Upgrade to Pro — share decks privately, control downloads, hide ads and more …

コンテナもサーバーレスも、AWSの各レイヤーの最新セキュリティ

 コンテナもサーバーレスも、AWSの各レイヤーの最新セキュリティ

イベント「AWS コンサルティングパートナーがお伝えする最先端のクラウドセキュリティ対策 – S3のファイルは安全ですか?AWSの設定は安全ですか? –」の登壇資料です
解説ブログ:
イベントページ: https://dev.classmethod.jp/news/webinar_trendmicro_210624/

A857277d74d4719f7f7751dca5ed553e?s=128

cm-usuda-keisuke

July 03, 2021
Tweet

Transcript

  1. コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ 2021/06/24 ⾅⽥佳祐 1

  2. 2 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス:

    Amazon Detective みんなのAWS (技術評論社)
  3. 3 アジェンダ 1. AWSのセキュリティとは 2. AWSレイヤーのセキュリティ 3. OS/アプリレイヤーのセキュリティ 4. まとめ

  4. 4 1. AWSのセキュリティとは

  5. 5 セキュリティの要素 • 守るべきものはなにか • 個⼈情報︖顧客情報︖社外秘︖信⽤︖ • 資産の洗い出しが必要 • リスクベースで検討

    • どのような使い⽅をすべきか • IT/クラウドは道具 • セキュアな正しい使い⽅が必要
  6. 6 AWSセキュリティの基本 • 責任共有モデル • Well-Architectedフレームワーク

  7. 7 AWSセキュリティの考え⽅ ⼤きく2つの分類 • AWSレイヤーのセキュリティ • IAM • S3 •

    各種リソース • OS/アプリレイヤーのセキュリティ • アプリの脆弱性 • ユーザー • 情報
  8. 8 セキュリティ対策の進め⽅ • 守るものから優先順位を決める • すべてのレイヤーでセキュリティを考える 必要がある • 1⼈では守れない •

    セキュリティは総⼒戦 • 周りの⼈を巻き込んで
  9. 9 2. AWSレイヤーのセキュリティ

  10. 10 AWSレイヤーのセキュリティ • AWSレイヤーで守るもの • IAM: これで何でもできる • S3: データの搾取・不正なファイルから派⽣

    • ダウンロードさせて実⾏ • 不正なJavaScript設置 • 各種リソース • EC2 / DB
  11. 11 AWSレイヤーを守るサービス • Amazon GuardDuty • AWSレイヤー・アプリレイヤー含めた脅威検知 • EC2が乗っ取られてコインマイニング •

    IAMが乗っ取られて不正操作 • Security Hub • セキュアでないAWS設定を検知 • 誤って公開されたS3 • セキュリティグループのゆるいEC2
  12. 12 CSPMとトレンドマイクロ • CSPM(Cloud Security Posture Management) • クラウドはその設定⾃体を管理する必要がある •

    Trend Micro Cloud One Conformity • トレンドマイクロのCSPM
  13. 13 セキュリティチェックの段階 • Security Hubはまず有効化しよう • AWS基礎セキュリティのベストプラクティスがおすすめ • ⽤意されているチェックしか出来ない •

    AWS Configで頑張ることも • ⾃由に⾃分たちのポリシーに合わせて作成 • 楽にいろいろしたいならConformity • 管理・運⽤が簡単 • 多数のポリシー
  14. 14 3. OS/アプリレイヤーのセキュリティ

  15. 15 OS/アプリレイヤーのセキュリティ • アプリレイヤーで守るもの • コンピューティングリソース • 不正プログラム • マイニング

    • データ • DB • 個⼈情報 • コンテンツ • 改ざん
  16. 16 OS/アプリレイヤーのサービス • VPC周り • OS/ミドル • AWS WAF •

    コンテナ • サーバレス • コンテンツ
  17. 17 ネットワークのセキュリティ • セキュリティグループ絞る • 極⼒プライベートサブネット • SSHやRDPなどの管理系はポートを開けない(もう 古い) •

    Session Managerを利⽤する
  18. 18 OS/ミドルの防御 • OS/ミドルの脆弱性管理 • アンチマルウェア • IDS/IPS • 変更監視

    • セキュリティ監視 • Cloud One Workload SecurityはAWS環境で有 ⼒な選択肢
  19. 19 合わせて読みたい • AWS Marketplaceで Workload Security を従量 課⾦で利⽤する 仕組み

    https://dev.classmethod.jp/articles/trend-micro-cloud-one-sppo/
  20. 20 ⾼レイヤーの防御 • セキュアな実装 • プログラム • アーキテクチャ • AWS

    WAF • 多層防御でよりセキュアに • 最近はBotコントロールにも対応
  21. 21 合わせて読みたい Botのリクエストや 許可拒否をグラフ化 Botの種類ごとにコ ントロール可能 導⼊前にどれくらい Botが来ているか確 認する機能もあり https://dev.classmethod.jp/articles/aws-bot-control/

  22. 22 コンテナ • コンテナ環境はEC2と同じ︖ • コンテナ管理レイヤーが⽣まれる • ECSはマネージド • Fargateならホストはない

    • コンテナセキュリティはNIST SP800-190を読む • まずECRリポジトリスキャン • Cloud One Container Securityもある • EKSのみなので注意
  23. 23 サーバレス • サーバレスならIPSはいらない︖ • 守るものは変わらない • OS/ミドルに対する攻撃などは⼤丈夫 • WAFで防げばいい︖

    • よりデータに近いところで守る • Cloud One Application Security • アプリケーションコードに埋め込まれたセキュリティ • Lambdaで動かせます
  24. 24 コンテンツ • S3にユーザーがアップロードしたファイルは安全︖ • アンチマルウェアはどう適⽤する︖ • Cloud One File

    Storage Security • S3のファイルをスキャンできる • サーバーレス︕
  25. 25 4. まとめ

  26. 26 まとめ • 守るべきものを明確に • AWSとアプリのレイヤー、全て対策する • 総⼒戦 • 守るものを意識して各対策を

  27. 27