以下ブログ用資料です。 https://dev.classmethod.jp/articles/22020128_jawsug_nagoya_security_control/
以下イベントでの登壇資料です。 JAWS-UG 名古屋 あけましておめでとう! セキュリティで始める2022年!! https://jawsug-nagoya.doorkeeper.jp/events/132210
Security HubとGuardDutyで予防的統制と発⾒的統制を運⽤するハッシュタグ: #jawsug #jawsug_nagoya2022/01/28うすだけいすけ
View Slide
2⾃⼰紹介⾅⽥佳祐・クラスメソッド株式会社AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダーAWS公認インストラクター・Security-JAWS運営・好きなサービス:Amazon Detective みんなのAWS(技術評論社)
3セッションテーマAWSセキュリティを運⽤しよう
4持ち帰ってもらうもの• AWSのセキュリティベストプラクティスに基づく2つの保護機能を理解する• 怖がらないセキュリティ対策に挑戦する気持ち• 実運⽤を開始するための情報
5みなさんはどちらですか︖AWSのセキュリティは簡単︖ or 難しい︖
6AWSのセキュリティ対策を怖がらないで• 難しそうと思うなら理解しよう︕• やってみると意外とできる︕
7予防的統制と発⾒的統制
8簡単に⾔うと• 予防的統制• セキュリティ事故が起きないように安全かチェックしよう︕• 発⾒的統制• 万が⼀セキュリティ事故が起きても気づいて対応できるようにしよう︕
9予防と発⾒どっちがだいじ︖
10どちらか⽚⽅をとるなら…• 予防的統制だけやる• 安全にして未然に防げる︕• でも実は事故が起きているかも• 発⾒的統制だけやる• 事故が起きていることに気づいた︕• そもそも起きないようにしたいよね
11どっちもやろう︕
12簡単に始める• 予防的統制 -> AWS Security Hub• 危ない設定を⾒つけてくれる︕• 発⾒的統制 -> Amazon GuardDuty• 事故が起きたり、怪しい動きがあったら知らせてくれる︕
13もしも対策できていないと
14実際のインシデントの事例実際にアクセスキーが漏洩したときに何が起きたか記録したブログhttps://dev.classmethod.jp/articles/accesskey-leak/
15実際のインシデントの事例GitHubに乗ってから10分で悪⽤されたNo 時間 状況1 00:00お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジトリにPush2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる3 00:30AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏洩した旨、および、対応⽅法をご連絡(電話、メール)4 01:00 当該キー経由で作成されたリソースを全て削除5 XX:XX IAMユーザーのアクセスキーをローテーション5 XX:XX IAMユーザーのパスワードをローテーション
16その他のセキュリティ対策
17合わせて読みたいセキュリティ対策はだいたいここに全部あるhttps://dev.classmethod.jp/articles/aws-security-all-in-one-2021/
18予防的統制
19AWS Security Hubとは• 2つの役割• AWS上やサードパーティからセキュリティのイベントを集約• AWS上の危ない設定をチェックして危険がないか知らせてくれる• 特にセキュリティチェックが強⼒
20直感的なスコア表⽰達成度がわかりやすい
21セキュリティチェック⽅法• Security Hubはセキュリティチェック運⽤の理想形• 直感的なスコア表⽰• 無効化・例外の設定管理• AWSが最新のベストプラクティスを適⽤• 「AWS の基本的なセキュリティのベストプラクティスコントロール(AWS Foundational Security Best Practices)」のルールが優秀• 現状30リソースタイプ・121種類のチェック• 更新頻度が⾼い(リリースから約1年半で13回更新)• ⾃動修復ソリューション• マルチアカウントの集約
22無効化・例外の設定管理ルール・リソース単位のステータス管理
23対応リソースタイプ• ACM• APIGateway• AutoScaling• CloudFront• CloudTrail• CodeBuild• Config• DMS• DynamoDB• EC2• ECS• EFS• ElasticBeanstalk• ELB• ELBv2• EMR• ES• GuardDuty• IAM• KMS• Lambda• RDS• Redshift• S3• SageMaker• SecretsManager• SNS• SQS• SSM• WAF
24Security Hubの運⽤ポイント• 全AWSアカウント全リージョンで有効化• 東京リージョンに集約• 「AWSの基本的なセキュリティのベストプラクティス」を適⽤する• ⾒つかる問題を解決する• 新しい問題が出たら通知する• みんなが⾒える場所に通知してみんなで直す• スコアが⾒えるのでみんなで達成しやすい
25合わせて読みたいSecurity Hubの解説とどんな⾵に運⽤したらいいかをまとめていますhttps://dev.classmethod.jp/articles/aws-security-operation-with-securityhub-2021/
26⾃動修復ソリューションマルチアカウント連携した修復の仕組みを展開できる
27発⾒的統制
28Amazon GuardDutyとは• 脅威検知サービス• CloudTrail / VPC Flow Logs / DNS Logsをバックグラウンドで⾃動収集(利⽤者の⼿間なし)• ポチッと有効化するだけ• IAM / EC2 / S3に関するインシデントを検知• 脅威インテリジェンスと連携• 機械学習による異常識別
29GuardDutyの検知内容(ほんの⼀部)• IAMタイプ• 不正ログイン• 漏洩したクレデンシャル利⽤• CloudTrail無効化• EC2タイプ• コインマイニング• C&Cサーバー接続• SSHブルートフォース(受信 or 送信)• S3タイプ• バケット公開• Torアクセス
30対応⽅法GuardDutyのユーザーガイドに検知結果毎の対応⽅法がわかりやすく記載されているhttps://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types-active.html
31初動対応計画• 検知結果毎ざっくり3種類準備しておく• IAMタイプ• 認証情報を無効化する• EC2タイプ• EC2を隔離、保全、調査する• 調査は得意な会社に依頼できる準備でもいい• S3タイプ• アクセス権限を絞る
32IAMタイプの初動対応例• IAM Userならアクセスキーを無効化・削除• IAM Roleならセッションの無効化をポチ• CloudTrailで何をされたか調査
33EC2タイプの初動対応例Security Groupを変更して隔離(in/out無し)AMIバックアップ取得サーバーやストレージ調査(できれば、プロに任せたほうがいい)
34S3タイプの初動対応例パブリックアクセスブロックする
35GuardDutyの運⽤ポイント• 全AWSアカウント全リージョンで有効化• 通知設定をしてすぐに気付けるようにする• みんなが⾒える場所に通知してみんなで直す• スコアが⾒えるのでみんなで達成しやすい• 対応の準備をしておく• ⼿順の整理• 誰に連絡するのか• 誰が判断するのか
36合わせて読みたいGuardDutyの解説とどんな⾵に運⽤したらいいかをまとめていますhttps://dev.classmethod.jp/articles/aws-security-operation-with-guardduty-2021/
37合わせて読みたいGuardDutyがEKSクラスターの検知に対応しましたhttps://dev.classmethod.jp/articles/guardduty-for-eks-protection/
38インシデント調査にはAmazon Detectiveもおすすめ
39Detectiveのいいところ内部のグラフDBで関連付けしてくれる
40合わせて読みたい実際の画⾯とともにガッツリデモしているブログ動きを⾒ながらより対応イメージを⾼めようhttps://dev.classmethod.jp/articles/amazon-detective-investigation-demo/
41まとめ
42まとめ• 予防的統制と発⾒的統制はどちらも必要• マネージドなサービスを駆使して簡単にAWSセキュリティの運⽤を開始しよう︕• やればできる︕
43