Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security HubとGuardDutyで予防的統制と発見的統制を運用する

Security HubとGuardDutyで予防的統制と発見的統制を運用する

以下ブログ用資料です。
https://dev.classmethod.jp/articles/22020128_jawsug_nagoya_security_control/

以下イベントでの登壇資料です。
JAWS-UG 名古屋 あけましておめでとう! セキュリティで始める2022年!!
https://jawsug-nagoya.doorkeeper.jp/events/132210

cm-usuda-keisuke

January 28, 2022
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. Security HubとGuardDutyで
    予防的統制と発⾒的統制を運⽤する
    ハッシュタグ: #jawsug #jawsug_nagoya
    2022/01/28
    うすだけいすけ

    View Slide

  2. 2
    ⾃⼰紹介
    ⾅⽥佳祐
    ・クラスメソッド株式会社
    AWS事業本部
    シニアソリューションアーキテクト
    セキュリティチームリーダー
    AWS公認インストラクター
    ・Security-JAWS運営
    ・好きなサービス:
    Amazon Detective みんなのAWS
    (技術評論社)

    View Slide

  3. 3
    セッションテーマ
    AWSセキュリティを運⽤しよう

    View Slide

  4. 4
    持ち帰ってもらうもの
    • AWSのセキュリティベストプラクティスに基づ
    く2つの保護機能を理解する
    • 怖がらないセキュリティ対策に挑戦する気持ち
    • 実運⽤を開始するための情報

    View Slide

  5. 5
    みなさんはどちらですか︖
    AWSのセキュリティは
    簡単︖ or 難しい︖

    View Slide

  6. 6
    AWSのセキュリティ対策を怖がらないで
    • 難しそうと思うなら理解しよう︕
    • やってみると意外とできる︕

    View Slide

  7. 7
    予防的統制と発⾒的統制

    View Slide

  8. 8
    簡単に⾔うと
    • 予防的統制
    • セキュリティ事故が起きないように安全かチェックしよ
    う︕
    • 発⾒的統制
    • 万が⼀セキュリティ事故が起きても気づいて対応できる
    ようにしよう︕

    View Slide

  9. 9
    予防と発⾒
    どっちがだいじ︖

    View Slide

  10. 10
    どちらか⽚⽅をとるなら…
    • 予防的統制だけやる
    • 安全にして未然に防げる︕
    • でも実は事故が起きているかも
    • 発⾒的統制だけやる
    • 事故が起きていることに気づいた︕
    • そもそも起きないようにしたいよね

    View Slide

  11. 11
    どっちもやろう︕

    View Slide

  12. 12
    簡単に始める
    • 予防的統制 -> AWS Security Hub
    • 危ない設定を⾒つけてくれる︕
    • 発⾒的統制 -> Amazon GuardDuty
    • 事故が起きたり、怪しい動きがあったら知らせてくれ
    る︕

    View Slide

  13. 13
    もしも
    対策できていないと

    View Slide

  14. 14
    実際のインシデントの事例
    実際にアクセス
    キーが漏洩した
    ときに何が起き
    たか記録したブ
    ログ
    https://dev.class
    method.jp/articl
    es/accesskey-
    leak/

    View Slide

  15. 15
    実際のインシデントの事例
    GitHubに乗ってから10分で悪⽤された
    No 時間 状況
    1 00:00
    お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ
    トリにPush
    2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる
    3 00:30
    AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏
    洩した旨、および、対応⽅法をご連絡(電話、メール)
    4 01:00 当該キー経由で作成されたリソースを全て削除
    5 XX:XX IAMユーザーのアクセスキーをローテーション
    5 XX:XX IAMユーザーのパスワードをローテーション

    View Slide

  16. 16
    その他のセキュリティ対策

    View Slide

  17. 17
    合わせて読みたい
    セキュリティ対策
    はだいたいここに
    全部ある
    https://dev.classmethod.jp
    /articles/aws-security-all-
    in-one-2021/

    View Slide

  18. 18
    予防的統制

    View Slide

  19. 19
    AWS Security Hubとは
    • 2つの役割
    • AWS上やサードパーティからセキュリティのイベントを
    集約
    • AWS上の危ない設定をチェックして危険がないか知らせ
    てくれる
    • 特にセキュリティチェックが強⼒

    View Slide

  20. 20
    直感的なスコア表⽰
    達成度が
    わかりや
    すい

    View Slide

  21. 21
    セキュリティチェック⽅法
    • Security Hubはセキュリティチェック運⽤の理想形
    • 直感的なスコア表⽰
    • 無効化・例外の設定管理
    • AWSが最新のベストプラクティスを適⽤
    • 「AWS の基本的なセキュリティのベストプラクティスコント
    ロール(AWS Foundational Security Best Practices)」の
    ルールが優秀
    • 現状30リソースタイプ・121種類のチェック
    • 更新頻度が⾼い(リリースから約1年半で13回更新)
    • ⾃動修復ソリューション
    • マルチアカウントの集約

    View Slide

  22. 22
    無効化・例外の設定管理
    ルール・リソース単位のステータス管理

    View Slide

  23. 23
    対応リソースタイプ
    • ACM
    • APIGateway
    • AutoScaling
    • CloudFront
    • CloudTrail
    • CodeBuild
    • Config
    • DMS
    • DynamoDB
    • EC2
    • ECS
    • EFS
    • ElasticBeanstalk
    • ELB
    • ELBv2
    • EMR
    • ES
    • GuardDuty
    • IAM
    • KMS
    • Lambda
    • RDS
    • Redshift
    • S3
    • SageMaker
    • SecretsManager
    • SNS
    • SQS
    • SSM
    • WAF

    View Slide

  24. 24
    Security Hubの運⽤ポイント
    • 全AWSアカウント全リージョンで有効化
    • 東京リージョンに集約
    • 「AWSの基本的なセキュリティのベストプラクティス」
    を適⽤する
    • ⾒つかる問題を解決する
    • 新しい問題が出たら通知する
    • みんなが⾒える場所に通知してみんなで直す
    • スコアが⾒えるのでみんなで達成しやすい

    View Slide

  25. 25
    合わせて読みたい
    Security Hubの解
    説とどんな⾵に運⽤
    したらいいかをまと
    めています
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-with-
    securityhub-2021/

    View Slide

  26. 26
    ⾃動修復ソリューション
    マルチアカ
    ウント連携
    した修復の
    仕組みを展
    開できる

    View Slide

  27. 27
    発⾒的統制

    View Slide

  28. 28
    Amazon GuardDutyとは
    • 脅威検知サービス
    • CloudTrail / VPC Flow Logs / DNS Logsをバッ
    クグラウンドで⾃動収集(利⽤者の⼿間なし)
    • ポチッと有効化するだけ
    • IAM / EC2 / S3に関するインシデントを検知
    • 脅威インテリジェンスと連携
    • 機械学習による異常識別

    View Slide

  29. 29
    GuardDutyの検知内容(ほんの⼀部)
    • IAMタイプ
    • 不正ログイン
    • 漏洩したクレデンシャル利⽤
    • CloudTrail無効化
    • EC2タイプ
    • コインマイニング
    • C&Cサーバー接続
    • SSHブルートフォース(受信 or 送信)
    • S3タイプ
    • バケット公開
    • Torアクセス

    View Slide

  30. 30
    対応⽅法
    GuardDutyのユー
    ザーガイドに検知
    結果毎の対応⽅法
    がわかりやすく記
    載されている
    https://docs.aws.amazon.co
    m/ja_jp/guardduty/latest/u
    g/guardduty_finding-types-
    active.html

    View Slide

  31. 31
    初動対応計画
    • 検知結果毎ざっくり3種類準備しておく
    • IAMタイプ
    • 認証情報を無効化する
    • EC2タイプ
    • EC2を隔離、保全、調査する
    • 調査は得意な会社に依頼できる準備でもいい
    • S3タイプ
    • アクセス権限を絞る

    View Slide

  32. 32
    IAMタイプの初動対応例
    • IAM Userならアクセスキーを無効化・削除
    • IAM Roleならセッションの無効化をポチ
    • CloudTrailで何をされたか調査

    View Slide

  33. 33
    EC2タイプの初動対応例
    Security Groupを
    変更して隔離
    (in/out無し)
    AMIバックアップ取

    サーバーやストレー
    ジ調査(できれば、
    プロに任せたほうが
    いい)

    View Slide

  34. 34
    S3タイプの初動対応例
    パブリックアクセスブロックする

    View Slide

  35. 35
    GuardDutyの運⽤ポイント
    • 全AWSアカウント全リージョンで有効化
    • 通知設定をしてすぐに気付けるようにする
    • みんなが⾒える場所に通知してみんなで直す
    • スコアが⾒えるのでみんなで達成しやすい
    • 対応の準備をしておく
    • ⼿順の整理
    • 誰に連絡するのか
    • 誰が判断するのか

    View Slide

  36. 36
    合わせて読みたい
    GuardDutyの解説と
    どんな⾵に運⽤した
    らいいかをまとめて
    います
    https://dev.classmethod.jp/articl
    es/aws-security-operation-with-
    guardduty-2021/

    View Slide

  37. 37
    合わせて読みたい
    GuardDutyがEKSク
    ラスターの検知に対
    応しました
    https://dev.classmetho
    d.jp/articles/guardduty
    -for-eks-protection/

    View Slide

  38. 38
    インシデント調査には
    Amazon Detectiveもおすすめ

    View Slide

  39. 39
    Detectiveのいいところ
    内部のグラフDBで関連付けしてくれる

    View Slide

  40. 40
    合わせて読みたい
    実際の画⾯とともにガッ
    ツリデモしているブログ
    動きを⾒ながらより対応
    イメージを⾼めよう
    https://dev.classmethod.jp/articles/a
    mazon-detective-investigation-demo/

    View Slide

  41. 41
    まとめ

    View Slide

  42. 42
    まとめ
    • 予防的統制と発⾒的統制はどちらも必要
    • マネージドなサービスを駆使して簡単に
    AWSセキュリティの運⽤を開始しよう︕
    • やればできる︕

    View Slide

  43. 43

    View Slide