AWSをフル活用するサービスを保護するセキュリティの考え方とは / Secure with Cloud One for freee

by Eiji Sugiura

Slide 1

Slide 1 text

　 freeeが語る！ AWSをフル活用するサービスを保護するセキュリティの考え方とは AWS Summit 2022

Slide 2

Slide 2 text

　 2 2017-12 freeeにjoinし、CSIRT専属engineerとして、incident response、および、securityを担保する仕組みづくりを担当。 2020−07 product securityを専門とするPSIRT発足に伴い、 blue teamとして活動中その昔、jazz Guitarを弾けましたが、今は見る影なし妻と1男1女の4人家族杉浦英史 PSIRT 機関長 Eiji Sugiura プロフィール画像のトリミング方法

Slide 3

Slide 3 text

　 freee の紹介

Slide 4

Slide 4 text

4 SaaS で会計サービスを提供

Slide 5

Slide 5 text

　 5 freee会計 freee開業 freee福利厚生 freeeアプリストア freee人事労務 freee会社設立 freeeスマート受発注 freeeプロジェクト管理 freee資金調達 freee申告 freeeカードプロダクトラインアップ

Slide 6

Slide 6 text

スモールビジネスを、世界の主役に。

Slide 7

Slide 7 text

7 誰もが自然に経営できる環境

Slide 8

Slide 8 text

8 リアルタイムデータ収集 + 可視化 + 自動化 Service を守るのが PSIRT の責務

Slide 9

Slide 9 text

　 9 freee PSIRT? Cloud One with Amazon EC2 Cloud One with Amazon EKS Cloud One with AWS 本日のアジェンダ 01 02 03 04

Slide 10

Slide 10 text

　 01 freee PSIRT ?

Slide 11

Slide 11 text

　 11 Defence In Depth 多層防御外部からの攻撃 WAF、IPS、AntiMalware で検知内部からの攻撃 EDR、NGFW で検知侵入後の水平展開、奪取 Risk Based Authenication CloudTrail、GuardDuty で検知 Log 集約 + Alert 発砲 + 解析前後関係の把握、被害範囲の特定 DevSecOps Scanner で検知

Slide 12

Slide 12 text

　 12 日々の運用 freee PSIRT OODA loop Security Weekly もくもく会  Incident Handling Kaizen hour Observe 担当者が集まって分析気になるものは一緒に探ってみる世話を焼いていくスタイル Decide CSIRT/PSIRT で情報共有検知状況を解釈し、対処方針を決めるあえて共有理想ドリブン Act 改善してみるかっとなって、しゅっとやる Hack Everything Orient もしものときには足りないものに気付く失敗して攻めよう

Slide 13

Slide 13 text

　 02 Cloud One with Amazon EC2

Slide 14

Slide 14 text

14 Cloud One Workload Security with Amazon EC2 3年前の構成 AWS WAF EC2 instances Anti-Malware Intrusion Prevention Integrity Monitoring Log Inspection VPC flow log resolver log ALB access log application log GuardDuty CloudTrail Workload Security Agent

Slide 15

Slide 15 text

15 Amazon EC2 から Amazon EKS への移行 Service の物量に対応できない Service は動いてはいた security sensor の整備もひと段落将来の需要に対応できない Micro-service 化に伴い、環境の数は増えていく SREとApplication 開発者の融合いろいろ遅い deploy が遅い、Auto scaling が遅い instance だと、単位が大きすぎる

Slide 16

Slide 16 text

16 Amazon EKS に移行して、DeepSecurity 動くの？ Service の物量に対応できない Kernel module version が異なると、そもそも動かない packet capture や file scanできる? Signature 対応してる? k8s 向けの signature って、存在するのだろうか? Overhead 重いのでは? 通常の EC2 instance と比べて、 k8s 向けの処理を行う分、負荷は増える DeepSecurity の負荷に耐えられる ?

Slide 17

Slide 17 text

　 03 Cloud One with Amazon EKS

Slide 18

Slide 18 text

18 Cloud One Workload Security with Amazon EKS Worker Node + Agent AWS WAF EKS cluster VPC flow log resolver log ALB GuardDuty CloudTrail Workload Security Agent access log application log

Slide 19

Slide 19 text

19 Amazon EKS に移行して、DeepSecurity 動くの？回答編 Kernel module 用意されていた、OK! EC2 typeを利用したのは、DeepSecurityを入れるのに都合が良い面もあったため Signature 対応してる? 対応はしている remoteからk8s APIへの攻撃が届くのは、 master node worker nodeでの検知は少ない Overhead 重いのでは? 耐えられる EKSへの移行の利点はmaster nodeの運用負荷軽減

Slide 20

Slide 20 text

　 20 Amazon EC2 → Amazon EKS への移行は簡単だった！ Amazon EKSでもWorkload Securityは動作する Dashboard DeepSecurity の時から変わらぬ操作性 SIEM との統合 Amazon OpenSearch Serviceで threat hunting 継続的な運用 Log4Shell への対処

Slide 21

Slide 21 text

21 Log4Shell freeeの場合 2021-12-10(金) Log4jのZero-dayとして出回ってしまう freeeのrepository内に、log4jの直接の記述はないことを確認 2021-12-11(土) 12:20 CVE-2021-44228として開示される CVSS 10 2021-12-12(日) 14:00 Log4Shell CloudOne Workload Security IPS signature 配布開始 17:00 に初の検知 2021-12-13(月) 難読化が施された攻撃が着弾し始める JAR/WAR fileをloadし回って、Log4jがloadされないことを確認

Slide 22

Slide 22 text

22 Log4Shell 攻撃のピークは最初の1週間複雑なものは Workload Security IPS ${${env:NaN:-j}ndi:ldap:// 単純なものは WAF jndi:ldap://…

Slide 23

Slide 23 text

23 とりあえず、動いたでも、kubernetes cluster に最適化されていない動作はしていた Anti-Malware、IPS に問題はない k8s の Security? k8s を secure にしたいのではなく Cloud 全体をsecureにしたい k8s の Overhead 同じ instance type で単純に動作させると、 concurrency は減ってしまう

Slide 24

Slide 24 text

　 04 Cloud One with AWS

Slide 25

Slide 25 text

25 Cloud One Workload Security with Amazon EKS Worker Node + Agent AWS WAF EKS cluster VPC flow log resolver log ALB GuardDuty CloudTrail Workload Security Agent access log application log Anti-Malware Intrusion Prevention Integrity Monitoring Log Inspection

Slide 26

Slide 26 text

26 IPS → Cloud One Network Security Worker Node + Agent EKS cluster VPC flow log resolver log GuardDuty CloudTrail Workload Security Agent access log application log Anti-Malware Intrusion Prevention Integrity Monitoring Log Inspection AWS WAF ALB Network Security IPS

Slide 27

Slide 27 text

27 Anti-Malware → File Storage Security Worker Node + Agent EKS cluster VPC flow log resolver log GuardDuty CloudTrail Workload Security Agent Anti-Malware Intrusion Prevention Integrity Monitoring Log Inspection AWS WAF ALB Network Security IPS access log application log receipt File Storage Security Malware Scan

Slide 28

Slide 28 text

28 Cloud One with AWS + Container Security AWS WAF EKS cluster VPC flow log resolver log ALB GuardDuty CloudTrail access log application log Network Security receipt File Storage Security Amazon ECR Container Security Malware Scan Image Scan IPS

Slide 29

Slide 29 text

29 Workload Security → Cloud One Worker Node だけではなく Cloud 全体の Security を向上したい IPS → Network Security AWS Network Firewall suricata互換rule と比較して、運用が容易 Container Security deploy前にsecurity scan trivyも選択肢の一つ Anti-Malware → 　　　File Storage Security ReadOnly mount構成への移行により file scanを外出し

Slide 30

Slide 30 text

　 30 できたこと、できそうなこと Cloud One と AWS を適材適所で組み合わせる ALB + Network Security 1年前だと、不可能だった今だと、Transit gateway なしでも可能 File Storage Security S3 bucket上のMalware scanを実施 Amazon Macie の PII scan と併用 Container Runtime Security AWS の既存サービスではカバーできていない領域

Slide 31

Slide 31 text

　おわりに

Slide 32

Slide 32 text

　 32 まとめ Securityとは？銀の弾丸は存在しないこれだけ入れておけば secureになる！なんてものは、存在しない運用するのは人構築だけでは、secureにならない securityの維持には、運用する人が必要 Cloud One with AWS より良い組み合わせを求めて日々改善

Slide 33

Slide 33 text

33 freee PSIRT 多層防御、OODA で日々の運用 Cloud One with Amazon EC2 DeepSecurity の世界 Cloud One with Amazon EKS Workload Security への移行、ほぼそのまま動作する Cloud One with AWS instance、container、k8s を守るだけでなく、Cloud 全体を守る Summary

Slide 34

Slide 34 text

No content