Slide 1

Slide 1 text

Security HubとGuardDutyで 予防的統制と発⾒的統制を運⽤する ハッシュタグ: #jawsug #jawsug_nagoya 2022/01/28 うすだけいすけ

Slide 2

Slide 2 text

2 ⾃⼰紹介 ⾅⽥佳祐 ・クラスメソッド株式会社 AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス: Amazon Detective みんなのAWS (技術評論社)

Slide 3

Slide 3 text

3 セッションテーマ AWSセキュリティを運⽤しよう

Slide 4

Slide 4 text

4 持ち帰ってもらうもの • AWSのセキュリティベストプラクティスに基づ く2つの保護機能を理解する • 怖がらないセキュリティ対策に挑戦する気持ち • 実運⽤を開始するための情報

Slide 5

Slide 5 text

5 みなさんはどちらですか︖ AWSのセキュリティは 簡単︖ or 難しい︖

Slide 6

Slide 6 text

6 AWSのセキュリティ対策を怖がらないで • 難しそうと思うなら理解しよう︕ • やってみると意外とできる︕

Slide 7

Slide 7 text

7 予防的統制と発⾒的統制

Slide 8

Slide 8 text

8 簡単に⾔うと • 予防的統制 • セキュリティ事故が起きないように安全かチェックしよ う︕ • 発⾒的統制 • 万が⼀セキュリティ事故が起きても気づいて対応できる ようにしよう︕

Slide 9

Slide 9 text

9 予防と発⾒ どっちがだいじ︖

Slide 10

Slide 10 text

10 どちらか⽚⽅をとるなら… • 予防的統制だけやる • 安全にして未然に防げる︕ • でも実は事故が起きているかも • 発⾒的統制だけやる • 事故が起きていることに気づいた︕ • そもそも起きないようにしたいよね

Slide 11

Slide 11 text

11 どっちもやろう︕

Slide 12

Slide 12 text

12 簡単に始める • 予防的統制 -> AWS Security Hub • 危ない設定を⾒つけてくれる︕ • 発⾒的統制 -> Amazon GuardDuty • 事故が起きたり、怪しい動きがあったら知らせてくれ る︕

Slide 13

Slide 13 text

13 もしも 対策できていないと

Slide 14

Slide 14 text

14 実際のインシデントの事例 実際にアクセス キーが漏洩した ときに何が起き たか記録したブ ログ https://dev.class method.jp/articl es/accesskey- leak/

Slide 15

Slide 15 text

15 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush 2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏 洩した旨、および、対応⽅法をご連絡(電話、メール) 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

Slide 16

Slide 16 text

16 その他のセキュリティ対策

Slide 17

Slide 17 text

17 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

Slide 18

Slide 18 text

18 予防的統制

Slide 19

Slide 19 text

19 AWS Security Hubとは • 2つの役割 • AWS上やサードパーティからセキュリティのイベントを 集約 • AWS上の危ない設定をチェックして危険がないか知らせ てくれる • 特にセキュリティチェックが強⼒

Slide 20

Slide 20 text

20 直感的なスコア表⽰ 達成度が わかりや すい

Slide 21

Slide 21 text

21 セキュリティチェック⽅法 • Security Hubはセキュリティチェック運⽤の理想形 • 直感的なスコア表⽰ • 無効化・例外の設定管理 • AWSが最新のベストプラクティスを適⽤ • 「AWS の基本的なセキュリティのベストプラクティスコント ロール(AWS Foundational Security Best Practices)」の ルールが優秀 • 現状30リソースタイプ・121種類のチェック • 更新頻度が⾼い(リリースから約1年半で13回更新) • ⾃動修復ソリューション • マルチアカウントの集約

Slide 22

Slide 22 text

22 無効化・例外の設定管理 ルール・リソース単位のステータス管理

Slide 23

Slide 23 text

23 対応リソースタイプ • ACM • APIGateway • AutoScaling • CloudFront • CloudTrail • CodeBuild • Config • DMS • DynamoDB • EC2 • ECS • EFS • ElasticBeanstalk • ELB • ELBv2 • EMR • ES • GuardDuty • IAM • KMS • Lambda • RDS • Redshift • S3 • SageMaker • SecretsManager • SNS • SQS • SSM • WAF

Slide 24

Slide 24 text

24 Security Hubの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 東京リージョンに集約 • 「AWSの基本的なセキュリティのベストプラクティス」 を適⽤する • ⾒つかる問題を解決する • 新しい問題が出たら通知する • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい

Slide 25

Slide 25 text

25 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod. jp/articles/aws-security- operation-with- securityhub-2021/

Slide 26

Slide 26 text

26 ⾃動修復ソリューション マルチアカ ウント連携 した修復の 仕組みを展 開できる

Slide 27

Slide 27 text

27 発⾒的統制

Slide 28

Slide 28 text

28 Amazon GuardDutyとは • 脅威検知サービス • CloudTrail / VPC Flow Logs / DNS Logsをバッ クグラウンドで⾃動収集(利⽤者の⼿間なし) • ポチッと有効化するだけ • IAM / EC2 / S3に関するインシデントを検知 • 脅威インテリジェンスと連携 • 機械学習による異常識別

Slide 29

Slide 29 text

29 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化 • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • バケット公開 • Torアクセス

Slide 30

Slide 30 text

30 対応⽅法 GuardDutyのユー ザーガイドに検知 結果毎の対応⽅法 がわかりやすく記 載されている https://docs.aws.amazon.co m/ja_jp/guardduty/latest/u g/guardduty_finding-types- active.html

Slide 31

Slide 31 text

31 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る

Slide 32

Slide 32 text

32 IAMタイプの初動対応例 • IAM Userならアクセスキーを無効化・削除 • IAM Roleならセッションの無効化をポチ • CloudTrailで何をされたか調査

Slide 33

Slide 33 text

33 EC2タイプの初動対応例 Security Groupを 変更して隔離 (in/out無し) AMIバックアップ取 得 サーバーやストレー ジ調査(できれば、 プロに任せたほうが いい)

Slide 34

Slide 34 text

34 S3タイプの初動対応例 パブリックアクセスブロックする

Slide 35

Slide 35 text

35 GuardDutyの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 通知設定をしてすぐに気付けるようにする • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい • 対応の準備をしておく • ⼿順の整理 • 誰に連絡するのか • 誰が判断するのか

Slide 36

Slide 36 text

36 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

Slide 37

Slide 37 text

37 合わせて読みたい GuardDutyがEKSク ラスターの検知に対 応しました https://dev.classmetho d.jp/articles/guardduty -for-eks-protection/

Slide 38

Slide 38 text

38 インシデント調査には Amazon Detectiveもおすすめ

Slide 39

Slide 39 text

39 Detectiveのいいところ 内部のグラフDBで関連付けしてくれる

Slide 40

Slide 40 text

40 合わせて読みたい 実際の画⾯とともにガッ ツリデモしているブログ 動きを⾒ながらより対応 イメージを⾼めよう https://dev.classmethod.jp/articles/a mazon-detective-investigation-demo/

Slide 41

Slide 41 text

41 まとめ

Slide 42

Slide 42 text

42 まとめ • 予防的統制と発⾒的統制はどちらも必要 • マネージドなサービスを駆使して簡単に AWSセキュリティの運⽤を開始しよう︕ • やればできる︕

Slide 43

Slide 43 text

43