Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CNAPPから考えるAWSのセキュリティサービス

Avatar for Jowoon Jang Jowoon Jang
July 29, 2024
0
520

 CNAPPから考えるAWSのセキュリティサービス

Avatar for Jowoon Jang

Jowoon Jang

July 29, 2024
Tweet

Featured

See All Featured
How GitHub (no longer) Works
Avatar for Zach Holman holman
314
140k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
299
21k
BBQ
Avatar for Matthew Crist matthewcrist
89
9.7k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.4k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
54
6.4k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
17
950
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
55
5.6k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
94
14k
Designing for Performance
Avatar for Lara Hogan lara
609
69k

Transcript

  1. CNAPPから考える AWSのセキュリティサービス TIS株式会社 張 造運

  2. 自己紹介 2 張 造運(じゃん ぞうん) # 2024 Japan AWS Jr.

    Champions # 2024 Japan AWS All Certifications Engineers # Tenable Guardian 業務: • Tenable製品の提案、構築、運用支援 • ADセキュリティの改善支援 • CNAPP製品の提案 その他: JAWS初登壇です!

  3. (いきなり余談)Japan AWS Jr. Championsって? 3 ➢社会人歴 1 ~ 3 年目を対象としてプログラム

    ➢今後は Japan AWS Top Engineers そして Japan AWS Ambassadors になることが期待される。 注目度やばすぎ!!(名前負けしないように頑張ります!)

  4. CNAPPって? ➢2021年にGartnerが提唱した用語。 ➢クラウドセキュリティに必要な機能が統合されたプラットフォームのこと。 4 ガートナーの「クラウド・セキュリティのハイプ・サイクル:2021年」に登場した4つの必須テクノロジ (gartner.co.jp)

  5. CNAPPの構成イメージ • CNAPP自体はプラットフォーム(機能の名称ではない)。 • CSPM、CWPP、CIEMなど、様々なクラウドセキュリティ機能が含まれている。 • 含まれる機能は製品によってまちまち。(今まで検証した製品は、すべてCSPM、 CWPP、CIEM、DSPM、脅威検知の機能が含まれていた) 5 CNAPP

    CSPM CWPP CIEM DSPM 脅威検知

  6. 各機能の概要 • 各機能の概要は下記の通り。 6 カテゴリ 主要機能 CSPM ➢ クラウド特有の設定不備を検出する機能 クラウドの設定不備検出

    IaCの設定不備検出 CWPP ➢ ワークロード(EC2/コンテナ等)の脆弱性検出や保護する機能 仮想マシンの脆弱性検出 コンテナイメージの脆弱性検出 ワークロードの保護(脅威検出と防御) CIEM ➢ IAMに特化した設定不備を検出する機能 外部アクセスの特定 過剰権限の特定 最小権限ポリシーの生成 DSPM ➢ データ(S3、DB等)に特化した設定不備を検出する機能 機密情報の検出 認証情報の検出 脅威検知 ➢ 脅威を検出する機能 脅威検知 マルウェア検知

  7. 7 ほとんどAWSのサービスで カバーできそうじゃないですか?

  8. 対応するAWSサービス 8 カテゴリ 主要機能 対応するAWSサービス CSPM クラウドの設定不備検出 AWS Security Hub

    IaCの設定不備検出 Amazon CodeGuru Security CWPP 仮想マシンの脆弱性検出 Amazon Inspector コンテナイメージの脆弱性検出 Amazon ECR ワークロードの保護(脅威検出と防御) △ Amazon GuardDuty(検知まで) CIEM 外部アクセスの特定 AWS IAM(IAM Access Analyzer) 過剰権限の特定 AWS IAM(IAM Access Analyzer) 最小権限ポリシーの生成 AWS IAM(IAM Access Analyzer) DSPM 機密情報の検出 Amazon Macie 認証情報の検出 Amazon Macie 脅威検知 脅威検知 Amazon GuardDuty マルウェア検知 Amazon GuardDuty ➢ 最低限これらのサービスがしっかり運用できれば、そこそこのセキュリティが担保できる ➢ (もちろん、これだけですべては網羅できない)

  9. ユースケースの違い 9 AWSサービスだけ利用する場合 CNAPPを利用する場合 • AWSだけでインフラを構築している場合 • 従量課金で低コストに利用したい場合 • AWSサービスの知見がある場合(設定、運用に高

    度な知識が必要) • セキュリティ機能を段階的に適用していきたい場合 • 他社のクラウドサービスをまとめて管理したい場合 • コスト予測をしたい場合 • AWSサービスの知見が少ない場合 • AWSで対応していないコンプライアンス基準のチェッ ク(PCI DSSv4など)をしたい場合

  10. 運用におけるポイント① • 可能な限り、情報は集約する。 10 AWS Security Hub (リージョンC) AWS Security

    Hub (リージョンB) AWS Security Hub (リージョンA) Amazon GuardDuty Amazon Inspector Amazon Macie IAM Access Analyzer Security Hubに統合 クロスリージョン集約 サードパーティーツールへの統合 セキュリティ ツールA セキュリティ ツールB セキュリティ ツールC

  11. 運用におけるポイント② • 負荷軽減の工夫をする。 11 • 適切な優先度付け ➢ 対処が必要なものだけにアラートを制限する(どのSeverityまで対応するか) ➢ 対処しなくていいものは対処しない(Security

    Hubのコントロール無効化) • 自動化の利用 ➢ Security Hubの自動修復ソリューション(*1)を活用する ➢ EventBridgeとLambdaを組み合わせて、カスタムアクションを実装する • 設定自体を制限 ➢ 組織的に禁止したい設定はSCPで制限する ➢ Service Catalogで、セキュアな環境だけを利用させる (*1)AWS での自動化されたセキュリティ対応 | AWS ソリューション | AWS ソリューションライブラリ (amazon.com)

  12. 最後に • セキュリティにしっかり投資をして、安全にAWSを利用しましょう。 • 自社の要件に応じて、AWSのセキュリティサービス、サードパーティーツールを使い 分けましょう。 • 利用するだけで満足せずに、運用を回しましょう。 12

  13. ご清聴ありがとうございました