Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CNAPPから考えるAWSのセキュリティサービス

Avatar for Jowoon Jang Jowoon Jang
July 29, 2024
0
590

 CNAPPから考えるAWSのセキュリティサービス

Avatar for Jowoon Jang

Jowoon Jang

July 29, 2024
Tweet

Featured

See All Featured
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
StorybookのUI Testing Handbookを読んだ
Avatar for Shingo Yamazaki zakiyama
30
5.9k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
35
6.8k
Understanding Cognitive Biases in Performance Measurement
Avatar for Philip Tellis bluesmoon
29
1.8k
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
43
7.6k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
840
Designing for Performance
Avatar for Lara Hogan lara
610
69k
Performance Is Good for Brains [We Love Speed 2024]
Avatar for Tammy Everts tammyeverts
10
990
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
69
4.7k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k

Transcript

  1. CNAPPから考える AWSのセキュリティサービス TIS株式会社 張 造運

  2. 自己紹介 2 張 造運(じゃん ぞうん) # 2024 Japan AWS Jr.

    Champions # 2024 Japan AWS All Certifications Engineers # Tenable Guardian 業務: • Tenable製品の提案、構築、運用支援 • ADセキュリティの改善支援 • CNAPP製品の提案 その他: JAWS初登壇です!

  3. (いきなり余談)Japan AWS Jr. Championsって? 3 ➢社会人歴 1 ~ 3 年目を対象としてプログラム

    ➢今後は Japan AWS Top Engineers そして Japan AWS Ambassadors になることが期待される。 注目度やばすぎ!!(名前負けしないように頑張ります!)

  4. CNAPPって? ➢2021年にGartnerが提唱した用語。 ➢クラウドセキュリティに必要な機能が統合されたプラットフォームのこと。 4 ガートナーの「クラウド・セキュリティのハイプ・サイクル:2021年」に登場した4つの必須テクノロジ (gartner.co.jp)

  5. CNAPPの構成イメージ • CNAPP自体はプラットフォーム(機能の名称ではない)。 • CSPM、CWPP、CIEMなど、様々なクラウドセキュリティ機能が含まれている。 • 含まれる機能は製品によってまちまち。(今まで検証した製品は、すべてCSPM、 CWPP、CIEM、DSPM、脅威検知の機能が含まれていた) 5 CNAPP

    CSPM CWPP CIEM DSPM 脅威検知

  6. 各機能の概要 • 各機能の概要は下記の通り。 6 カテゴリ 主要機能 CSPM ➢ クラウド特有の設定不備を検出する機能 クラウドの設定不備検出

    IaCの設定不備検出 CWPP ➢ ワークロード(EC2/コンテナ等)の脆弱性検出や保護する機能 仮想マシンの脆弱性検出 コンテナイメージの脆弱性検出 ワークロードの保護(脅威検出と防御) CIEM ➢ IAMに特化した設定不備を検出する機能 外部アクセスの特定 過剰権限の特定 最小権限ポリシーの生成 DSPM ➢ データ(S3、DB等)に特化した設定不備を検出する機能 機密情報の検出 認証情報の検出 脅威検知 ➢ 脅威を検出する機能 脅威検知 マルウェア検知

  7. 7 ほとんどAWSのサービスで カバーできそうじゃないですか?

  8. 対応するAWSサービス 8 カテゴリ 主要機能 対応するAWSサービス CSPM クラウドの設定不備検出 AWS Security Hub

    IaCの設定不備検出 Amazon CodeGuru Security CWPP 仮想マシンの脆弱性検出 Amazon Inspector コンテナイメージの脆弱性検出 Amazon ECR ワークロードの保護(脅威検出と防御) △ Amazon GuardDuty(検知まで) CIEM 外部アクセスの特定 AWS IAM(IAM Access Analyzer) 過剰権限の特定 AWS IAM(IAM Access Analyzer) 最小権限ポリシーの生成 AWS IAM(IAM Access Analyzer) DSPM 機密情報の検出 Amazon Macie 認証情報の検出 Amazon Macie 脅威検知 脅威検知 Amazon GuardDuty マルウェア検知 Amazon GuardDuty ➢ 最低限これらのサービスがしっかり運用できれば、そこそこのセキュリティが担保できる ➢ (もちろん、これだけですべては網羅できない)

  9. ユースケースの違い 9 AWSサービスだけ利用する場合 CNAPPを利用する場合 • AWSだけでインフラを構築している場合 • 従量課金で低コストに利用したい場合 • AWSサービスの知見がある場合(設定、運用に高

    度な知識が必要) • セキュリティ機能を段階的に適用していきたい場合 • 他社のクラウドサービスをまとめて管理したい場合 • コスト予測をしたい場合 • AWSサービスの知見が少ない場合 • AWSで対応していないコンプライアンス基準のチェッ ク(PCI DSSv4など)をしたい場合

  10. 運用におけるポイント① • 可能な限り、情報は集約する。 10 AWS Security Hub (リージョンC) AWS Security

    Hub (リージョンB) AWS Security Hub (リージョンA) Amazon GuardDuty Amazon Inspector Amazon Macie IAM Access Analyzer Security Hubに統合 クロスリージョン集約 サードパーティーツールへの統合 セキュリティ ツールA セキュリティ ツールB セキュリティ ツールC

  11. 運用におけるポイント② • 負荷軽減の工夫をする。 11 • 適切な優先度付け ➢ 対処が必要なものだけにアラートを制限する(どのSeverityまで対応するか) ➢ 対処しなくていいものは対処しない(Security

    Hubのコントロール無効化) • 自動化の利用 ➢ Security Hubの自動修復ソリューション(*1)を活用する ➢ EventBridgeとLambdaを組み合わせて、カスタムアクションを実装する • 設定自体を制限 ➢ 組織的に禁止したい設定はSCPで制限する ➢ Service Catalogで、セキュアな環境だけを利用させる (*1)AWS での自動化されたセキュリティ対応 | AWS ソリューション | AWS ソリューションライブラリ (amazon.com)

  12. 最後に • セキュリティにしっかり投資をして、安全にAWSを利用しましょう。 • 自社の要件に応じて、AWSのセキュリティサービス、サードパーティーツールを使い 分けましょう。 • 利用するだけで満足せずに、運用を回しましょう。 12

  13. ご清聴ありがとうございました