20171222_owasp_okinawa

パブリッククラウドの
セキュリティ（AWS編）
OWASP in OKINAWA
2017/12/22 岡崎

View Slide

自己紹介（１）
◎ 氏名：岡崎　創
◎ 出身：埼玉県春日部市
◎ 所属：株式会社サイバーエージェント
　　　アドテク本部セキュリティグループ
　　　セキュリティエンジニア
◎ 資格：情報処理安全確保支援士
登録番号：第000479号

View Slide

自己紹介（２）
◎ 職歴
◉ 情報系大学卒業
◉ LAMP環境のフロントエンジニア：３年位
◉ その後、LAMP環境インフラエンジニア
：３年位
◉ その後、Webアプリケーションの脆弱性診断
：１年位
◉ その後、サイバーエージェントに入社
（2015/6〜）

View Slide

本題１

View Slide

皆さん、こんな記事
知ってますでしょうか
参考：　
https://aws.amazon.com/jp/blogs/security/new-security-whitepaper
-now-available-use-aws-waf-to-mitigate-owasps-top-10-web-applic
ation-vulnerabilities/

View Slide

“
簡単に説明しますと、
AWS WAFはOWASP Top 10に対応可能で
す。（2017/7）
参考：https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf

View Slide

OWASP TOP 10
参考：　https://www.owasp.org/images/7/72/OWASP_Top_10-2017_%28en%29.pdf.pdf

View Slide

様々なところで参照されている
「OWASP TOP 10」

View Slide

“
ですが、WAFだけでは、
防げない攻撃がいっぱいあります
参考：https://d0.awsstatic.com/whitepapers/Security/aws-waf-owasp.pdf

View Slide

“
ということで、
アドテクスタジオで行っている
セキュリティ強化を
ご紹介します

View Slide

本題２

View Slide

アドテクスタジオでの
AWSのセキュアな使い方

View Slide

“
Single Sign Onの活用

View Slide

背景
◎ アドテクスタジオでは数多くのAWSアカウントが
存在
◎ AWSアカウントごとにIAMアカウントとIAMサイ
ンインリンクを管理するのは面倒
◎ ルートアカウントはセキュリティチームで管理した
い
ー＞　SSOできないか

View Slide

１，AWSマネジメントコンソールへのログイン
◎ アドテクスタジオでは、
「PingFederate」を利用して、SSOし
ています
◉ ルートアカウントの利用禁止
◎ DataStoreには、LDAPを利用
◎ 社内からは１段階認証
◎ 社外からは２段階認証
詳細：　https://adtech.cyberagent.io/techblog/archives/2822

View Slide

SSO
◎ 一度のユーザ認証処理によって独立した複数のソフトウェアシステム上
のリソースが利用可能になる特性である。
◎ アイデンティティ管理を連邦化（federate）することによって、ひとつの組織
（管理ドメイン）を超えて他の管理ドメインのWebサーバにも同一のユー
ザIDとパスワードの組でログインできるようにする処理
参考：　
https://ja.wikipedia.org/wiki/%E3%82%B7%E3%83%B3%E3%82%B0%E3%83%AB%E3%82%B5%E3%82%A4%E3%83%B3%E3%82%AA%E3%83%B3

View Slide

PingFederateとは
◎ SSOを提供するID連携のソフトウェア
参考：https://www.macnica.net/pingidentity/pingfederate.html/

View Slide

AWSとの連携はSAML
◎ 異なるシステム間で、パスワードなどの機密情報
を送信することなく、認証されたユーザ情報を連
携することで、SSOします
参考：https://www.macnica.net/pingidentity/pingfederate.html/

View Slide

AWSの場合

View Slide

認証の流れ
　3,uni:E-mail
1,認証
2,参照
4,OK

View Slide

ダッシュボード

View Slide

“
ですが、先日
AWS SSO
というものが参上しました（T T）

View Slide

“
AWS CloudTrailの活用

View Slide

背景
◎ 複数のAWSがあり、一括で確認・監査できない
ものか

View Slide

Cloudtrail log sample
"CloudTrailEvent":
"{\"eventVersion\":\"1.05\",\"userIdentity\":{\"type\":\"AssumedRole\",\"princi
palId\":\"xxxx:xxxx\",\"arn\":\"arn:aws:sts::xxxxx:assumed-role/adtech-aws
-xxxx/xxxx\",\"accountId\":\"xxxxx\"},\"eventTime\":\"2017-12-11T08:14:14Z\",
\"eventSource\":\"signin.amazonaws.com\",\"eventName\":\"ConsoleLogin\",
\"awsRegion\":\"us-east-1\",\"sourceIPAddress\":\"xxxxx\",\"userAgent\":\"
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/62.0.3202.94
Safari/537.36\",\"requestParameters\":null,\"responseElements\":{\"Console
Login\":\"Success\"},\"additionalEventData\":{\"LoginTo\":\"https://console.a
ws.amazon.com/console/home\",\"MobileVersion\":\"No\",\"MFAUsed\":\"No
\",\"SamlProviderArn\":\"arn:aws:iam::xxxxx:saml-provider/adtech-aws-xx
xxx\"},\"eventID\":\"xxxxx\",\"eventType\":\"AwsConsoleSignIn\",\"recipient
AccountId\":\"xxx\"}",
"EventName": "ConsoleLogin",
"Resources": [],
"timestamp": "2017-12-11T17:14:14+0900"
},

View Slide

２，CloudTrail（操作ログ）の活用１
◎ CloudTrail ー＞ ElasticSearch ー＞ Kibana
(watcher) ー＞ Slack

View Slide

２，CloudTrailの活用２
◎ フェデレーションユーザーのログインや
rootログイン・ログインエラー回数などを監視
◎ また、AWSごとのイベント数などを可視化

View Slide

“
どんどん行きましょう

View Slide

“
AWS セキュリティグループの問題

View Slide

セキュリティグループぐちゃぐちゃ問題１
◎ ファイアウォール　ー＞　ネットワークエンジニア
◎ AWSセキュリティグループ　ー＞　アプリケーションエンジニア
参考：　https://adtech.cyberagent.io/techblog/archives/2966
第７層　アプリケーション層
第６層　プレゼンテーション層
第５層　セッション層
第４層　トランスポート層
第３層　ネットワーク層
第２層　データリンク層
第１層　物理層
アプリケーション
　エンジニア
ネットワーク
　エンジニア

View Slide

セキュリティグループぐちゃぐちゃ問題２
◎ 「あれ、これはなんの設定？」
◎ 「このソースIPは、どこの顧客・パートナーのだろう？」
よって、
◎ 似たようなポリシーが複数存在
◎ どこのソースIPか、なんのためのポート許可か分からなくなって
しまい
◎ セキュリティグループのアタッチ状態がぐちゃぐちゃ

View Slide

よって、設定を変更するのが怖くなる
＊その為、インスタンスによっては通常閉じておくべきポートが空い
ており、攻撃されることがあります。

View Slide

“
便利なツールがあります

View Slide

Scout2
git clone https://github.com/nccgroup/Scout2
cd Scout2
pip install -r requirements.txt
python setup.py install
＃実行
/usr/local/bin/Scout2 --profile productA --report-dir /home/scout2/www/productA/ --force
参考：　https://nccgroup.github.io/Scout2/

View Slide

Scout2
◎ Compute > EC2 > Security gropus
利用されている
利用されていない　＞　不要なセキュリティグループ

View Slide

“
Scout2を利用することで、
セキュリティグループを整理することがで
きます

View Slide

“
セキュリティグループの関連で
Portの監視

View Slide

“
Scout2を利用することで、
セキュリティグループを整理することはできましたが、
実際のそのポートが利用されているかの確認が必要

View Slide

AWS CLI × Nampを活用
nmap -P0 -sV -p 許可ポート instanceAのpublicIP

View Slide

ポートチェック結果
xx.xx.xx.xx 4000/tcp open ssl/remoteanything?
xx.xxx.xx.x 80/tcp open http Apache httpd 2.2.29
xx.xx.xx.x 443/tcp closed https
xx.xx.xxx.xxx 80/tcp filtered http
xx.xx.xxx.xxx 110/tcp filtered pop3
xx.xx.xxx.x 25/tcp filtered smtp
xx.xx.xxx.xx 143/tcp filtered imap
xx.xx.xxx.xxx 80/tcp filtered http
＊nmapを実行する前に「AWS侵入テスト申請」出しましょう

View Slide

“
おまけ
最近、AWSにセキュリティ系で、
新サービスがでました

View Slide

“
AWS Guard Duty
AWS上のセキュリティ問題点を教えてくれる

View Slide

結果
Unprotected port on EC2 instance i-0xxxxxx is being probed.
Unprotected port on EC2 instance i-0yyyyyy is being probed.
Unprotected port on EC2 instance i-0zzzzzz is being probed.
Unprotected port on EC2 instance i-0aaaaaa is being probed.

View Slide

結果
Unprotected port on EC2 instance i-0xxxxxx is being probed.
Unprotected port on EC2 instance i-0yyyyyy is being probed.
Unprotected port on EC2 instance i-0zzzzzz is being probed.
Unprotected port on EC2 instance i-0aaaaaa is being probed.
「ポート２２がインターネットに
　公開されているよ」

View Slide

“
Guard Duty便利やん！
＊費用はかかります

View Slide

“
その他
社内用ガイドライン

View Slide

社内用ガイドライン（AWS編）
◎ AWS責任共有モデルを理解しましょう
◎ ルートアカウントは使用しないようにしましょう
◎ CloudTrailは有効にしましょう
◎ 機密情報をS3に保存する場合はS３にしましょう
など、４０項目ほど

View Slide

“
パブリッククラウドを利用する際は、
セキュリティ面にも注意しましょう

View Slide

Thanks!

View Slide

20171222_owasp_okinawa

20171222_owasp_okinawa

okazaki hajime

More Decks by okazaki hajime

Other Decks in Technology

Featured

Transcript