2019年07月30日(火) 株式会社リクルートテクノロジーズ 日比野 恒 Bostonのクラムチャウダーは美味しかった (AWS re:Inforce re:Cap LT)

2 自己紹介 名前: 日比野 恒 (ひびの ひさし) 所属: 株式会社リクルートテクノロジーズ サイバーセキュリティ部 セキュリティアーキテクト (CISSP、CISA、情報処理安全確保支援士) モチベ: クラウドセキュリティにおけるデザインパターンの設計 ほか活動: Japan Elastic User Group (JEUG) オーガナイザ クラウド環境のログをどう活かす？先駆者の知見から学ぶ https://ascii.jp/elem/000/001/697/1697672/

3 本日のテーマ そう、VPC Traffic Mirroring

4 Day1のKeynoteでリリース発表！！ AWS re:Inforce 2019 - Keynote with Steve Schmidt (動画の1:08:45～1:10:05) https://www.youtube.com/watch?v=FKphJNfpWk8&feature=youtu.be ✓ セキュリティ監視や解析の課題にVPCで対応 ✓ EC2へのAgent導入による負荷問題に対応 ✓ すでに19社のパートナー企業にて対応中

5 VPC Traffic Mirroringとは Source、①Filter、②Targetの組み合わせで ③Mirror Sessionを生成する EC2のENIに流れるパケットを別ENI/NLBにミラーさせるVPCサービス SourceはNitro系EC2インスタンスに アタッチされたENIのみ指定可能 Target側でVXLANのカプセル化 解除をサポートしている必要がある (TargetにはENI/NLBを指定)

6 フルパケットキャプチャによる脅威解析 数年前から待望し続けていたサービスが登場したことで... Internet NWF NWF NWF ・・・ Security Analyst フルパケットキャプチャデータの解析から 多くの情報を取得し、脅威解析に活用可能！ AWS Cloud Service1 Service2 ServiceN

7 活用する上で検討した方が良いポイント Case2 (Scale Out) Case1 (Single) VPC1 (Service VPC1) Region @Tokyo AWS Cloud Internet VPC2 (Service VPC2) VPC3 (Analyzer VPC) Peering EC2 Instance1 EC2 Instance2 EC2 Instance3 EC2 Instance4 ALB1 ALB2 Users ENI (target) NLB (target) Security Analyst Traffic Analyzer Traffic Mirroring (session1) Traffic Mirroring (session2) Traffic Analyzer1 Traffic Analyzer2 HTTP HTTPS HTTP HTTPS 【ポイント3(機能)】 マルチアカウント環境の複数VPCのPeering下での設定方法と挙動 【ポイント5(機能)】 NLB配下で各Traffic Analyzerがセッション単位で パケットをキャプチャ出来るか 【ポイント2(機能)】 Mirror Filterの設定方法と挙動 【ポイント6(性能)】 バースト時のパケットドロップの監視もしくは検知方法の調査 【ポイント4(機能)】 ENIをtargetとしたMirror Sessionの設定方法と挙動 【ポイント1(機能)】 Mirror対象のEC2を複数 VPC且つALB配下の複数 EC2で設定方法と挙動

8 他にも、NPB製品とのコラボな構成も考えられるよね！ Nitroインスタンスは VPC Traffic Mirroring 非Nitroインスタンスは GigamonのG-vTAP VXLANカプセル化解除に未対応な アプライアンスはGigamon V-Series (NPB)経由で受信させる

9 VPC Traffic Mirroring ベータテスター企業 ✓ Big Switch Networks – AWS Traffic Monitoring with Big Monitoring Fabric. ✓ Blue Hexagon – Unleashing Deep Learning-Powered Threat Protection for AWS. ✓ Cisco – Using Amazon Web Services? Cisco Stealthwatch Cloud has all your security needs covered. ✓ Corelight – Bring Network Security Monitoring to the Cloud with Corelight and Amazon VPC Traffic Mirroring. ✓ cPacket Networks – It’s Cloudy Today with a High Chance of Packets. ✓ ExtraHop – ExtraHop brings Network Detection & Response to the cloud-first enterprise with Amazon Web Services. ✓ Fidelis – Expanding Traffic Visibility Natively in AWS with Fidelis Network Sensors and Amazon VPC Traffic Mirroring. ✓ Flowmon – Flowmon Taking Advantage of Amazon VPC Traffic Mirroring. ✓ Gigamon – Gigamon GigaVUE Cloud Suite for Amazon Web Services and New Amazon VPC Traffic Mirroring. ✓ IronNet – IronDefense and IronDome Support for Amazon VPC Traffic Mirroring. ✓ JASK – Amazon VPC Traffic Mirroring. ✓ Netscout – AWS Traffic Mirroring Contributes to NETSCOUT’s Smart Data Intelligence. ✓ Nubeva – Decrypted Visibility With Amazon VPC Traffic Mirroring. ✓ Palo Alto Networks – See the Unseen in AWS Mirrored Traffic With the VM-Series. ✓ Riverbed – SteelCentral AppResponse Cloud to Support New Amazon VPC Traffic Mirroring. ✓ Vectra – Securing your AWS workloads with Vectra Cognito.

10 ところでExtraHopって、ご存知ですか？

11 SaaS型パケットキャプチャデータ解析基盤提供サービス すでにVPC Traffic Mirroring対応済みだってよ！

12 シャトルバスのスポンサーにもなってました！ Uberで10分の距離

13 海外カンファレンスに行く意義 ✓ まず、仕事で海外に行ける (脳みそに新たな刺激を与えるｗ) ✓ 最後に、本国のコアな開発者と技術ディスカッションが出来る (ビジネスに即した技術的な要望を直に伝え続ける) ✓ 次に、日本には上陸していないベンダーに出会える (Startupに触れることで数年先の技術トレンドを知るきっかけに！)

14 そう、知らないベンダーに出会えるよ！！ 国内であまりお見掛けしないロゴを抜粋

15 みんなで直接要望をあげると願いは叶う！！

ご清聴ありがとうございました！

17 【参考情報】 最新 – VPCトラフィックミラーリング – ネットワークトラフィックを捉えて検査する https://aws.amazon.com/jp/blogs/news/new-vpc-traffic-mirroring/ Amazon EC2 インスタンス用の Amazon VPC トラフィックミラーリングのご紹介 https://aws.amazon.com/jp/about-aws/whats-new/2019/06/announcing-amazon-vpc-traffic-mirroring-for-amazon-ec2-instances/ [新機能] EC2 インスタンス(Nitro)の通信内容をVPC側からミラーするVPC Traffic Mirroringが発表されました！ https://dev.classmethod.jp/cloud/aws/201906-release-vpc-traffic-mirroring/ What Is Traffic Mirroring? https://docs.aws.amazon.com/ja_jp/vpc/latest/mirroring/what-is-traffic-mirroring.html