Upgrade to Pro — share decks privately, control downloads, hide ads and more …

CNAPPから考えるAWSのセキュリティサービス

Avatar for Jowoon Jang Jowoon Jang
July 29, 2024
520

 CNAPPから考えるAWSのセキュリティサービス

Avatar for Jowoon Jang

Jowoon Jang

July 29, 2024
Tweet

Transcript

  1. 自己紹介 2 張 造運(じゃん ぞうん) # 2024 Japan AWS Jr.

    Champions # 2024 Japan AWS All Certifications Engineers # Tenable Guardian 業務: • Tenable製品の提案、構築、運用支援 • ADセキュリティの改善支援 • CNAPP製品の提案 その他: JAWS初登壇です!
  2. (いきなり余談)Japan AWS Jr. Championsって? 3 ➢社会人歴 1 ~ 3 年目を対象としてプログラム

    ➢今後は Japan AWS Top Engineers そして Japan AWS Ambassadors になることが期待される。 注目度やばすぎ!!(名前負けしないように頑張ります!)
  3. 各機能の概要 • 各機能の概要は下記の通り。 6 カテゴリ 主要機能 CSPM ➢ クラウド特有の設定不備を検出する機能 クラウドの設定不備検出

    IaCの設定不備検出 CWPP ➢ ワークロード(EC2/コンテナ等)の脆弱性検出や保護する機能 仮想マシンの脆弱性検出 コンテナイメージの脆弱性検出 ワークロードの保護(脅威検出と防御) CIEM ➢ IAMに特化した設定不備を検出する機能 外部アクセスの特定 過剰権限の特定 最小権限ポリシーの生成 DSPM ➢ データ(S3、DB等)に特化した設定不備を検出する機能 機密情報の検出 認証情報の検出 脅威検知 ➢ 脅威を検出する機能 脅威検知 マルウェア検知
  4. 対応するAWSサービス 8 カテゴリ 主要機能 対応するAWSサービス CSPM クラウドの設定不備検出 AWS Security Hub

    IaCの設定不備検出 Amazon CodeGuru Security CWPP 仮想マシンの脆弱性検出 Amazon Inspector コンテナイメージの脆弱性検出 Amazon ECR ワークロードの保護(脅威検出と防御) △ Amazon GuardDuty(検知まで) CIEM 外部アクセスの特定 AWS IAM(IAM Access Analyzer) 過剰権限の特定 AWS IAM(IAM Access Analyzer) 最小権限ポリシーの生成 AWS IAM(IAM Access Analyzer) DSPM 機密情報の検出 Amazon Macie 認証情報の検出 Amazon Macie 脅威検知 脅威検知 Amazon GuardDuty マルウェア検知 Amazon GuardDuty ➢ 最低限これらのサービスがしっかり運用できれば、そこそこのセキュリティが担保できる ➢ (もちろん、これだけですべては網羅できない)
  5. ユースケースの違い 9 AWSサービスだけ利用する場合 CNAPPを利用する場合 • AWSだけでインフラを構築している場合 • 従量課金で低コストに利用したい場合 • AWSサービスの知見がある場合(設定、運用に高

    度な知識が必要) • セキュリティ機能を段階的に適用していきたい場合 • 他社のクラウドサービスをまとめて管理したい場合 • コスト予測をしたい場合 • AWSサービスの知見が少ない場合 • AWSで対応していないコンプライアンス基準のチェッ ク(PCI DSSv4など)をしたい場合
  6. 運用におけるポイント① • 可能な限り、情報は集約する。 10 AWS Security Hub (リージョンC) AWS Security

    Hub (リージョンB) AWS Security Hub (リージョンA) Amazon GuardDuty Amazon Inspector Amazon Macie IAM Access Analyzer Security Hubに統合 クロスリージョン集約 サードパーティーツールへの統合 セキュリティ ツールA セキュリティ ツールB セキュリティ ツールC
  7. 運用におけるポイント② • 負荷軽減の工夫をする。 11 • 適切な優先度付け ➢ 対処が必要なものだけにアラートを制限する(どのSeverityまで対応するか) ➢ 対処しなくていいものは対処しない(Security

    Hubのコントロール無効化) • 自動化の利用 ➢ Security Hubの自動修復ソリューション(*1)を活用する ➢ EventBridgeとLambdaを組み合わせて、カスタムアクションを実装する • 設定自体を制限 ➢ 組織的に禁止したい設定はSCPで制限する ➢ Service Catalogで、セキュアな環境だけを利用させる (*1)AWS での自動化されたセキュリティ対応 | AWS ソリューション | AWS ソリューションライブラリ (amazon.com)