Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CNAPPから考えるAWSのセキュリティサービス
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Jowoon Jang
July 29, 2024
1k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
CNAPPから考えるAWSのセキュリティサービス
Jowoon Jang
July 29, 2024
Featured
See All Featured
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
140
Bash Introduction
62gerente
615
220k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
122
22k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
55k
Making Projects Easy
brettharned
120
6.7k
Facilitating Awesome Meetings
lara
57
7k
Between Models and Reality
mayunak
4
330
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
280
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.7k
Leo the Paperboy
mayatellez
7
1.8k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
35
2.5k
Transcript
CNAPPから考える AWSのセキュリティサービス TIS株式会社 張 造運
自己紹介 2 張 造運(じゃん ぞうん) # 2024 Japan AWS Jr.
Champions # 2024 Japan AWS All Certifications Engineers # Tenable Guardian 業務: • Tenable製品の提案、構築、運用支援 • ADセキュリティの改善支援 • CNAPP製品の提案 その他: JAWS初登壇です!
(いきなり余談)Japan AWS Jr. Championsって? 3 ➢社会人歴 1 ~ 3 年目を対象としてプログラム
➢今後は Japan AWS Top Engineers そして Japan AWS Ambassadors になることが期待される。 注目度やばすぎ!!(名前負けしないように頑張ります!)
CNAPPって? ➢2021年にGartnerが提唱した用語。 ➢クラウドセキュリティに必要な機能が統合されたプラットフォームのこと。 4 ガートナーの「クラウド・セキュリティのハイプ・サイクル:2021年」に登場した4つの必須テクノロジ (gartner.co.jp)
CNAPPの構成イメージ • CNAPP自体はプラットフォーム(機能の名称ではない)。 • CSPM、CWPP、CIEMなど、様々なクラウドセキュリティ機能が含まれている。 • 含まれる機能は製品によってまちまち。(今まで検証した製品は、すべてCSPM、 CWPP、CIEM、DSPM、脅威検知の機能が含まれていた) 5 CNAPP
CSPM CWPP CIEM DSPM 脅威検知
各機能の概要 • 各機能の概要は下記の通り。 6 カテゴリ 主要機能 CSPM ➢ クラウド特有の設定不備を検出する機能 クラウドの設定不備検出
IaCの設定不備検出 CWPP ➢ ワークロード(EC2/コンテナ等)の脆弱性検出や保護する機能 仮想マシンの脆弱性検出 コンテナイメージの脆弱性検出 ワークロードの保護(脅威検出と防御) CIEM ➢ IAMに特化した設定不備を検出する機能 外部アクセスの特定 過剰権限の特定 最小権限ポリシーの生成 DSPM ➢ データ(S3、DB等)に特化した設定不備を検出する機能 機密情報の検出 認証情報の検出 脅威検知 ➢ 脅威を検出する機能 脅威検知 マルウェア検知
7 ほとんどAWSのサービスで カバーできそうじゃないですか?
対応するAWSサービス 8 カテゴリ 主要機能 対応するAWSサービス CSPM クラウドの設定不備検出 AWS Security Hub
IaCの設定不備検出 Amazon CodeGuru Security CWPP 仮想マシンの脆弱性検出 Amazon Inspector コンテナイメージの脆弱性検出 Amazon ECR ワークロードの保護(脅威検出と防御) △ Amazon GuardDuty(検知まで) CIEM 外部アクセスの特定 AWS IAM(IAM Access Analyzer) 過剰権限の特定 AWS IAM(IAM Access Analyzer) 最小権限ポリシーの生成 AWS IAM(IAM Access Analyzer) DSPM 機密情報の検出 Amazon Macie 認証情報の検出 Amazon Macie 脅威検知 脅威検知 Amazon GuardDuty マルウェア検知 Amazon GuardDuty ➢ 最低限これらのサービスがしっかり運用できれば、そこそこのセキュリティが担保できる ➢ (もちろん、これだけですべては網羅できない)
ユースケースの違い 9 AWSサービスだけ利用する場合 CNAPPを利用する場合 • AWSだけでインフラを構築している場合 • 従量課金で低コストに利用したい場合 • AWSサービスの知見がある場合(設定、運用に高
度な知識が必要) • セキュリティ機能を段階的に適用していきたい場合 • 他社のクラウドサービスをまとめて管理したい場合 • コスト予測をしたい場合 • AWSサービスの知見が少ない場合 • AWSで対応していないコンプライアンス基準のチェッ ク(PCI DSSv4など)をしたい場合
運用におけるポイント① • 可能な限り、情報は集約する。 10 AWS Security Hub (リージョンC) AWS Security
Hub (リージョンB) AWS Security Hub (リージョンA) Amazon GuardDuty Amazon Inspector Amazon Macie IAM Access Analyzer Security Hubに統合 クロスリージョン集約 サードパーティーツールへの統合 セキュリティ ツールA セキュリティ ツールB セキュリティ ツールC
運用におけるポイント② • 負荷軽減の工夫をする。 11 • 適切な優先度付け ➢ 対処が必要なものだけにアラートを制限する(どのSeverityまで対応するか) ➢ 対処しなくていいものは対処しない(Security
Hubのコントロール無効化) • 自動化の利用 ➢ Security Hubの自動修復ソリューション(*1)を活用する ➢ EventBridgeとLambdaを組み合わせて、カスタムアクションを実装する • 設定自体を制限 ➢ 組織的に禁止したい設定はSCPで制限する ➢ Service Catalogで、セキュアな環境だけを利用させる (*1)AWS での自動化されたセキュリティ対応 | AWS ソリューション | AWS ソリューションライブラリ (amazon.com)
最後に • セキュリティにしっかり投資をして、安全にAWSを利用しましょう。 • 自社の要件に応じて、AWSのセキュリティサービス、サードパーティーツールを使い 分けましょう。 • 利用するだけで満足せずに、運用を回しましょう。 12
ご清聴ありがとうございました
akademiya2063
62gerente
panda_program
destraynor
brettharned
lara
mayunak
garrettdimon
techseoconnect
tammyeverts
mayatellez
marcduiker
