[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]

Slide 1

Slide 1 text

[2021年版] AWSセキュリティ対策全部盛り [初級から上級まで] 2021/10/6 AWS事業本部コンサルティング部⾅⽥佳祐ハッシュタグ #devio2021

Slide 2

Slide 2 text

⾃⼰紹介⾅⽥佳祐・クラスメソッド株式会社 AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダー AWS公認インストラクター・Security-JAWS運営・好きなサービス: Amazon Detective 2 みんなのAWS (技術評論社)

Slide 3

Slide 3 text

3 セッションテーマすべての⼈にセキュリティを

Slide 4

Slide 4 text

4 注意スライドが多いから細かいことは後で⾒てにゃ

Slide 5

Slide 5 text

5 アジェンダ 1. ⻑い前説 2. [初級]AWSを始める、セキュアに 3. [初級]システム作る、セキュアに 4. [中級]AWSのセキュリティを維持する 5. [中級]インシデントに対応する 6. [上級]組織全体でガバナンスを効かせる

Slide 6

Slide 6 text

6 1. ⻑い前説

Slide 7

Slide 7 text

7 ⻑い前説なんで前説が必要なんだにゃ︖

Slide 8

Slide 8 text

8 なんで前説が必要なの︖ AWSのセキュリティのまえに情報セキュリティ

Slide 9

Slide 9 text

9 なんで前説が必要なの︖ ⼩⼿先の技術より根本的なセキュリティの考え⽅

Slide 10

Slide 10 text

10 なんで前説が必要なの︖ なんのためかわからないセキュリティではなく正しく意味のあるセキュリティ

Slide 11

Slide 11 text

11 なんで前説が必要なの︖ 後付けのセキュリティではなく設計から組み込まれたセキュリティ

Slide 12

Slide 12 text

12 なんで前説が必要なの︖ ひとりで頑張るではなく全員で取り組む

Slide 13

Slide 13 text

13 なんで前説が必要なの︖ ⼈⼒で頑張るではなく精度の⾼い機械に任せる

Slide 14

Slide 14 text

14 なんで前説が必要なの︖ オンプレミスの代わりではなくクラウドの恩恵を受ける

Slide 15

Slide 15 text

15 ⻑い前説の意味⼩⼿先じゃない原則を押さえよう

Slide 16

Slide 16 text

16 セキュリティで守るもの守りたいものはなんですか︖

Slide 17

Slide 17 text

17 守りたいもの(⼀部のざっくりした視点) • データ • 機密情報 • 顧客データ • 個⼈情報 • クレジットカード • コンテンツ • 利⽤者 • 個⼈情報 • アップしたコンテンツ • 会社 • 業務システム • 会社⾃体 • 企業イメージ • 従業員 • お⾦

Slide 18

Slide 18 text

18 守りたいものはどこにあるか︖(例えば) • サーバー • データベース • ストレージ • PC • 物理的な紙

Slide 19

Slide 19 text

19 守るものを把握する • どこにあるのか • 誰が責任者か • 誰が管理しているのか • 誰がアクセスできるのか • 今すぐに状態がわかるかすべて把握できていないと守れない資産の洗い出し・特定して管理するまず洗い出し

Slide 20

Slide 20 text

20 脅威とリスクを理解するどんな脅威がありますか︖

Slide 21

Slide 21 text

21 情報セキュリティで扱う脅威(⼀例) • 情報漏えい • ⾦銭の搾取 • サービス停⽌ • 改ざん • なりすまし

Slide 22

Slide 22 text

22 脅威を理解しリスクを理解する • 脅威と脆弱性がかけ合わさりリスクが顕在化する • 資産の価値でリスクの⼤きさが変わる • 脆弱性を減らすことでリスクを⼩さくできる • リスクに応じてどのように対策するか検討する資産脆弱性脅威リスク

Slide 23

Slide 23 text

23 リスクを知り対策を知る(⼀例) • リスク: サーバーのデータが漏洩する • 根本対策: アクセス制御を徹底する • 補助対策: DLPを導⼊する根本対策が先だぞ

Slide 24

Slide 24 text

24 設計にセキュリティをリスクがわかれば設計に反映できる • アクセス権限の洗い出し • 許可払い出しフローの管理 • 不要なサーバーポートの確認 • ソフトウェアの脆弱性管理 • ログの収集 • 送信元IPの集計 • 不審なIPのアラートやることと優先順位が⾒えてくるぞ

Slide 25

Slide 25 text

25 セキュリティの責任は誰にありますか︖

Slide 26

Slide 26 text

26 セキュリティは誰の責任︖ • セキュリティ担当者だけではない • 開発者 • 運⽤者 • 監査⼈ • 経営者 • などなど • つまり全員セキュリティ担当 • 必要な⼈が必要な範囲⾏う(責任範囲) 関係ない⼈はいないぞ

Slide 27

Slide 27 text

27 必要なもの基本の知識 + 最新の情報

Slide 28

Slide 28 text

28 セキュリティの原則 • 最⼩権限 • 多層防御 • 識別・認証・認可 • システムの堅牢化 • フェールセーフ • シンプルにする • 職務の分離 • Design for Failure • ⼈は間違える • などなど

Slide 29

Slide 29 text

29 知らないと守れない • セキュリティの原理原則 • NIST CSF • 攻撃者の気持ち • AWSの特徴 • 便利なセキュリティ機能 • AWSの情報源 • 各AWSサービスUser Guideの「セキュリティ」ページ • JAWS-UG • ググる常にキャッチアップだ

Slide 30

Slide 30 text

30 セキュリティ対策の進め⽅敵を知り⼰を知り適切な対応を

Slide 31

Slide 31 text

31 合わせて読みたい情報セキュリティについて深く知りたいなら情報処理安全確保⽀援⼠の試験は丁度いいかも網羅的で原理原則と技術のバランスがいい最新の技術もある個⼈的にはこの教科書が好き試験受かってからも何度も読んでる https://www.amazon.co.jp/dp/479816867X/

Slide 32

Slide 32 text

32 なぜAWSを利⽤するのか AWSのメリットはなんですか︖

Slide 33

Slide 33 text

33 AWSが選ばれる10の理由メリットを理解して有効に活⽤する https://aws.amazon.com/jp/aws-ten-reasons/

Slide 34

Slide 34 text

34 2. [初級]AWSを始める、セキュアに

Slide 35

Slide 35 text

35 課題 AWSなんもわからんけどテキトーに始めるか

Slide 36

Slide 36 text

36 AWSの始め⽅テキトーは絶対にダメにゃ︕

Slide 37

Slide 37 text

37 AWSの脅威 • 誤った情報の公開・アクセス許可 • AWSはローカルPCの環境や社内の検証環境ではない • 簡単に外部に公開して迅速に展開できる基盤 • 権限不備で情報漏えいが起きたり • 不正な攻撃者がアカウントを乗っ取ることも • 資⾦の浪費 • 従量課⾦で安く使い始められるけど、適切に管理しないと請求がすごいことに

Slide 38

Slide 38 text

38 AWSを知る AWSを使い始める時にやることを押さえようきちんと知れば安全に使えるぞ

Slide 39

Slide 39 text

39 合わせて読みたい「AWS利⽤開始時に最低限おさえておきたい10のこと」最初に知るべきことがまとまっている公式の資料 https://pages.awscloud.com/eve nt_JAPAN_at-least-10- ondemand.html?trk=aws_event_ page

Slide 40

Slide 40 text

40 合わせて⾒たい DevelopersIO 2021 Decadeで動画セッションあります︕ https://classmethod.jp/m/ devio-2021-decade/

Slide 41

Slide 41 text

41 最初にやること抜粋 • IAMユーザーを作ってルートユーザーをMFAで封印 • 必要なサービス有効化 • CloudTrail • Config • GuardDuty • Security Hub • IAM Access Analyzer • Detective • Well-Architectedフレームワーク読む

Slide 42

Slide 42 text

42 IAM • Identity and Access Management • AWSにおけるアクセス制御の基本であり極意 • セキュリティの原則に従い利⽤ • 個別のIDを発⾏する • 最⼩権限 • MFA設定 • アクセスキーの利⽤は注意 • すべてのAWS利⽤者が理解する必要がある

Slide 43

Slide 43 text

43 合わせて読みたい IAM再⼊⾨やや古いがよくまとまっている https://dev.classmethod.jp/ar ticles/cm-advent-calendar- 2015-getting-started-again- aws-iam/

Slide 44

Slide 44 text

44 合わせて読みたいすべての開発者はgit- secretsを導⼊する意図せずアクセスキーをGitにコミットすることを防⽌できる https://dev.classmethod.jp/artic les/startup-git-secrets/

Slide 45

Slide 45 text

45 CloudTrail • CloudTrailはAWS上の操作であるAPIを記録する • 誰がいつ何をどうしたか、全て記録される • いつログインしたか • 誰がサーバーを作成したか • いつ削除したか • ログはS3に保存しておく

Slide 46

Slide 46 text

46 合わせて読みたい最初にCloudTrailを有効化する全リージョンで⼀括の設定が可能で必須 https://dev.classmethod.jp /articles/aws-cloudtrail- all-regions-on/

Slide 47

Slide 47 text

47 Config • 各種AWSリソースの変更を記録・管理する • 時系列に変更を辿れる • セキュリティグループがいつ作られたか • いつどのように変更されたか • 関連性を辿れる • どのEC2と紐付いているか • どのVPCと紐付いているか • 問題ある設定を是正する

Slide 48

Slide 48 text

48 合わせて読みたい AWS Configも最初に有効化するリージョン毎の設定なので全リージョン回すグローバルリソース記録は１つでいい https://dev.classmethod. jp/articles/aws-config- start/

Slide 49

Slide 49 text

49 Well-Architectedフレームワーク 5つの柱に基づいたベストプラクティスを理解できる

Slide 50

Slide 50 text

50 合わせて読みたい初めて読む⼈はこのブログから読むとよく理解できる熟練者もこのブログで早引きできるつまり全員使うと良いブログ https://dev.classmetho d.jp/articles/aws-well- architected-guide/

Slide 51

Slide 51 text

51 2. [初級]AWSを始める、セキュアにまとめ最初にやるべき・理解するべきことの情報はいっぱいあるしっかりキャッチアップしながら始める

Slide 52

Slide 52 text

52 3. [初級]システム作る、セキュアに

Slide 53

Slide 53 text

53 課題 AWSよくわからんけどオンプレとおんなじセキュリティ対策でええやろ

Slide 54

Slide 54 text

54 システムセキュリティ原則はいっしょでも AWSで便利になるにゃ︕

Slide 55

Slide 55 text

55 AWSでのシステム構築メリット • すぐに調達可能なリソース(スケーラビリティ) • マネージドサービスによる責任領域の低減 • リソース単位の詳細なアクセス制御(AWSレベル・ネットワークレベル) • 簡単に利⽤可能なセキュリティ機能 • AWS WAF • Cognito • CloudFront

Slide 56

Slide 56 text

56 AWSのメリットを活⽤する AWSで便利にできることは便利にやろう様々なサービスを知って活⽤しよう

Slide 57

Slide 57 text

57 責任共有モデル明確な責任範囲がある

Slide 58

Slide 58 text

58 責任共有モデルの詳細サービスによって責任分界点が違うマネージドサービスは AWS管理部分が多くやりたいことに集中できる顧客責任部分も丸投げではなく便利な仕組みが提供されている

Slide 59

Slide 59 text

59 ⼀般的なセキュアWeb環境 • 3層アーキテクチャ • EC2はプライベート • SSM Session Managerでアクセス(SSHしない、これ最強。) • CloudFront + S3 + WAF • マルチAZ • Auto Scaling

Slide 60

Slide 60 text

60 合わせて読みたいセキュアな環境の設計から話した資料初めてでも使える情報満載 https://dev.classmethod.jp/artic les/jaws-days-2019-a-security/

Slide 61

Slide 61 text

61 コンポーネント毎の話 • 次の順で説明 • コンピューティング • ネットワーク • データベース • ストレージ • OS/ミドル • アプリ • モニタリング/ログ

Slide 62

Slide 62 text

62 コンピューティング(EC2) • EC2は直接パブリックに置かない(攻撃経路を無くす) • OS/ミドルのパッチは常に最新に(脆弱性管理) • SSHも可能な限りSession Managerを使う • 最低限のポートだけ開ける • ログを外部出⼒する(CloudWatchやS3) • マルウェア対策する • IAM Roleは最⼩権限に(SSRF対策) • 可能ならIMDSv2を利⽤する

Slide 63

Slide 63 text

63 合わせて読みたい IMDSv2によりSSRF対策が可能万能ではないこと、OS/ ミドル/アプリ側でのサポートが必要な点は注意 https://dev.classmethod.jp/arti cles/ec2-imdsv2-release/

Slide 64

Slide 64 text

64 コンピューティング(コンテナ) • ⾃前でDockerなどを動かさずにECS/EKSを利⽤する(管理部分の委任) • AWSが管理している基盤のほうがセキュア • Fargateを利⽤する(管理部分の委任) • 信頼できるリポジトリを利⽤ • イメージをスキャンする(脆弱性管理) • ログを外部出⼒する(awslogs/FireLens) • NIST SP800-190もチェック

Slide 65

Slide 65 text

65 合わせて読みたいコンテナセキュリティの始め⽅や考え⽅がよく分かるブログ https://dev.classmethod.jp/ articles/container-security- tools-and-docs/

Slide 66

Slide 66 text

66 コンピューティング(Lambda) • 認証・認可されていないリクエストを受け付けない (アクセス制御) • 外部からのリクエストを処理する場合はAPI Gatewayをフロントに⼊れる • 強い権限のIAM Roleをアタッチしない(最⼩権限) • 脆弱性のあるパッケージを利⽤しない(脆弱性管理) • 実⾏数のクォータをモニタリングする(可⽤性)

Slide 67

Slide 67 text

67 ネットワーク • 必要な単位でVPCを分割する(相乗りしない) • Security Groupで詳細なアクセス制御する • 最低限のポート • 最低限の送信元 • Security Group ID指定での制御(無駄にIP指定しない) • NACLでポリシー的なアクセス制御する • VPC EndpointによるセキュアなAWSアクセス

Slide 68

Slide 68 text

68 データベース • RDS / DynamoDBなどマネージドなサービスを利⽤する(責任範囲) • マルチAZ / リードレプリカによる冗⻑化 • バックアップによる復旧可能性 • TLSによる通信経路の暗号化 • IAMによる管理アクセスの制御 • ユーザー毎データアクセス権限の最⼩化

Slide 69

Slide 69 text

69 ストレージ(S3) • S3のアクセス制御機能の理解 • まずはパブリックアクセスブロック • バケットポリシー / ACL • バージョニング • オブジェクトロック(WORM) • クロスリージョンレプリケーション • アクセスポイント(アクセス制御の分割) • セキュリティベストプラクティス読む • https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/security-best-practices.html • ユーザーアップロードがあるならスキャン

Slide 70

Slide 70 text

70 合わせて読みたい Cloud One File Storage SecurityはサーバレスにS3をマルウェアスキャンできる素晴らしい仕組み https://dev.classmethod.jp/a rticles/trendmicro- introducing-security-for- cloud-object-storage/

Slide 71

Slide 71 text

71 OS/ミドル • とにかく脆弱性管理 • 脆弱性診断だけではない • AWSならSSMインベントリ + Inspector + SSM パッチマネージャから始める • より快適なのはFutureVulsなど1つの基盤で⼀連の脆弱性管理ができる仕組み

Slide 72

Slide 72 text

72 合わせて読みたい SSM パッチマネージャを使いながら⾃動的にパッチを当てていくアプローチの 1つ https://dev.classmethod.jp/arti cles/ssm-automation-patch- asg-instance/

Slide 73

Slide 73 text

73 合わせて読みたい AWS側にログインしなくてもSSMと連携して⾃動的にパッチ適⽤が出来る発⾒した脆弱性をチケット管理できて、発⾒から修正まで⼀気通貫で出来るネ申サービス https://dev.classmethod.jp/arti cles/ssm_integrate_and_patch _application_with_futurevuls/

Slide 74

Slide 74 text

74 アプリ • アプリケーションセキュリティの責任はユーザー • セキュアに実装してください

Slide 75

Slide 75 text

75 合わせて読みたいとりあえず徳丸本置いておきますね https://www.amazon .co.jp/dp/479739316 5/

Slide 76

Slide 76 text

76 アプリ(続き) • といっても⼤変なのでAWSの便利な機能を利⽤する • 認証基盤としてCognitoが利⽤できると⾃前で実装しなくて済む • Advanced Securityで認証強化 • アダプティブ認証(通常と違うログイン対策) • 侵害された認証情報(漏洩したパスワード対策) • AWS WAFを利⽤してフロントで攻撃を⽌められる • 認証情報は埋め込まないでSSMパラメータストアや Secrets Managerに保管する • ⾃動化された安全な仕組みでリリースする

Slide 77

Slide 77 text

77 合わせて読みたい Cognito使うなら絶対使おう https://dev.classmethod.jp/a rticles/aws-reinvent-cognit- asf-settings/

Slide 78

Slide 78 text

78 合わせて読みたい AWS WAFの解説マネージドルールを活⽤して楽に⾼度な機能を利⽤しよう https://dev.classmethod.jp/ articles/fully-understood- aws-waf-v2/

Slide 79

Slide 79 text

79 モニタリング/ログ • 現在の状態・過去の状態を確認することは必須 • 未来の状態も予測できる • CloudWatchメトリクスから必要な情報を得る • コンピューティングリソースの状態 • サービス・ビジネスメトリクス • ログから詳細なインサイトを得る • エラーなどを検知する • 最新のCloudWatch機能を活⽤する • 合成監視とか

Slide 80

Slide 80 text

80 合わせて読みたいダッシュボード参考例 https://dev.classmethod.jp/ar ticles/autoscalling-with- cloudwatch-dashboard/

Slide 81

Slide 81 text

81 合わせて読みたい合成監視(ユーザー視点のシナリオベース監視)で画⾯の差分を検知したりできる https://dev.classmethod.j p/articles/cloudwatch- synthetics-visual- monitoring/

Slide 82

Slide 82 text

82 合わせて読みたい Syntheticsなどの最新機能も含めた様々な監視機能を学べる https://dev.classmethod.jp/articles/ introduction-of-one-observability- demo-workshop/

Slide 83

Slide 83 text

83 合わせて読みたい S3に保存したログは Athenaで⾒る https://dev.classmethod.jp/a rticles/cloudtrail-athena- partition-projection-table/

Slide 84

Slide 84 text

84 あとは⾃動化しよう CloudFormationなどで作業を⾃動化しよう繰り返し作業が安定する作業ミスが発⽣しない(⼈はミスする)

Slide 85

Slide 85 text

85 ここまで初級です初級ちゃんとできてましたか︖

Slide 86

Slide 86 text

86 3. [初級]システム作る、セキュアにまとめそれぞれのレイヤーで原理原則を守って便利なAWSサービスを駆使して快適なセキュリティ設計・実装・運⽤

Slide 87

Slide 87 text

87 システムのセキュリティ取り組み⽅ AWSのサービスはどんどんよくなります AWSをよく知り継続的に改善しよう

Slide 88

Slide 88 text

88 4. [中級]AWSのセキュリティを維持する

Slide 89

Slide 89 text

89 課題いまちゃんとAWS全体がセキュアな状態かわからん

Slide 90

Slide 90 text

90 AWSのセキュリティ維持⾃動でAWS環境をチェックするにゃ︕

Slide 91

Slide 91 text

91 AWSのセキュリティ維持 • AWS Config RulesによりAWSの状態を確認し、定義した状態から違反したらアラートを出せる • アラートから⾃動修復も可能 • Security HubはConfig Rulesを利⽤したセキュリティチェックが可能 • 詳細なアクセス制御の維持にはIAM Access AnalyzerやPermissions Boundaryを利⽤する

Slide 92

Slide 92 text

92 AWSのメリットを活⽤する AWSで便利にできることは便利にやろう⼈⼿で頑張るのは愚策だぞ

Slide 93

Slide 93 text

93 合わせて読みたいセキュリティチェックの概念から様々な⼿法のメリットデメリットなどまとまっています https://dev.classmethod.jp/art icles/2020-strongest-aws- securitycheck-practice/

Slide 94

Slide 94 text

94 最強のセキュリティチェック⽅法をしっかり解説

Slide 95

Slide 95 text

95 Configによる設定管理 Configでは現在の設定と、過去の変更の差分を時系列に管理している

Slide 96

Slide 96 text

96 Config Rulesのチェック項⽬ • ルールは2種類ある • AWSマネージドルール: ⽤意されている • カスタムルール: ⾃前のLambdaでチェックできる • マネージドルールの例 • SecurityGroupでSSHが0.0.0.0/0で許可されていないか • CloudTrailが有効か • S3バケットが暗号化されているか • RDSのバックアップが有効か • などなど100種類以上 • https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/managed-rules-by-aws-config.html

Slide 97

Slide 97 text

97 Config Rulesから⾃動修復 • 検知だけではなく⾃動修復も可能 • ⼿動で開始する半⾃動修復と、検知次第完全⾃動で修復も可能 • 実態としてSSM Automationと連携する

Slide 98

Slide 98 text

98 合わせて読みたい簡単にSSHの全開放を⾃動修復する設定まずは検知からだけでもやってみよう https://dev.classmethod.jp/articles/au to-recovery-restricted-ssh-without- lambda/

Slide 99

Slide 99 text

99 Config Rulesを活⽤した仕組み • Config Rulesは様々なチェックが可能 • これを応⽤するAWSサービスがある • Conformance Packs • CloudFormationのようにRulesをYAML/JSONで定義してデプロイできる • サンプルテンプレートが50個以上ある • Security Hub • 3種類のルールセットがある • ⾃動展開できる • 個別の検知抑制が可能

Slide 100

Slide 100 text

100 セキュリティチェック⽅法⾊々あって迷うにゃどれがいいにゃ︖

Slide 101

Slide 101 text

101 セキュリティチェック⽅法運⽤性と⼿厚さから Security Hubがオススメ

Slide 102

Slide 102 text

102 セキュリティチェック⽅法 • Security Hubはセキュリティチェック運⽤の理想形 • 直感的なスコア表⽰ • 無効化・例外の設定管理 • AWSが最新のベストプラクティスを適⽤ • 「AWS の基本的なセキュリティのベストプラクティスコントロール(AWS Foundational Security Best Practices)」のルールが優秀 • 現状30リソースタイプ・121種類のチェック • 更新頻度が⾼い(リリースから約1年半で13回更新) • ⾃動修復ソリューション • マルチアカウントの集約

Slide 103

Slide 103 text

103 直感的なスコア表⽰達成度がわかりやすい

Slide 104

Slide 104 text

104 無効化・例外の設定管理ルール・リソース単位のステータス管理

Slide 105

Slide 105 text

105 対応リソースタイプ • ACM • Apigateway • AutoScaling • CloudFront • CloudTrail • CodeBuild • Config • DMS • DynamoDB • EC2 • ECS • EFS • ElasticBeanstalk • ELB • ELBv2 • EMR • ES • GuardDuty • IAM • KMS • Lambda • RDS • Redshift • S3 • SageMaker • SecretsManager • SNS • SQS • SSM • WAF

Slide 106

Slide 106 text

106 ⾃動修復ソリューションマルチアカウント連携した修復の仕組みを展開できる

Slide 107

Slide 107 text

107 合わせて読みたい AWS基礎セキュリティのベストプラクティスに対応した⾃動修復ソリューションの解説 https://dev.classmethod.jp/a rticles/aws-security-hub- auto-remediation-asfbp/

Slide 108

Slide 108 text

108 合わせて読みたい Security Hubの解説とどんな⾵に運⽤したらいいかをまとめています https://dev.classmethod. jp/articles/aws-security- operation-with- securityhub-2021/

Slide 109

Slide 109 text

109 マルチアカウントの集約イベントの集約と管理者の委任ができる

Slide 110

Slide 110 text

110 合わせて読みたい AWS Organizations と連携することで快適に集約管理できます https://dev.classmethod.jp/a rticles/security-hub- integrates-organizations/

Slide 111

Slide 111 text

111 Security Hub以外を使う場合 • Security Hubも完璧ではない • Conformance Packsを利⽤する場合 • サンプルテンプレートを活⽤したい • ガリガリルールセットをカスタマイズしたい • ⾃動修復も独⾃で設定したい • カスタムルール(Lambda)を利⽤したい

Slide 112

Slide 112 text

112 IAMのチェック

Slide 113

Slide 113 text

113 IAMチェック⽅法開発者にIAM発⾏の権限を委任したいにゃでも不安だにゃ

Slide 114

Slide 114 text

114 IAMチェック⽅法特に危ない外部共有の設定はAccess Analyzerでチェック

Slide 115

Slide 115 text

115 IAM Access Analyzer • 別のAWSアカウントから利⽤できるIAM Roleや不特定多数からアクセスできるS3バケットなど、外部共有のリソースを収集しチェックできる • 対応リソース • S3バケット • IAM Role • KMSキー • Lambda関数 • SQSキュー • Secrets Managerシークレット

Slide 116

Slide 116 text

116 イメージはこんな感じ検知結果は EventBridg e経由で通知できる

Slide 117

Slide 117 text

117 合わせて読みたいわかりやすい図と画像でよく理解できるブログ https://dev.classmethod.jp/article s/iam-accessanalyzer-vs-iam- accessadvisor/

Slide 118

Slide 118 text

118 IAMの権限昇格対策

Slide 119

Slide 119 text

119 IAMの権限昇格対策開発者がIAMの権限から⾃⾝を昇格しそうにゃ

Slide 120

Slide 120 text

120 IAMの権限昇格対策 Permissions Boundary で昇格を防⽌しよう

Slide 121

Slide 121 text

121 Permissions Boundaryとは • IAMエンティティに追加で付与できる • 元々のポリシー(アイデンティティベースポリシー)に加えて Permissions Boundaryでも許可されている権限しか実⾏できない • 作成するIAMにBoundaryをつけることを強要できる

Slide 122

Slide 122 text

122 Permissions Boundaryのメリット開発者の作成するIAMにBoundaryを強制する BoundaryでIAM周りの権限を制限する権限昇格できなくなる

Slide 123

Slide 123 text

123 合わせて読みたい Permissions Boundaryの使⽤例 https://dev.classmethod.jp/articl es/iam-permissions-boundary/ 他にも「Permissions Boundary workshop」で検索すると参考になるものがあるよ

Slide 124

Slide 124 text

124 4. [中級]AWSのセキュリティを維持するまとめ⾃動で動くセキュリティチェックを駆使するアラートを受け取ったり⾃動で修復する⼈⼿ではなく⾃動の仕組みで対処する

Slide 125

Slide 125 text

125 5. [中級]インシデントに対応する

Slide 126

Slide 126 text

126 課題攻撃されているかわからん気づいても対処の仕⽅がわからん

Slide 127

Slide 127 text

127 AWSのインシデント対応 AWSの脅威検知は簡単にゃ恐れずチャレンジするにゃ︕

Slide 128

Slide 128 text

128 AWSのインシデント検知と対応 • Amazon GuardDuty(マネージドな脅威検知サービス)でいろんな脅威を検知 • EC2でコインマイニング • IAM不正利⽤ • S3への不審なアクセス • などなど • Amazon Detectiveで⾃動的にログを関連付けして簡単に調査 • ユーザーガイドに対処⽅法がある

Slide 129

Slide 129 text

129 AWSのインシデント対応優秀なセキュリティサービスで漏らさず対応しよう

Slide 130

Slide 130 text

130 インシデント対応の⼼構え

Slide 131

Slide 131 text

131 インシデント対応の⼼構え • Security Hubなどで予防を頑張っていてもインシデントが起きる時は起きる • 予防だけではなくなにか起きた後迅速に対応することも⾮常に⼤切 • NIST CSF的には検知・対応・復旧 • ⽇頃からこれらの準備をしておく

Slide 132

Slide 132 text

132 NIST CSFとは • NISTサイバーセキュリティフレームワーク • セキュリティ体制づくりに活⽤できる

Slide 133

Slide 133 text

133 NIST CSFのコア機能 • 5つのコア機能と各サブカテゴリに対応する対策ができているかを⾃⼰評価する

Slide 134

Slide 134 text

134 計画の作成

Slide 135

Slide 135 text

135 AWSのインシデント対応の計画ちゃんと計画できてるかにゃ︖

Slide 136

Slide 136 text

136 計画の第⼀歩まず、どんなインシデントが起きるか知ろうどんな対応が必要か検討できる

Slide 137

Slide 137 text

137 Amazon GuardDutyとは • 脅威検知サービス • CloudTrail / VPC Flow Logs / DNS Logsをバックグラウンドで⾃動収集(利⽤者の⼿間なし) • ポチッと有効化するだけ • IAM / EC2 / S3に関するインシデントを検知 • 脅威インテリジェンスと連携 • 機械学習による異常識別

Slide 138

Slide 138 text

138 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化 • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • バケット公開 • Torアクセス

Slide 139

Slide 139 text

139 対応⽅法 GuardDutyのユーザーガイドに検知結果毎の対応⽅法がわかりやすく記載されている https://docs.aws.amazon.co m/ja_jp/guardduty/latest/u g/guardduty_finding-types- active.html

Slide 140

Slide 140 text

140 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る

Slide 141

Slide 141 text

141 IAMタイプの初動対応例 • IAM Userならアクセスキーを無効化・削除 • IAM Roleならセッションの無効化をポチ • CloudTrailで何をされたか調査

Slide 142

Slide 142 text

142 EC2タイプの初動対応例 Security Groupを変更して隔離 (in/out無し) AMIバックアップ取得サーバーやストレージ調査(できれば、プロに任せたほうがいい)

Slide 143

Slide 143 text

143 合わせて読みたいセキュリティ会社の実際のEC2調査の例 https://ierae.co.jp/bl og/awsec2-hdd- analytics/

Slide 144

Slide 144 text

144 S3タイプの初動対応例パブリックアクセスブロックする

Slide 145

Slide 145 text

145 合わせて読みたい GuardDutyの解説とどんな⾵に運⽤したらいいかをまとめています https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

Slide 146

Slide 146 text

146 その他の計画 • エスカレーションフローなども決めておこう • 誰がいつまでにどこまで判断するか • 必要なログは収集しておこう • インシデント検知のアラートと⼀緒に⽬につくように対応することを出そう • いざという時は対応漏れが起きやすいのでチェックリストなどで簡単に実⾏できるようにしよう • 予⾏練習たくさんやろう

Slide 147

Slide 147 text

147 クラスメソッドの障害対応例 2020年10 ⽉22⽇に発⽣した AWS障害の対応例

Slide 148

Slide 148 text

148 合わせて読みたい具体的なランブックオートメーション(⾃動対応)の実装例 https://dev.classmethod.jp/artic les/google-apps-script-slack- api-launch-01/

Slide 149

Slide 149 text

149 合わせて読みたい AWS障害発⽣時のための準備と対応の具体例 https://dev.classmethod.jp/articles/ technical-support-aws-failure- launch01/

Slide 150

Slide 150 text

150 AWSのインシデント対応対応⽅針がわかれば怖くない対応計画を作ろう

Slide 151

Slide 151 text

151 詳細な調査が必要なケース

Slide 152

Slide 152 text

152 詳細な調査が必要なケース • すべてのインシデントがGuardDutyの内容だけでわかるとは限らない • 漏洩したIAMでどのようなことが実⾏されたか • EC2が何と通信したか • S3からダウンロードされたデータはなにか • IAM情報がどこから漏洩したか • などなど

Slide 153

Slide 153 text

153 調査に必要なものログ

Slide 154

Slide 154 text

154 何はともあれログ • GuardDutyは⾃動でログを収集して検知してくれるけど、ユーザー側にログを提供してくれない • 別途⾃分たちでも必要なものは保存しておく • 通常はS3に各種ログを出⼒する • 調査する時はAmazon Athenaを利⽤する • S3のオブジェクトレベルのログはCloudTrailにデータイベントログ保存の追加設定が必要

Slide 155

Slide 155 text

155 合わせて読みたい Athenaで CloudTrailのログを調査する時のいい設定(再掲) https://dev.classmethod.jp/ar ticles/cloudtrail-athena- partition-projection-table/

Slide 156

Slide 156 text

156 しかしログの調査は⼤変 • ノイズが多い • ちょうどいいログクエリを探すのに⼀苦労 • 関連性を⾒出しづらい • クエリではなく、あらかた絞った状態でエクセルで検索を駆使したり⽬grepしてがんばる • 動的な範囲の集計やりづらい • この時間範囲のこのユーザーの実⾏API数とか、ぐりぐり動かしながらやりたい • 異常値を⾒つけにくい • どの観点で分析したらいいかわからん

Slide 157

Slide 157 text

157 インシデントの調査もっと簡単に調査できないかにゃ︖

Slide 158

Slide 158 text

158 できるよ Amazon Detectiveならね

Slide 159

Slide 159 text

159 Amazon Detectiveとは • インシデント調査のサービス • VPC Flow Logs / CloudTrail / GuardDuty Findingsを⾃動で取り込む • わかりやすいグラフやマップで視覚化

Slide 160

Slide 160 text

160 つまりこれが…

Slide 161

Slide 161 text

161 こうじゃ︕

Slide 162

Slide 162 text

162 Detectiveのいいところ内部のグラフDBで関連付けしてくれる

Slide 163

Slide 163 text

163 リソースの関連情報リソースに関連する情報を収集してリンクしてくれる作成したユーザーや関連するイベントを辿れる

Slide 164

Slide 164 text

164 API実⾏履歴関連するAPIを集計してくれる絞り込みもできる API実⾏者単位やIP単位で確認できる

Slide 165

Slide 165 text

165 直感的なマッピングどこから操作されているか GeoIPでマッピングしてくれる

Slide 166

Slide 166 text

166 合わせて読みたい実際の画⾯とともにガッツリデモしているブログ動きを⾒ながらより対応イメージを⾼めよう https://dev.classmethod.jp/articles/a mazon-detective-investigation-demo/

Slide 167

Slide 167 text

167 インシデントの調査調査のツラミを Detectiveが吸収してくれる

Slide 168

Slide 168 text

168 調査の進め⽅ • Detectiveを使うことで調査が⼤幅に捗る • 何が起きているかの全体像把握 • 関連リソース把握 • 起因になっている事象を辿る • しかし最終的には⾃分でログを⾒る場合もある • ログを⾒る仕組みを⽤意するのも⽅法の1つ

Slide 169

Slide 169 text

169 合わせて読みたい Amazon OpenSearch Service(旧 Elasticsearch)を利⽤したAWSログの可視化ソリューション OSSだよいい感じだよ https://dev.classmethod.jp/articles /getting-started-siem-on-amazon- elasticsearch-service/

Slide 170

Slide 170 text

170 SIEM on Amazon OpenSearch Service CloudTrailの可視化こんな感じログイン失敗とかルートのログインとかチェックしたい項⽬が最初からダッシュボードに搭載されている

Slide 171

Slide 171 text

171 SIEM on Amazon OpenSearch Service S3にログを⼊れればいい感じに取り込んでくれる

Slide 172

Slide 172 text

172 合わせて読みたい freeeさんがSIEM on Amazon OpenSearch Serviceを1年運⽤した結果を紹介しています動画あり https://dev.classmetho d.jp/articles/security- jaws-22-report/

Slide 173

Slide 173 text

173 おまけの情報サードパーティのRadwareも調査が捗ります

Slide 174

Slide 174 text

174 Radwareによる原因調査⼀番左がインシデントの始まりです

Slide 175

Slide 175 text

175 合わせて読みたい AWS上のインシデントをわかりやすいフロー図にして可視化できる Radware Cloud Native Protectorを使って攻撃された痕跡を調査してみた https://dev.classmethod.jp/articles/getting- start-radware-cloud-native-protector/ AWSでコインマイニングされた原因をRadware CNPのフロー図でわかりやすく調査してみた https://dev.classmethod.jp/articles/investig ate-coin-mining-with-radware-cnp/

Slide 176

Slide 176 text

176 5. [中級]インシデントに対応するまとめどんなインシデントが起こるか知り準備・計画する⼈⼒・⽬grepは⾟いのでインテリジェントなサービスを活⽤しよう︕

Slide 177

Slide 177 text

177 6. [上級]組織全体でガバナンスを効かせる

Slide 178

Slide 178 text

178 課題 AWSアカウントや AWS利⽤者が増えて管理が⾏き届かない

Slide 179

Slide 179 text

179 AWSの全体管理これまでの取り組みの応⽤だにゃ︕

Slide 180

Slide 180 text

180 AWSの全体管理 • ⾃動化された仕組みで必要なレベルを維持する • セキュリティチェック • CloudFormationによる⾃動化 • 全体でレベルを統⼀する • セキュリティ基準 • 対応計画

Slide 181

Slide 181 text

181 AWSの全体管理さらに全体管理のサービスも活⽤する

Slide 182

Slide 182 text

182 AWSアカウントの集約管理

Slide 183

Slide 183 text

183 全体管理に利⽤できるサービス • AWS Organizations • CloudFormation StackSets • AWS SSO • AWS Control Tower

Slide 184

Slide 184 text

184 AWS Organizationsとは • 複数のAWSアカウントを束ねる仕組み • OUを定義して配下にアカウントをまとめられる • Service Control Policy(SCP)を利⽤して強制的なアクセス制御が可能

Slide 185

Slide 185 text

185 SCPの例 • SCPの例 • 特定リージョン使⽤禁⽌ • CloudTrail無効化禁⽌ • GuardDuty無効化禁⽌ • S3バケット公開禁⽌ • タグのないリソース作成禁⽌ • https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/ orgs_manage_policies_scps_examples.html • 開発環境 / 本番環境 / 共⽤環境などで使い分ける

Slide 186

Slide 186 text

186 合わせて読みたい Organizationsについて必要な知識や関連サービスについて⼀通り説明あり https://dev.classmethod.jp/articles/l ets-study-aws-organizations-basic/

Slide 187

Slide 187 text

187 合わせて読みたい OUの設計パターンを学ぶのにおすすめのブログ全部やらなくていいけど、⼀通り読んで何を採⽤するか検討するといい https://dev.classmethod.jp/articles/ aws-organizations-best-practice/

Slide 188

Slide 188 text

188 AWS Organizations連携 • 様々なAWSサービスと連携して簡単に全体管理できる • AWS SSO • CloudFormation StackSets • GuardDuty • Security Hub • Systems Manager • CloudTrail • Config • などなど

Slide 189

Slide 189 text

189 合わせて読みたい管理している全AWSアカウントのEC2を⼀元的に可視化できる https://dev.classmethod.jp/articles/ new-aws-systems-manager- explorer/

Slide 190

Slide 190 text

190 CloudFormation StackSets • OrganizationsがなくてもリージョンやアカウントをまたがるCloudFormation展開が可能

Slide 191

Slide 191 text

191 合わせて読みたい簡単に全体を⾃動化 https://dev.classmethod. jp/articles/cloudformati on-stacksets-sample- sns-topic/

Slide 192

Slide 192 text

192 合わせて読みたい AWS SummitでVisional 様が発表した内容 Terraformで全体へ展開 https://dev.classmethod.jp/articles/a ws-summit-online-2020-cus-06/

Slide 193

Slide 193 text

193 AWS SSO AWSアカウントの認証情報を集約できるシングルサインオンの仕組み

Slide 194

Slide 194 text

194 合わせて読みたいよく分かる(かもしれない)図解 https://dev.classmethod .jp/articles/aws-sso- wakewakame/

Slide 195

Slide 195 text

195 Jumpアカウント • AWS SSOを利⽤しなくてもSSOする⼿段はある • SAML連携 • JumpアカウントへのIAM User集約

Slide 196

Slide 196 text

196 AWS Control Tower AWSのベストプラクティスに従った構成でガードレールを効かせる仕組み AWS Organizationsと連携する

Slide 197

Slide 197 text

197 Control Towerの役割 • ID管理 • AWS SSOと連携した認証認可の集約 • ガードレール • SCPやConfig Rulesにより違反を防⽌・検知 • ベースライン展開 • CloudTrailやConfigなど⼀律で展開 • ログ管理・監視 • Log Archiveアカウントにログ集約 • Auditアカウントにアラート集約

Slide 198

Slide 198 text

198 合わせて読みたい Control Towerの必要性や背景、代替案などは全部ここで説明しています https://dev.classmethod.jp/ar ticles/jaws-days-2021- control-tower/

Slide 199

Slide 199 text

199 合わせて読みたい Control Towerシリーズ記事いろいろあります https://dev.classmetho d.jp/tags/aws-control- tower/

Slide 200

Slide 200 text

200 ガバナンスを効かせるのは機能だけではない

Slide 201

Slide 201 text

201 ガバナンスの意義組織の⼈みんなで協⼒にゃ︕

Slide 202

Slide 202 text

202 CCoEによるクラウド活⽤最適化 • CCoE: Cloud Center of Excellence • クラウド推進の組織 • クラウド利⽤のノウハウを持つ・蓄える・提供する • 企業により定義や構成はさまざま • バーチャル組織で部⾨横断 • 情シスから派⽣ • DX推進チーム • クラウドのスピードに合わせて変わっていく

Slide 203

Slide 203 text

203 CCoEの例

Slide 204

Slide 204 text

204 CCoEの役割(例) • ガイドライン整備 • トレーニング提供 • 勉強会主催 • 共通インフラ整備 • 全体管理 • セキュリティ運⽤ • などなど

Slide 205

Slide 205 text

205 合わせて読みたい CCoEの1つの実装例⽴ち上げ過程やどのような⽅針で推進したか解説されています https://dev.classmethod.j p/articles/shionogi- devshow/

Slide 206

Slide 206 text

206 AWSに関わる様々な部⾨ • セキュリティ部⾨ • 定義されたセキュリティ設定の⾃動展開 • 調達部⾨ • ⾃動化された迅速なAWS環境払い出し • 監査部⾨ • ⾃動的にチェックされる定量的な評価 • みんな等しく効率化できる

Slide 207

Slide 207 text

207 Cloud Audit Academy クラウドの監査について学ぶためのコンテンツ https://aws.amazon.com/jp/compliance/auditor-learning-path/

Slide 208

Slide 208 text

208 AWSの全体管理 AWSに関わる⼈みんなBuilderだ︕

Slide 209

Slide 209 text

209 6. [上級]組織全体でガバナンスを効かせるまとめ全体管理の仕組みとクラウドの恩恵を受ける組織の形で効率よく全体管理しよう

Slide 210

Slide 210 text

210 まとめ

Slide 211

Slide 211 text

211 まとめ • 変わらないセキュリティの考え⽅を⾝につける • AWSのメリットと基本を押さえる • 便利なサービスを活⽤する • とにかく⾃動化 • 組織で最適化する • 全員Builderで全員セキュリティ担当だ

Slide 212

Slide 212 text

No content