Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ 2021/06/24 ⾅⽥佳祐 1
Slide 2
Slide 2 text
2 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス: Amazon Detective みんなのAWS (技術評論社)
Slide 3
Slide 3 text
3 アジェンダ 1. AWSのセキュリティとは 2. AWSレイヤーのセキュリティ 3. OS/アプリレイヤーのセキュリティ 4. まとめ
Slide 4
Slide 4 text
4 1. AWSのセキュリティとは
Slide 5
Slide 5 text
5 セキュリティの要素 • 守るべきものはなにか • 個⼈情報︖顧客情報︖社外秘︖信⽤︖ • 資産の洗い出しが必要 • リスクベースで検討 • どのような使い⽅をすべきか • IT/クラウドは道具 • セキュアな正しい使い⽅が必要
Slide 6
Slide 6 text
6 AWSセキュリティの基本 • 責任共有モデル • Well-Architectedフレームワーク
Slide 7
Slide 7 text
7 AWSセキュリティの考え⽅ ⼤きく2つの分類 • AWSレイヤーのセキュリティ • IAM • S3 • 各種リソース • OS/アプリレイヤーのセキュリティ • アプリの脆弱性 • ユーザー • 情報
Slide 8
Slide 8 text
8 セキュリティ対策の進め⽅ • 守るものから優先順位を決める • すべてのレイヤーでセキュリティを考える 必要がある • 1⼈では守れない • セキュリティは総⼒戦 • 周りの⼈を巻き込んで
Slide 9
Slide 9 text
9 2. AWSレイヤーのセキュリティ
Slide 10
Slide 10 text
10 AWSレイヤーのセキュリティ • AWSレイヤーで守るもの • IAM: これで何でもできる • S3: データの搾取・不正なファイルから派⽣ • ダウンロードさせて実⾏ • 不正なJavaScript設置 • 各種リソース • EC2 / DB
Slide 11
Slide 11 text
11 AWSレイヤーを守るサービス • Amazon GuardDuty • AWSレイヤー・アプリレイヤー含めた脅威検知 • EC2が乗っ取られてコインマイニング • IAMが乗っ取られて不正操作 • Security Hub • セキュアでないAWS設定を検知 • 誤って公開されたS3 • セキュリティグループのゆるいEC2
Slide 12
Slide 12 text
12 CSPMとトレンドマイクロ • CSPM(Cloud Security Posture Management) • クラウドはその設定⾃体を管理する必要がある • Trend Micro Cloud One Conformity • トレンドマイクロのCSPM
Slide 13
Slide 13 text
13 セキュリティチェックの段階 • Security Hubはまず有効化しよう • AWS基礎セキュリティのベストプラクティスがおすすめ • ⽤意されているチェックしか出来ない • AWS Configで頑張ることも • ⾃由に⾃分たちのポリシーに合わせて作成 • 楽にいろいろしたいならConformity • 管理・運⽤が簡単 • 多数のポリシー
Slide 14
Slide 14 text
14 3. OS/アプリレイヤーのセキュリティ
Slide 15
Slide 15 text
15 OS/アプリレイヤーのセキュリティ • アプリレイヤーで守るもの • コンピューティングリソース • 不正プログラム • マイニング • データ • DB • 個⼈情報 • コンテンツ • 改ざん
Slide 16
Slide 16 text
16 OS/アプリレイヤーのサービス • VPC周り • OS/ミドル • AWS WAF • コンテナ • サーバレス • コンテンツ
Slide 17
Slide 17 text
17 ネットワークのセキュリティ • セキュリティグループ絞る • 極⼒プライベートサブネット • SSHやRDPなどの管理系はポートを開けない(もう 古い) • Session Managerを利⽤する
Slide 18
Slide 18 text
18 OS/ミドルの防御 • OS/ミドルの脆弱性管理 • アンチマルウェア • IDS/IPS • 変更監視 • セキュリティ監視 • Cloud One Workload SecurityはAWS環境で有 ⼒な選択肢
Slide 19
Slide 19 text
19 合わせて読みたい • AWS Marketplaceで Workload Security を従量 課⾦で利⽤する 仕組み https://dev.classmethod.jp/articles/trend-micro-cloud-one-sppo/
Slide 20
Slide 20 text
20 ⾼レイヤーの防御 • セキュアな実装 • プログラム • アーキテクチャ • AWS WAF • 多層防御でよりセキュアに • 最近はBotコントロールにも対応
Slide 21
Slide 21 text
21 合わせて読みたい Botのリクエストや 許可拒否をグラフ化 Botの種類ごとにコ ントロール可能 導⼊前にどれくらい Botが来ているか確 認する機能もあり https://dev.classmethod.jp/articles/aws-bot-control/
Slide 22
Slide 22 text
22 コンテナ • コンテナ環境はEC2と同じ︖ • コンテナ管理レイヤーが⽣まれる • ECSはマネージド • Fargateならホストはない • コンテナセキュリティはNIST SP800-190を読む • まずECRリポジトリスキャン • Cloud One Container Securityもある • EKSのみなので注意
Slide 23
Slide 23 text
23 サーバレス • サーバレスならIPSはいらない︖ • 守るものは変わらない • OS/ミドルに対する攻撃などは⼤丈夫 • WAFで防げばいい︖ • よりデータに近いところで守る • Cloud One Application Security • アプリケーションコードに埋め込まれたセキュリティ • Lambdaで動かせます
Slide 24
Slide 24 text
24 コンテンツ • S3にユーザーがアップロードしたファイルは安全︖ • アンチマルウェアはどう適⽤する︖ • Cloud One File Storage Security • S3のファイルをスキャンできる • サーバーレス︕
Slide 25
Slide 25 text
25 4. まとめ
Slide 26
Slide 26 text
26 まとめ • 守るべきものを明確に • AWSとアプリのレイヤー、全て対策する • 総⼒戦 • 守るものを意識して各対策を
Slide 27
Slide 27 text
27