Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて
Search
iret.kumoben
January 18, 2024
Technology
0
67
第125回 雲勉【オンライン】AWS環境のセキュリティ強化 発見的統制系サービスについて
下記、勉強会での資料です。
https://youtu.be/aCyjI5kRNOM
iret.kumoben
January 18, 2024
Tweet
Share
More Decks by iret.kumoben
See All by iret.kumoben
第140回 雲勉 今度こそ AWS CDK で構築してみたくなるようなCDK活用集
iret
0
33
第139回 雲勉 Amazon Q Developerで安全快適な IaC with Terraform
iret
0
32
第138回 雲勉 Google Cloudではじめるプラットフォームエンジニアリング
iret
0
30
第137回 雲勉 Google Cloud Vertex AIとLangGraphを味方につけてRAGを改善したひ
iret
0
78
第136回 雲勉 AIに構成図を読み込ませてサーバー作成(Amazon Bedrock)
iret
0
86
第135回 雲勉 AWS Verified Access 入門 ~ VPNを利用せずに拠点/端末からAWSへアクセス ~
iret
1
120
第134回 雲勉 未経験クラウドエンジニア1年生(社会人1年生)の奮闘記
iret
0
60
第133回 雲勉 【オンライン】今度こそ既存のAWSリソースをいい感じにコードに落とし込みたい!
iret
0
55
第132回 雲勉【オンライン】春の生成AI祭り
iret
1
73
Other Decks in Technology
See All in Technology
コンテナ・K8s研修 - 後半 Kubernetes 基礎&ハンズオン【MIXI 24新卒技術研修】
mixi_engineers
PRO
1
120
VPoEの視点から見た、ヘンリーがサーバーサイドKotlinを使う理由 / Why Server-side Kotlin 2024
cho0o0
1
420
LLMアプリケーションの評価の実践と課題 ~PharmaXにおける今後の展望~
pharma_x_tech
2
170
DevIO2024_レガシー運用からの脱却 -クラウド活用の実践事例とベストプラクティス-
jun2882
0
210
エンジニアリングマネージャーはどう学んでいくのか #devsumi / How Do Engineering Managers Continue to Learn and Grow?
expajp
4
1.3k
[2024最新版]AWS Control Towerを使ったセキュアなマルチアカウント環境の作り方
hiashisan
0
270
What is DRE? - Road to SRE NEXT@広島
chanyou0311
3
630
テストケースの自動生成に生成AIの導入を試みた話と生成AIによる今後の期待
shift_evolve
0
190
AOAI Dev Day LLMシステム開発 Tips集
hirosatogamo
15
3.8k
AWSで”最小権限の原則”を実現するための考え方 /20240722-ssmjp-aws-least-privilege
opelab
10
4.4k
Scaling Technical Excellence at 104: Evolution in AWS and Developer Empowerment
scotthsieh825
1
160
Matterport を使ってクラスメソッド各拠点のバーチャルオフィスツアーを作成してみた
wakatsuki
0
160
Featured
See All Featured
Making Projects Easy
brettharned
111
5.7k
A Modern Web Designer's Workflow
chriscoyier
689
190k
Done Done
chrislema
179
15k
Build The Right Thing And Hit Your Dates
maggiecrowley
28
2.2k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
16
1.6k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
189
16k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.4k
Fireside Chat
paigeccino
25
2.8k
Scaling GitHub
holman
458
140k
Web development in the modern age
philhawksworth
203
10k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
35
6.3k
The Cost Of JavaScript in 2023
addyosmani
31
4.7k
Transcript
第125回 雲勉【オンライン】 AWS環境のセキュリティ強化 発⾒的統制系 サービスについて
0.講師⾃⼰紹介 2 n 名前 ⼤川 雅登(Masato Okawa) • (所属) クラウドインテグレーション事業部
• (経歴) SIer→SES→CIer • (アイレット歴) 2年11ヶ⽉ • (何か⼀⾔) 資格の更新頑張るぞ。
アジェンダ 3 0.⾃⼰紹介 1.昨今のセキュリティインシデントの状況とこれから 2.AWSの主要なセキュリティサービスについて 3.AWS Configルールを使ってみた 4.終わりに
本⽇のゴール 4 n 昨今のセキュリティインシデントの状況とこれから • IPAやGartnerの情報から昨今のセキュリティインシデントと今後の展望を概括的に 理解する。 n AWSの主要なセキュリティサービスについて •
AWSの数あるサービスから主なセキュリティ関連サービスを認知する。 n AWS Configルールを使ってみた • AWS ConfigのProactiveモードとDetectiveモード(⾃動修復機能込み)の紹介から 実際にDetectiveモード(⾃動修復機能込み)を設定してみた。 ※今回の内容は2024年1⽉時点で確認できる情報を元に作成しています。
1.昨今のセキュリティインシデントの 状況とこれから 5
1.昨今のセキュリティインシデントの状況とこれから 6 n 引⽤元︓ίϯϐϡʔλΠϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ๏ਓใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023
2 ݄ 8 IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセス届出件数は2020年に急増し、その⽔準でやや上昇傾向にある。
1.昨今のセキュリティインシデントの状況とこれから 7 n 引⽤元︓ίϯϐϡʔλΠϧεɾෆਖ਼ΞΫηεͷಧग़ঢ়گʦ2022 ʢ1 ݄ʙ12 ݄ʣʧ ಠཱߦ๏ਓใॲཧਪਐػߏ ηΩϡϦςΟηϯλʔ 2023
2 ݄ 8 IUUQTXXXJQBHPKQTFDVSJUZUPEPLFEFDSBDLWJSVTVHQOOQBBUUQEG • 不正アクセスの原因 1. 古いバージョンの利⽤や修正プログラム・必 要なプラグイン等の未導⼊によるもの 2. 設定の不備(セキュリティ上問題のあるデフォ ルト設定を含む) 3. ID、パスワード管理の不備
1.昨今のセキュリティインシデントの状況とこれから 8 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • パブリッククラウドを利⽤するにあたり、利⽤戦略を設けなければ、環境をコントロール できず、それがセキュリティリスクになりかねる。
1.昨今のセキュリティインシデントの状況とこれから 9 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウドリスクを過⼤評価する傾向から過⼩評価する傾向となっており、利⽤戦略にはリ スク管理を組む必要がある。
1.昨今のセキュリティインシデントの状況とこれから 10 n 引⽤元︓Is the Cloud Secure? Gartner October 10,
2019 Contributor: Kasey Panetta https://www.gartner.com/smarterwithgartner/is-the-cloud-secure • クラウド下のセキュリティ障害の99%は設定不備によって⽣じる。
要するに、セキュリティ設定を きちんとしましょう。 11
2. AWSの主要なセキュリティサービス について 12
2.AWSの主要なセキュリティサービスについて 13 n CloudTrail n IAM Access Analyzer n GuardDuty
n Amazon Detective n Security Hub n AWS Config n etc..
2.AWSの主要なセキュリティサービスについて 14 n CloudTrail • IAMユーザー、ロール、AWSのサービスによって実⾏されたアクションを記録する。 • 「いつ」「誰れが」「どのAWSサービス、リソースに」「どのような操作を⾏なった か」API操作のイベントログを記録している。 •
イベントログは「管理イベント」、「データイベント」、「インサイトイベント」の3種 類である。
2.AWSの主要なセキュリティサービスについて 15 n IAM Access Analyzer • 対象サービスにおいて外部とアクセス可能状態のリソースを検出する。 • 検出結果のステータスは「アクティブ」、「アーカイブ済み」、「解決済み」の3つ。
• アーカイブルールの設定で検出結果を⾃動的に「アーカイブ済み」にできる。 • 未使⽤のIAMロール、アクションの確認ができる。
2.AWSの主要なセキュリティサービスについて 16 n GuardDuty • DNSクエリログなどのデータソースを元に悪意あるアクティビティがないか確認し、検出 結果を提供する脅威検出サービス。 • EC2やIAM、S3などが脅威検出確認対象。 •
脅威は「HIGH」、「MEDIUM」、「LOW」に分類される。
2.AWSの主要なセキュリティサービスについて 17 n Amazon Detective • セキュリティに関する検出結果や疑わしいアクティビティの原因分析、調査に利⽤でき る。 • CloudTrailやVPC
flow logs、GuardDutyのデータを収集している。 • 機械学習 (ML)、統計分析、グラフ理論を活⽤しており、セキュリティ調査の視覚化を実 現している。
2.AWSの主要なセキュリティサービスについて 18 n Security Hub • AWSの環境をセキュリティ観点で包括的に把握できるサービス。 • セキュリティ系サービス(ex.GuardDuty)の検出結果を統合できる。 •
下記のセキュリティ標準がある。 1. AWS Foundational Security Best Practices (FSBP) 標準 2. Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0 ͓Αͼ v1.4.0 3. ⽶国国⽴標準技術研究所 (NIST) SP 800-53 Rev. 5 4. Payment Card Industry Data Security Standard (PCI DSS)
2.AWSの主要なセキュリティサービスについて 19 n AWS Config • AWSリソースの設定変更を継続的に記録する。 • あるべき設定との乖離の検知、修復ができる。 •
評価モードは「Proactive」と「Detective」がある。
3. AWS Configルールを使ってみた 20
3.AWS Configルールを使ってみた 21 n ルールの種類 • マネージドルール_評価内容が事前定義されたルール • カスタムルール_評価内容を⾃前で定義するルール
3.AWS Configルールを使ってみた 22 n マネージドルールについて • 数はおよそ300個 • 評価モード下記2つ 1.
Proactive 2. Detective • トリガータイプは下記3つ 1. 設定変更 2. 定期的 3. ハイブリッド
3.AWS Configルールを使ってみた 23 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • 予防的統制が可能となった。 • Proactiveモードで利⽤できるマネージドルールは限られている。(およそ17個) • AWS Config APIを利⽤してリソースがルールを準拠しているかチェックできる。 1. StartResourceEvaluation API 2. GetResourceEvaluationSummary API • 上記APIをCI/CDパイプラインに組み込む。
3.AWS Configルールを使ってみた 24 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • ルール設定時に各評価モードの有効、無効を設定する。
3.AWS Configルールを使ってみた 25 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • StartResourceEvaluation API を実⾏し、ResourceEvaluationIdを取得する。
3.AWS Configルールを使ってみた 26 n 評価モード Proactive NEW ̶ AWS Config
ルールがプロアクティブなコンプライアンスをサポートする ようになりました 2022年12⽉11⽇ https://aws.amazon.com/jp/blogs/news/new-aws-config-rules-now-support-proactive-compliance/ • GetResourceEvaluationSummary API を実⾏すると評価結果とルー ルに準拠しているか、 「COMPLIANT」もしくは 「 NON_COMPLIANT 」が出⼒さ れる。
3.AWS Configルールを使ってみた 27 n 評価モード Detective • 発⾒的統制。 • 利⽤できるマネージドルール数はおよそ300個。
• ルール⾮準拠時の修復アクションを設定できる。 →マネージドルール「guardduty-enabled-centralized」に修復アクション 「AWSConfigRemediation-CreateGuardDutyDetector」を設定してみる。
3.AWS Configルールを使ってみた 28 n ⼿順 1. AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオート メーションランブックのアクションを持つIAMポリシーを作成する。
2. ルールを作成する。 3. 作成したルールの編集で修復を設定する。
3.AWS Configルールを使ってみた 29 n AWS Systems Managerオートメーション⽤IAMロールと実⾏したいオートメーション ランブックのアクションを持つIAMポリシーを作成する。 1. IAMロールにはssm.amazonaws.comの信頼ポリシーを設定する。arnを控える。
2. IAMポリシーには下記アクションを付与する。 https://docs.aws.amazon.com/ja_jp/systems-manager-automation-runbooks/latest/userguide/automation-aws-enable-guard-detect.html ・ssm:StartAutomationExecution ・ssm:GetAutomationExecution ・guardduty:CreateDetector ・guardduty:GetDetector
3.AWS Configルールを使ってみた 30 n ルールを作成し、修復の設定を加える。 1. マネージドルールから「guardduty-enabled- centralized」を選択する。 https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/guardduty-enabled- centralized.html
2. 作成したルールのアクションから修復の管理を選 び、修復アクションを設定する。 「AWSConfigRemediation- CreateGuardDutyDetector」を選択し、パラ メータには先ほど作成したIAMロールのarnを設 定する。
3.AWS Configルールを使ってみた 31 • 修復アクションが設定される。現在の設定はマネージドルール準拠状態なので、修復アクション は稼働しない。
3.AWS Configルールを使ってみた 32 • ルールが⾮準拠を検知すると対象範囲内のリソース欄のステータスに修復アクション実⾏結果 が表⽰される。
3.AWS Configルールを使ってみた 33 • ちなみに今回利⽤したルールはトリガータイプが定期的なので、⾃動修復アクションで設定が 修復→定期的チェック(ex.24時間)実⾏→ルール⾮準拠から準拠状態となる。
4.終わりに 34 • セキュリティインシデントの状況とAWSのセキュリティ系サービスについて説明しました。 • AWS Well-Architectedのセキュリティのフレームワーク、とりわけ「検出」項⽬を考慮する にあたり、今回扱ったサービスは全て有⽤なので、導⼊していただく事をお勧めします。 https://wa.aws.amazon.com/wellarchitected/2020-07-02T19-33-23/wat.pillar.security.ja.html#sec.detective