションします
ログがあふれる時代• オンプレミスからクラウドに代わりインフラもAPIで操作するようになりました• 多くの作業が機械的・自動的に実行でき、これまでログがなかった部分でログがたくさん出ています• アプリケーションもデプロイサイクルが短くなり、様々なコンポーネントを組み合わせる事によりログが増大 + 複雑化しています• 合わせてクラウドのメリットを享受して、無限のストレージにとりあえず貯めるようになりました
ログ活用できていない現状• とりあえず貯めることのハードルが少なくなったおかげで貯めていますが、ログが眠っていることも少なくありません• ログにフォーカスを当てましたが、メトリクスやイベントもこれに含まれます
AWSセキュリティ面でのログセキュリティ的な面では日々AWSアカウントへの攻撃やパブリックIPへの攻撃を受けており、大量のCloudTrailなどで取得されるAPIログの中からそれを見つけ、対処する必要があります。AWSでログを扱うにはCloudWatchなどがあります。これは非常に簡単に使い始めることができ一通りのログ・メトリクスの確認に役に立ちます。
AWSセキュリティログ分析の課題ただし、先述のようにログ量の増加や多数のフォーマットのログを扱うにはややシンプルすぎます。あっちのページでログを見て、こっちのページでメトリクスを見て、そっちの別のログを見て……辛いですねこれらのログやメトリクスを楽に扱うには、従来泥臭く人がやっていたログをまとめる、ログの中から異常を見つけることから脱却することが必要です。
そこでSumoLogicSumoLogicはログ・メトリクス・イベントを一つのプラットフォームでまとめて管理することができる機械学習でログの絞り込みをうまいことやってくれる何よりAWSサービスのログ分析ダッシュボードがデフォルトで用意されていて、すぐにログ分析を始めることができるインテグレーションに優れている
それではSumoLogicさんよろしくおねがいします
Thank YouSumo Logic Confidentialこの度はお忙しい中お集まりいただきありがとうございます
Thank YouSumo Logic Confidentialこの度はお忙しい中お集まりいただきありがとうございます何故『Sumo Logic 』スモウ?
Thank YouSumo Logic Confidentialこの度はお忙しい中お集まりいただきありがとうございます何故『Sumo Logic 』スモウ?『相撲取り』のようにパワフル・俊敏にデータを分析できるログ管理サービス
Thank YouSumo Logic Confidentialこの度はお忙しい中お集まりいただきありがとうございます何故『Sumo Logic 』スモウ?『相撲取り』のようにパワフル・俊敏にデータを分析できるログ管理サービス「SUUMO(スーモ)」ではなく「Sumo(スモウ)」です
ゲーム、仮想通貨で導入が進むSumoLogicリアルタイムログ分析とAWSセキュリティSumoLogicジャパン株式会社パートナー・セールス・ダィレクター 古根川哲也
Sumo Logic ConfidentialAgenda• クラウド上にログ管理を迅速に構築• ログの統合• クラウドシステムへの移行、パフォーマンスと可用性の改善• セキュリティーの強化• コンプライアンスとレポーティングの改善
Sumo Logic Confidentialユースケース1 クラウド上にログ管理を迅速に構築• 背景・課題– クラウドにログ管理を構築したいがAWSのアプリケーションの設定を含めその構築スキルと時間が不足している– 短期間にログ管理環境を構築したい• ソリューション– SumoLogicはAWSアプリケーションに対応したアプリケーションカタログを多数用意しており、検索条件、ダッシュボード等を作成しなくても直ぐ実装可能
Sumo Logic ConfidentialAmazon CloudFrontAWS Lambda Amazon GuardDutyAmazon VPC Flow Amazon S3AWS ELBC & ELBAAWS CloudTrailAWS ConfigネイティブにAWSと連携AWSアプリケーションやインフラのオペレーションとセキュリティ状態をリアルタイムに可視化できます。Amazon InspectorAmazon ECSAWS PCI Amazon RDS
『CloudTrailのセキュリティ監視をちょー簡単にやってみた』https://dev.classmethod.jp/cloud/aws/cloudtrail-security-analytics-with-sumologic/使い始めるのはちょー簡単でログを取り込む設定だけで終わり、その後多機能なダッシュボードで様々なセキュリティ監視を行うことができます。もちろんCloudTrailのログを手で頑張って分析してもいいですが、これだけ充実したダッシュボードがあるSumo Logicを利用しない手はないと思います。このダッシュボードで見る場所は沢山ありますが、逆にCloudTrailを分析するための手法が一通り揃っているので、Sumo Logicに任せてしまえば構築・検証などを通り越してすぐに1つのシステムで監視を始めることができるのはかなりのメリットだと思います。ぜひこれを利用してAWS環境のセキュリティ監視を始めてみてはいかがでしょうか?AWSとの連携アプリケーションを検証されたSumoLogicパートナー様のブログをご紹介します。ブログからの抜粋
Sumo Logic Confidentialユースケース2 ログの統合• 背景・課題– 直近のアプリケーションはクラウドベースで運用– しかしオンプレミスで導入したログ管理は依然として存在– 容易にクラウドに移行できない状況– データのサイロ化を生み出し、システム全体の可視化を疎外• ソリューション– 可視化に必要なオンプレミス、クラウドのログデータをSumoLogicで集中管理– サイロ化したデータの集中管理・分析、システム全体の可視化を実現
Sumo Logic Confidentialありとあらゆるプラットフォームからログを収集オンプレミスで稼働するアプリケーションのログだけではなくクラウドサービスのログも収集し、リアルタイムに解析できるツールです。
Sumo Logic Confidentialユースケース3 クラウドシステムへの移行• 背景・課題– オンプレミスログ管理の性能、拡張性、可用性に課題– 拡張時のダウンタイム、ピークに合わせたサーバーサイジングのコスト負担、アクセスが集中した場合の性能低下を改善したい• ソリューション– データ保護とセキュリティ– 大容量のログデータへの対応と性能– 想定の10倍以上にデータがスパイクしても停止することなくデータを取り込み– データのスパイクを吸収する柔軟な課金体系
Sumo Logic Confidential運用コスト• サービス利用料• 設定作業• トレーニング運用コスト• パッチ適用• ダウンタイム対応• IT運用担当者• パフォーマンスチューニング• アプリケーションカスタマイズ• アプリケーションアップグレード• ハードウェアアップグレード• ネットワークアップグレード• セキュリティアップグレード• データベースアップグレードクラウドオンプレミス コスト構造
Sumo Logic Confidentialクラウド・セキィリティ検討事項への対応No セキュリティ課題 対応1 データ保管場所 データはAWSのインフラストラクチャに保持2 データ保全 データセンター間で6回/日のデータレプリケーション3 通信の安全 SumoLogicとの通信はHttpsプロトコルで保護4 認証 ログイン時、PKI認証 (例 OneLogin等のSSOで認証)5 データアクセス データアップロードは認証済ソース以外アクセス不可6 リソースアクセス リソースへのロールベースのアクセスコントロール7 データ暗号 暗号化されたデータのアップロード可⇒復号化はアプリケーションで対応8 サービス解約時 SumoLogic上のデータの削除を証明する、証明書の発行
Sumo Logic Confidential 2許容量拡張性2,000+ 顧客3億 +日々の検索数150 PB +日々のデータ分析500兆+日々のクエリー数業界トップのマシンデータ分析・許容能力
Sumo Logic Confidential柔軟なクラウド・ライセンスを提供
Sumo Logic Confidentialユースケース4 セキュリティの強化• 背景・課題– 社内外からの不正アクセスやインターネットからの攻撃によるシステム障害といったインシデントの原因特定には、ログ情報が不可欠– ログを調査したくても、量が多すぎるとすべてのログを確認することは困難– 不正アクセスなどのセキュリティイベントを自動的に把握し、外部のIOC(脅威が存在することを示す痕跡)とマッチングして脅威判定、アラートをあげる仕組みが必要• ソリューション– SumoLogicの機械学習機能で、大量のログから迅速に例外パターンを検出– CrowdStrikeなどSumoLogicが提供しているアプリケーションカタログを使って外部のIOC(脅威が存在することを示す痕跡)とマッチングし脅威判定と対処
Sumo Logic Confidential大量のログデータからノイズを除去し少数の問題パターンに縮減Log Reduce問題を調査・解決するための平均時間(MTTI/MTTR)を90%削減正常時と異常時のログを比較し、その差を調査・分析Log Compare過去のある時点のログと比較OutlierDetectionログの傾向から異常値を検索外れた数値を検知したとき、異常値として通知PredictiveAnalytics時系列データから将来の数値を予測プロアクティブにリスクを削減高度な検索: 特許権を持つ機械学習分析機能
Sumo Logic ConfidentialデモLog Reduce & Log Comparehttps://help.sumologic.com/Search/LogReduce上記の動画を御覧ください
Sumo Logic ConfidentialOut-of-Boxで、取り込み・分析・ダッシュボードが即使えますアプリケーションカタログ構成管理コンテナー負荷分散ネットワークSaaSアプリケーションインフラコンプライアンス&セキィリティIaaS & PaaS
Sumo Logic Confidential
Sumo Logic Confidentialユースケース5 コンプライアンスとレポーティングの改善• 背景・課題– コンプライアンス(法令順守)、ガバナンス(内部統制)の観点から、システム監査の重要な情報であるログについても、改ざんされることなく確実に収集・保存されるのはもちろん、有事に迅速な対応を取るため、解析の上、関係者へ通知するような仕組みが必要• ソリューション– クラウド上のデート保護とセキュリティ– SumoLogicのログ管理機能– 短期間に実装・リリース
Sumo Logic ConfidentialSumo LogicのサービスDEVOPSITインフラとオペレーションコンプライアンスとセキュリティ収集と集中化:数テラバイトものデータを収集し取り込み検索と分析:リアルタイムに履歴検索を実行しイベントを相関付け検知と予測:パターン、例外、異常検知モニタリングと視覚化:アプリケーション、インフラを可視化プロアクティブなアラート:リスク低減、問題の原因を可視化
即使え、短期間で価値を生み出す使いたい!Free Trial申し込みご導入無償ライセンスに移行有償ライセンスに移行スタート• 30分ほどで申し込みが完了します。• 30日間、無償で全ての機能が使えます。• チュートリアルに沿って機能を確認できます。• 必要に応じて、評価作業(POC)をご支援いたします。• もしご要件の実現が確認できましたら即、有償ライセンスに移行し、本番運用を開始できます。• サーバープロビジョニング等は不要です。• 30日間のFree Trialが終了しますと自動的に、機能が制限された無償ライセンスに移行されます。YesSumo Logicを使いたいと思ってから本番運用するまでの流れを以下に記します。詳細は、『ライセンス&プライシング』章と『サポート&コミュニティー』章をご参照ねがいます。
Sumo Logic Free Trial サイトhttps://www.sumologic.com/learn/training/どれを選択してもEnterprise機能が提供されますAustraliaを選択
Thank YouSumo Logic Confidential
AWSとのインテグレーションについて代表としてCloudTrailを取り上げますCloudTrailはすべてのAPIコールを保存するサービス• ログイン成功・失敗• EC2起動・停止• S3へのアップロード・ダウンロード• などなどすべて
CloudTrailで分析することセキュリティグループがport:22 0.0.0.0/0になってないか不正なログイン・ログイン失敗がないか許可されていないIAM User/IAM Roleが作成されてないかパブリックになっているS3バケット・オブジェクトがないか
CloudTrailのログ確認画面何かあったとき軽く調べるにはいいが、定常的な監視には物足りない
40なにか起きてからではなくなにか起きる前に見つけたい
SumoLogicのCloudTrailダッシュボードすぐに利用可能な6種類のダッシュボード• AWS CloudTrail - Overview• CloudTrailの中で特に重要なログイン周りやリソースの削除等を表示• AWS CloudTrail - Console Logins• ログインしているユーザのロケーションやMFAの利用状況、ログイン失敗等を表示• AWS CloudTrail - User Monitoring• ユーザのアクティビティやAdminユーザのアクティビティを表示• AWS CloudTrail - Network and Security• リソースへのアクセス失敗やNetworkALC・SecurityGroupなどの変更を表示• AWS CloudTrail - Operations• どのAWSサービスやリージョンからAPIが呼ばれているか、リソースの追加削除を表示• AWS CloudTrail - S3 Public Objects and Buckets• 公開されたバケットやオブジェクトが確認
42SumoLogicはダッシュボードが充実していてセキュリティに詳しくなくても必要な箇所をすぐに確認できる
CloudTrail - OverviewAPI呼び出し元ロケーションAPI呼び出しユーザランキング ログイン失敗回数 SG/NACL作成削除各種リソース削除各種リソース作成
CloudTrail – Console Loginsログイン元ロケーション複数ロケーションからログインしたユーザUSA外ログインログイン成功(outlier)時間あたりのログイン数ユーザあたりのログイン数
他にもいろいろデモ• ダッシュボードの使い勝手• すべてのグラフの時間を変える(Last 24h, Last 7Days,This Weekとか)• グラフからログ検索へ• ログ検索画面• グラフの切り替え• クエリ内容を変更• ダッシュボードへの反映
ダッシュボード対応AWSサービス
AWS上でのSumoLogic利用用途• セキュリティ関連サービス以外にも様々なメトリクス・ログを取り込める• DevOpsにも利用されることが多い• CloudFrontやALBなどフロントアクセス、RDSやDynamoDBのデータ系のログなどもシステムの運用監視に役に立つ• 「何を見るか」に合わせて柔軟に利用できる
まとめ• AWSセキュリティをより見ていくにはログ分析は必要• 簡単に始めるにはSumoLogicはすごく強力• ダッシュボードを使うと必要な分析をすぐに始められる• LogReduceやLogCompareなど機械学習で快適に分析できる• 様々なログ・メトリクス・イベントを統合して1箇所で管理すると非常に楽
49ハンズオンセミナーやります!ブログよりエントリーしてください!https://dev.classmethod.jp/news/181017-sumologic/
50トライアルについてスペシャルフリートライアルプランをご用意しています通常30日のトライアルを90日に延長します!ご利用されたいお客様はお問い合わせください!
cmusudakeisuke
garrettdimon
tammielis
holman
eitanlees
jeffersonlam
roundedbygravity
jrom
carmenintech
chrislema
colly
jlugia
hannesfritz