Security HubとGuardDutyで予防的統制と発見的統制を運用する

Transcript

1. Security HubとGuardDutyで
   予防的統制と発⾒的統制を運⽤する
   ハッシュタグ: #jawsug #jawsug_nagoya
   2022/01/28
   うすだけいすけ
   

   View Slide

2. 2
   ⾃⼰紹介
   ⾅⽥佳祐
   ・クラスメソッド株式会社
   AWS事業本部
   シニアソリューションアーキテクト
   セキュリティチームリーダー
   AWS公認インストラクター
   ・Security-JAWS運営
   ・好きなサービス:
   Amazon Detective みんなのAWS
   (技術評論社)
   

   View Slide

3. 3
   セッションテーマ
   AWSセキュリティを運⽤しよう
   

   View Slide

4. 4
   持ち帰ってもらうもの
   • AWSのセキュリティベストプラクティスに基づ
   く2つの保護機能を理解する
   • 怖がらないセキュリティ対策に挑戦する気持ち
   • 実運⽤を開始するための情報
   

   View Slide

5. 5
   みなさんはどちらですか︖
   AWSのセキュリティは
   簡単︖ or 難しい︖
   

   View Slide

6. 6
   AWSのセキュリティ対策を怖がらないで
   • 難しそうと思うなら理解しよう︕
   • やってみると意外とできる︕
   

   View Slide

7. 7
   予防的統制と発⾒的統制
   

   View Slide

8. 8
   簡単に⾔うと
   • 予防的統制
   • セキュリティ事故が起きないように安全かチェックしよ
   う︕
   • 発⾒的統制
   • 万が⼀セキュリティ事故が起きても気づいて対応できる
   ようにしよう︕
   

   View Slide

9. 9
   予防と発⾒
   どっちがだいじ︖
   

   View Slide

10. 10
    どちらか⽚⽅をとるなら…
    • 予防的統制だけやる
    • 安全にして未然に防げる︕
    • でも実は事故が起きているかも
    • 発⾒的統制だけやる
    • 事故が起きていることに気づいた︕
    • そもそも起きないようにしたいよね
    

    View Slide

11. 11
    どっちもやろう︕
    

    View Slide

12. 12
    簡単に始める
    • 予防的統制 -> AWS Security Hub
    • 危ない設定を⾒つけてくれる︕
    • 発⾒的統制 -> Amazon GuardDuty
    • 事故が起きたり、怪しい動きがあったら知らせてくれ
    る︕
    

    View Slide

13. 13
    もしも
    対策できていないと
    

    View Slide

14. 14
    実際のインシデントの事例
    実際にアクセス
    キーが漏洩した
    ときに何が起き
    たか記録したブ
    ログ
    https://dev.class
    method.jp/articl
    es/accesskey-
    leak/
    

    View Slide

15. 15
    実際のインシデントの事例
    GitHubに乗ってから10分で悪⽤された
    No 時間 状況
    1 00:00
    お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ
    トリにPush
    2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる
    3 00:30
    AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏
    洩した旨、および、対応⽅法をご連絡（電話、メール）
    4 01:00 当該キー経由で作成されたリソースを全て削除
    5 XX:XX IAMユーザーのアクセスキーをローテーション
    5 XX:XX IAMユーザーのパスワードをローテーション
    

    View Slide

16. 16
    その他のセキュリティ対策
    

    View Slide

17. 17
    合わせて読みたい
    セキュリティ対策
    はだいたいここに
    全部ある
    https://dev.classmethod.jp
    /articles/aws-security-all-
    in-one-2021/
    

    View Slide

18. 18
    予防的統制
    

    View Slide

19. 19
    AWS Security Hubとは
    • 2つの役割
    • AWS上やサードパーティからセキュリティのイベントを
    集約
    • AWS上の危ない設定をチェックして危険がないか知らせ
    てくれる
    • 特にセキュリティチェックが強⼒
    

    View Slide

20. 20
    直感的なスコア表⽰
    達成度が
    わかりや
    すい
    

    View Slide

21. 21
    セキュリティチェック⽅法
    • Security Hubはセキュリティチェック運⽤の理想形
    • 直感的なスコア表⽰
    • 無効化・例外の設定管理
    • AWSが最新のベストプラクティスを適⽤
    • 「AWS の基本的なセキュリティのベストプラクティスコント
    ロール(AWS Foundational Security Best Practices)」の
    ルールが優秀
    • 現状30リソースタイプ・121種類のチェック
    • 更新頻度が⾼い(リリースから約1年半で13回更新)
    • ⾃動修復ソリューション
    • マルチアカウントの集約
    

    View Slide

22. 22
    無効化・例外の設定管理
    ルール・リソース単位のステータス管理
    

    View Slide

23. 23
    対応リソースタイプ
    • ACM
    • APIGateway
    • AutoScaling
    • CloudFront
    • CloudTrail
    • CodeBuild
    • Config
    • DMS
    • DynamoDB
    • EC2
    • ECS
    • EFS
    • ElasticBeanstalk
    • ELB
    • ELBv2
    • EMR
    • ES
    • GuardDuty
    • IAM
    • KMS
    • Lambda
    • RDS
    • Redshift
    • S3
    • SageMaker
    • SecretsManager
    • SNS
    • SQS
    • SSM
    • WAF
    

    View Slide

24. 24
    Security Hubの運⽤ポイント
    • 全AWSアカウント全リージョンで有効化
    • 東京リージョンに集約
    • 「AWSの基本的なセキュリティのベストプラクティス」
    を適⽤する
    • ⾒つかる問題を解決する
    • 新しい問題が出たら通知する
    • みんなが⾒える場所に通知してみんなで直す
    • スコアが⾒えるのでみんなで達成しやすい
    

    View Slide

25. 25
    合わせて読みたい
    Security Hubの解
    説とどんな⾵に運⽤
    したらいいかをまと
    めています
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-with-
    securityhub-2021/
    

    View Slide

26. 26
    ⾃動修復ソリューション
    マルチアカ
    ウント連携
    した修復の
    仕組みを展
    開できる
    

    View Slide

27. 27
    発⾒的統制
    

    View Slide

28. 28
    Amazon GuardDutyとは
    • 脅威検知サービス
    • CloudTrail / VPC Flow Logs / DNS Logsをバッ
    クグラウンドで⾃動収集(利⽤者の⼿間なし)
    • ポチッと有効化するだけ
    • IAM / EC2 / S3に関するインシデントを検知
    • 脅威インテリジェンスと連携
    • 機械学習による異常識別
    

    View Slide

29. 29
    GuardDutyの検知内容(ほんの⼀部)
    • IAMタイプ
    • 不正ログイン
    • 漏洩したクレデンシャル利⽤
    • CloudTrail無効化
    • EC2タイプ
    • コインマイニング
    • C&Cサーバー接続
    • SSHブルートフォース(受信 or 送信)
    • S3タイプ
    • バケット公開
    • Torアクセス
    

    View Slide

30. 30
    対応⽅法
    GuardDutyのユー
    ザーガイドに検知
    結果毎の対応⽅法
    がわかりやすく記
    載されている
    https://docs.aws.amazon.co
    m/ja_jp/guardduty/latest/u
    g/guardduty_finding-types-
    active.html
    

    View Slide

31. 31
    初動対応計画
    • 検知結果毎ざっくり3種類準備しておく
    • IAMタイプ
    • 認証情報を無効化する
    • EC2タイプ
    • EC2を隔離、保全、調査する
    • 調査は得意な会社に依頼できる準備でもいい
    • S3タイプ
    • アクセス権限を絞る
    

    View Slide

32. 32
    IAMタイプの初動対応例
    • IAM Userならアクセスキーを無効化・削除
    • IAM Roleならセッションの無効化をポチ
    • CloudTrailで何をされたか調査
    

    View Slide

33. 33
    EC2タイプの初動対応例
    Security Groupを
    変更して隔離
    (in/out無し)
    AMIバックアップ取
    得
    サーバーやストレー
    ジ調査(できれば、
    プロに任せたほうが
    いい)
    

    View Slide

34. 34
    S3タイプの初動対応例
    パブリックアクセスブロックする
    

    View Slide

35. 35
    GuardDutyの運⽤ポイント
    • 全AWSアカウント全リージョンで有効化
    • 通知設定をしてすぐに気付けるようにする
    • みんなが⾒える場所に通知してみんなで直す
    • スコアが⾒えるのでみんなで達成しやすい
    • 対応の準備をしておく
    • ⼿順の整理
    • 誰に連絡するのか
    • 誰が判断するのか
    

    View Slide

36. 36
    合わせて読みたい
    GuardDutyの解説と
    どんな⾵に運⽤した
    らいいかをまとめて
    います
    https://dev.classmethod.jp/articl
    es/aws-security-operation-with-
    guardduty-2021/
    

    View Slide

37. 37
    合わせて読みたい
    GuardDutyがEKSク
    ラスターの検知に対
    応しました
    https://dev.classmetho
    d.jp/articles/guardduty
    -for-eks-protection/
    

    View Slide

38. 38
    インシデント調査には
    Amazon Detectiveもおすすめ
    

    View Slide

39. 39
    Detectiveのいいところ
    内部のグラフDBで関連付けしてくれる
    

    View Slide

40. 40
    合わせて読みたい
    実際の画⾯とともにガッ
    ツリデモしているブログ
    動きを⾒ながらより対応
    イメージを⾼めよう
    https://dev.classmethod.jp/articles/a
    mazon-detective-investigation-demo/
    

    View Slide

41. 41
    まとめ
    

    View Slide

42. 42
    まとめ
    • 予防的統制と発⾒的統制はどちらも必要
    • マネージドなサービスを駆使して簡単に
    AWSセキュリティの運⽤を開始しよう︕
    • やればできる︕
    

    View Slide

43. 43
    

    View Slide