Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSをフル活用するサービスを保護するセキュリティの考え方とは / Secure with C...
Search
Eiji Sugiura
June 08, 2022
Technology
0
23k
AWSをフル活用するサービスを保護するセキュリティの考え方とは / Secure with Cloud One for freee
AWS Summit Online 2022 で登壇した際の資料です。
Trend Micro Cloud Oneを用いたAWS上のservice platformの守り方についてのお話です。
Eiji Sugiura
June 08, 2022
Tweet
Share
More Decks by Eiji Sugiura
See All by Eiji Sugiura
AES SIEMを運用してわかった できること、できないこと/Incident Handling with AES SIEM
eijisugiura
0
1.9k
スタートアップがSecurityをSREから担保するには?
eijisugiura
1
1.8k
EC2からKubernetesへの移行をセキュリティから考える
eijisugiura
2
5.2k
Other Decks in Technology
See All in Technology
クライアントサイドでよく使われる Debounce処理 をサーバサイドで3回実装した話
yoshiori
1
140
MAMを軸とした動画ハンドリングにおけるAI活用前提の整備と次世代ビジョン / abema-ai-mam
cyberagentdevelopers
PRO
1
110
ガバメントクラウド単独利用方式におけるIaC活用
techniczna
3
260
20241031_AWS_生成AIハッカソン_GenMuck
tsumita
0
100
わたしとトラックポイント / TrackPoint tips
masahirokawahara
1
240
Aurora_BlueGreenDeploymentsやってみた
tsukasa_ishimaru
1
120
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
9
120k
[JAWS-UG金沢支部×コンテナ支部合同企画]コンテナとは何か
furuton
3
150
フルカイテン株式会社 採用資料
fullkaiten
0
36k
現地でMeet Upをやる場合の注意点〜反省点を添えて〜
shotashiratori
0
480
大規模データ基盤チームのオンプレTiDB運用への挑戦 / dpu-tidb
cyberagentdevelopers
PRO
1
110
分布で見る効果検証入門 / ai-distributional-effect
cyberagentdevelopers
PRO
4
690
Featured
See All Featured
Optimizing for Happiness
mojombo
376
69k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
107
49k
Building a Modern Day E-commerce SEO Strategy
aleyda
38
6.9k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
355
29k
YesSQL, Process and Tooling at Scale
rocio
167
14k
Teambox: Starting and Learning
jrom
132
8.7k
Documentation Writing (for coders)
carmenintech
65
4.4k
Art, The Web, and Tiny UX
lynnandtonic
296
20k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
10 Git Anti Patterns You Should be Aware of
lemiorhan
654
59k
How to train your dragon (web standard)
notwaldorf
88
5.7k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Transcript
freeeが語る! AWSをフル活用するサービスを保護する セキュリティの考え方とは AWS Summit 2022
2 2017-12 freeeにjoinし、CSIRT専属engineerとして、incident response、および、securityを担保する仕組みづくりを担当。 2020−07 product securityを専門とするPSIRT発足に伴い、 blue teamとして活動中
その昔、jazz Guitarを弾けましたが、今は見る影なし 妻と1男1女の4人家族 杉浦 英史 PSIRT 機関長 Eiji Sugiura プロフィール画像の トリミング方法
freee の紹介
4 SaaS で会計サービスを提供
5 freee会計 freee開業 freee福利厚生 freeeアプリストア freee人事労務 freee会社設立 freeeスマート受発注 freeeプロジェクト管理
freee資金調達 freee申告 freeeカード プロダクトラインアップ
スモールビジネスを、世界の主役に。
7 誰もが自然に経営できる環境
8 リアルタイムデータ収集 + 可視化 + 自動化 Service を守るのが PSIRT の責務
9 freee PSIRT? Cloud One with Amazon EC2 Cloud
One with Amazon EKS Cloud One with AWS 本日のアジェンダ 01 02 03 04
01 freee PSIRT ?
11 Defence In Depth 多層防御 外部からの攻撃 WAF、IPS、AntiMalware で検知 内部からの攻撃
EDR、NGFW で検知 侵入後の水平展開、奪取 Risk Based Authenication CloudTrail、GuardDuty で検知 Log 集約 + Alert 発砲 + 解析 前後関係の把握、被害範囲の特定 DevSecOps Scanner で検知
12 日々の運用 freee PSIRT OODA loop Security Weekly もくもく会
Incident Handling Kaizen hour Observe 担当者が集まって分析 気になるものは一緒に探ってみる 世話を焼いていくスタイル Decide CSIRT/PSIRT で情報共有 検知状況を解釈し、対処方針を決める あえて共有 理想ドリブン Act 改善してみる かっとなって、しゅっとやる Hack Everything Orient もしものときには 足りないものに気付く 失敗して攻めよう
02 Cloud One with Amazon EC2
14 Cloud One Workload Security with Amazon EC2 3年前の構成 AWS
WAF EC2 instances Anti-Malware Intrusion Prevention Integrity Monitoring Log Inspection VPC flow log resolver log ALB access log application log GuardDuty CloudTrail Workload Security Agent
15 Amazon EC2 から Amazon EKS への移行 Service の物量に対応できない Service
は動いてはいた security sensor の整備もひと段落 将来の需要に対応できない Micro-service 化に伴い、環境の数は増えてい く SREとApplication 開発者の融合 いろいろ遅い deploy が遅い、Auto scaling が遅い instance だと、単位が大きすぎる
16 Amazon EKS に移行して、DeepSecurity 動くの? Service の物量に対応できない Kernel module version
が異なると、そもそも動かない packet capture や file scanできる? Signature 対応してる? k8s 向けの signature って、存在するのだろう か? Overhead 重いのでは? 通常の EC2 instance と比べて、 k8s 向けの処 理を行う分、負荷は増える DeepSecurity の負荷に耐えられる ?
03 Cloud One with Amazon EKS
18 Cloud One Workload Security with Amazon EKS Worker Node
+ Agent AWS WAF EKS cluster VPC flow log resolver log ALB GuardDuty CloudTrail Workload Security Agent access log application log
19 Amazon EKS に移行して、DeepSecurity 動くの? 回答編 Kernel module 用意されていた、OK! EC2
typeを利用したのは、DeepSecurityを入れ るのに都合が良い面もあったため Signature 対応してる? 対応はしている remoteからk8s APIへの攻撃が届くのは、 master node worker nodeでの検知は少ない Overhead 重いのでは? 耐えられる EKSへの移行の利点はmaster nodeの運用負 荷軽減
20 Amazon EC2 → Amazon EKS への移行は簡単だった! Amazon EKSでもWorkload
Securityは動作する Dashboard DeepSecurity の時から変わらぬ操作性 SIEM との統合 Amazon OpenSearch Serviceで threat hunting 継続的な運用 Log4Shell への対処
21 Log4Shell freeeの場合 2021-12-10(金) Log4jのZero-dayとして出回ってしまう freeeのrepository内に、log4jの直接の記述はないことを確認 2021-12-11(土) 12:20 CVE-2021-44228として開示される CVSS
10 2021-12-12(日) 14:00 Log4Shell CloudOne Workload Security IPS signature 配布開始 17:00 に初の検知 2021-12-13(月) 難読化が施された攻撃が着弾し始める JAR/WAR fileをloadし回って、Log4jがloadされないことを確認
22 Log4Shell 攻撃のピークは最初の1週間 複雑なものは Workload Security IPS ${${env:NaN:-j}ndi:ldap:// 単純なものは WAF
jndi:ldap://…
23 とりあえず、動いた でも、kubernetes cluster に最適化されていない 動作はしていた Anti-Malware、IPS に問題はない k8s の
Security? k8s を secure にしたいのではなく Cloud 全体をsecureにしたい k8s の Overhead 同じ instance type で単純に動作させると、 concurrency は減ってしまう
04 Cloud One with AWS
25 Cloud One Workload Security with Amazon EKS Worker Node
+ Agent AWS WAF EKS cluster VPC flow log resolver log ALB GuardDuty CloudTrail Workload Security Agent access log application log Anti-Malware Intrusion Prevention Integrity Monitoring Log Inspection
26 IPS → Cloud One Network Security Worker Node +
Agent EKS cluster VPC flow log resolver log GuardDuty CloudTrail Workload Security Agent access log application log Anti-Malware Intrusion Prevention Integrity Monitoring Log Inspection AWS WAF ALB Network Security IPS
27 Anti-Malware → File Storage Security Worker Node + Agent
EKS cluster VPC flow log resolver log GuardDuty CloudTrail Workload Security Agent Anti-Malware Intrusion Prevention Integrity Monitoring Log Inspection AWS WAF ALB Network Security IPS access log application log receipt File Storage Security Malware Scan
28 Cloud One with AWS + Container Security AWS WAF
EKS cluster VPC flow log resolver log ALB GuardDuty CloudTrail access log application log Network Security receipt File Storage Security Amazon ECR Container Security Malware Scan Image Scan IPS
29 Workload Security → Cloud One Worker Node だけではなく Cloud
全体の Security を向上したい IPS → Network Security AWS Network Firewall suricata互換rule と比較して、運用が容易 Container Security deploy前にsecurity scan trivyも選択肢の一つ Anti-Malware → File Storage Security ReadOnly mount構成への移行により file scanを外出し
30 できたこと、できそうなこと Cloud One と AWS を適材適所で組み合わせる ALB +
Network Security 1年前だと、不可能だった 今だと、Transit gateway なしでも可能 File Storage Security S3 bucket上のMalware scanを実施 Amazon Macie の PII scan と併用 Container Runtime Security AWS の既存サービスでは カバーできていない領域
おわりに
32 まとめ Securityとは? 銀の弾丸は存在しない これだけ入れておけば secureになる! なんてものは、存在しない 運用するのは人 構築だけでは、secureにならない
securityの維持には、運用する人が必要 Cloud One with AWS より良い組み合わせを求めて日々改善
33 freee PSIRT 多層防御、OODA で日々の運用 Cloud One with Amazon EC2
DeepSecurity の世界 Cloud One with Amazon EKS Workload Security への移行、ほぼそのまま動作する Cloud One with AWS instance、container、k8s を守るだけでなく、Cloud 全体を守る Summary
None