コンテナもサーバーレスも、AWSの各レイヤーの最新セキュリティ

Transcript

1. コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ 2021/06/24 ⾅⽥佳祐 1

2. 2 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス:

   Amazon Detective みんなのAWS (技術評論社)

3. 3 アジェンダ 1. AWSのセキュリティとは 2. AWSレイヤーのセキュリティ 3. OS/アプリレイヤーのセキュリティ 4. まとめ

4. 4 1. AWSのセキュリティとは

5. 5 セキュリティの要素 • 守るべきものはなにか • 個⼈情報︖顧客情報︖社外秘︖信⽤︖ • 資産の洗い出しが必要 • リスクベースで検討

   • どのような使い⽅をすべきか • IT/クラウドは道具 • セキュアな正しい使い⽅が必要

6. 6 AWSセキュリティの基本 • 責任共有モデル • Well-Architectedフレームワーク

7. 7 AWSセキュリティの考え⽅ ⼤きく２つの分類 • AWSレイヤーのセキュリティ • IAM • S3 •

   各種リソース • OS/アプリレイヤーのセキュリティ • アプリの脆弱性 • ユーザー • 情報

8. 8 セキュリティ対策の進め⽅ • 守るものから優先順位を決める • すべてのレイヤーでセキュリティを考える 必要がある • １⼈では守れない •

   セキュリティは総⼒戦 • 周りの⼈を巻き込んで

9. 9 2. AWSレイヤーのセキュリティ

10. 10 AWSレイヤーのセキュリティ • AWSレイヤーで守るもの • IAM: これで何でもできる • S3: データの搾取・不正なファイルから派⽣

    • ダウンロードさせて実⾏ • 不正なJavaScript設置 • 各種リソース • EC2 / DB

11. 11 AWSレイヤーを守るサービス • Amazon GuardDuty • AWSレイヤー・アプリレイヤー含めた脅威検知 • EC2が乗っ取られてコインマイニング •

    IAMが乗っ取られて不正操作 • Security Hub • セキュアでないAWS設定を検知 • 誤って公開されたS3 • セキュリティグループのゆるいEC2

12. 12 CSPMとトレンドマイクロ • CSPM(Cloud Security Posture Management) • クラウドはその設定⾃体を管理する必要がある •

    Trend Micro Cloud One Conformity • トレンドマイクロのCSPM

13. 13 セキュリティチェックの段階 • Security Hubはまず有効化しよう • AWS基礎セキュリティのベストプラクティスがおすすめ • ⽤意されているチェックしか出来ない •

    AWS Configで頑張ることも • ⾃由に⾃分たちのポリシーに合わせて作成 • 楽にいろいろしたいならConformity • 管理・運⽤が簡単 • 多数のポリシー

14. 14 3. OS/アプリレイヤーのセキュリティ

15. 15 OS/アプリレイヤーのセキュリティ • アプリレイヤーで守るもの • コンピューティングリソース • 不正プログラム • マイニング

    • データ • DB • 個⼈情報 • コンテンツ • 改ざん

16. 16 OS/アプリレイヤーのサービス • VPC周り • OS/ミドル • AWS WAF •

    コンテナ • サーバレス • コンテンツ

17. 17 ネットワークのセキュリティ • セキュリティグループ絞る • 極⼒プライベートサブネット • SSHやRDPなどの管理系はポートを開けない(もう 古い) •

    Session Managerを利⽤する

18. 18 OS/ミドルの防御 • OS/ミドルの脆弱性管理 • アンチマルウェア • IDS/IPS • 変更監視

    • セキュリティ監視 • Cloud One Workload SecurityはAWS環境で有 ⼒な選択肢

19. 19 合わせて読みたい • AWS Marketplaceで Workload Security を従量 課⾦で利⽤する 仕組み

    https://dev.classmethod.jp/articles/trend-micro-cloud-one-sppo/

20. 20 ⾼レイヤーの防御 • セキュアな実装 • プログラム • アーキテクチャ • AWS

    WAF • 多層防御でよりセキュアに • 最近はBotコントロールにも対応

21. 21 合わせて読みたい Botのリクエストや 許可拒否をグラフ化 Botの種類ごとにコ ントロール可能 導⼊前にどれくらい Botが来ているか確 認する機能もあり https://dev.classmethod.jp/articles/aws-bot-control/

22. 22 コンテナ • コンテナ環境はEC2と同じ︖ • コンテナ管理レイヤーが⽣まれる • ECSはマネージド • Fargateならホストはない

    • コンテナセキュリティはNIST SP800-190を読む • まずECRリポジトリスキャン • Cloud One Container Securityもある • EKSのみなので注意

23. 23 サーバレス • サーバレスならIPSはいらない︖ • 守るものは変わらない • OS/ミドルに対する攻撃などは⼤丈夫 • WAFで防げばいい︖

    • よりデータに近いところで守る • Cloud One Application Security • アプリケーションコードに埋め込まれたセキュリティ • Lambdaで動かせます

24. 24 コンテンツ • S3にユーザーがアップロードしたファイルは安全︖ • アンチマルウェアはどう適⽤する︖ • Cloud One File

    Storage Security • S3のファイルをスキャンできる • サーバーレス︕

25. 25 4. まとめ

26. 26 まとめ • 守るべきものを明確に • AWSとアプリのレイヤー、全て対策する • 総⼒戦 • 守るものを意識して各対策を

27. 27