Slide 1

Slide 1 text

コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ 2021/06/24 ⾅⽥佳祐 1

Slide 2

Slide 2 text

2 ⾃⼰紹介 ⾅⽥佳祐 クラスメソッド株式会社 ・AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター ・Security-JAWS運営 ・好きなサービス: Amazon Detective みんなのAWS (技術評論社)

Slide 3

Slide 3 text

3 アジェンダ 1. AWSのセキュリティとは 2. AWSレイヤーのセキュリティ 3. OS/アプリレイヤーのセキュリティ 4. まとめ

Slide 4

Slide 4 text

4 1. AWSのセキュリティとは

Slide 5

Slide 5 text

5 セキュリティの要素 • 守るべきものはなにか • 個⼈情報︖顧客情報︖社外秘︖信⽤︖ • 資産の洗い出しが必要 • リスクベースで検討 • どのような使い⽅をすべきか • IT/クラウドは道具 • セキュアな正しい使い⽅が必要

Slide 6

Slide 6 text

6 AWSセキュリティの基本 • 責任共有モデル • Well-Architectedフレームワーク

Slide 7

Slide 7 text

7 AWSセキュリティの考え⽅ ⼤きく2つの分類 • AWSレイヤーのセキュリティ • IAM • S3 • 各種リソース • OS/アプリレイヤーのセキュリティ • アプリの脆弱性 • ユーザー • 情報

Slide 8

Slide 8 text

8 セキュリティ対策の進め⽅ • 守るものから優先順位を決める • すべてのレイヤーでセキュリティを考える 必要がある • 1⼈では守れない • セキュリティは総⼒戦 • 周りの⼈を巻き込んで

Slide 9

Slide 9 text

9 2. AWSレイヤーのセキュリティ

Slide 10

Slide 10 text

10 AWSレイヤーのセキュリティ • AWSレイヤーで守るもの • IAM: これで何でもできる • S3: データの搾取・不正なファイルから派⽣ • ダウンロードさせて実⾏ • 不正なJavaScript設置 • 各種リソース • EC2 / DB

Slide 11

Slide 11 text

11 AWSレイヤーを守るサービス • Amazon GuardDuty • AWSレイヤー・アプリレイヤー含めた脅威検知 • EC2が乗っ取られてコインマイニング • IAMが乗っ取られて不正操作 • Security Hub • セキュアでないAWS設定を検知 • 誤って公開されたS3 • セキュリティグループのゆるいEC2

Slide 12

Slide 12 text

12 CSPMとトレンドマイクロ • CSPM(Cloud Security Posture Management) • クラウドはその設定⾃体を管理する必要がある • Trend Micro Cloud One Conformity • トレンドマイクロのCSPM

Slide 13

Slide 13 text

13 セキュリティチェックの段階 • Security Hubはまず有効化しよう • AWS基礎セキュリティのベストプラクティスがおすすめ • ⽤意されているチェックしか出来ない • AWS Configで頑張ることも • ⾃由に⾃分たちのポリシーに合わせて作成 • 楽にいろいろしたいならConformity • 管理・運⽤が簡単 • 多数のポリシー

Slide 14

Slide 14 text

14 3. OS/アプリレイヤーのセキュリティ

Slide 15

Slide 15 text

15 OS/アプリレイヤーのセキュリティ • アプリレイヤーで守るもの • コンピューティングリソース • 不正プログラム • マイニング • データ • DB • 個⼈情報 • コンテンツ • 改ざん

Slide 16

Slide 16 text

16 OS/アプリレイヤーのサービス • VPC周り • OS/ミドル • AWS WAF • コンテナ • サーバレス • コンテンツ

Slide 17

Slide 17 text

17 ネットワークのセキュリティ • セキュリティグループ絞る • 極⼒プライベートサブネット • SSHやRDPなどの管理系はポートを開けない(もう 古い) • Session Managerを利⽤する

Slide 18

Slide 18 text

18 OS/ミドルの防御 • OS/ミドルの脆弱性管理 • アンチマルウェア • IDS/IPS • 変更監視 • セキュリティ監視 • Cloud One Workload SecurityはAWS環境で有 ⼒な選択肢

Slide 19

Slide 19 text

19 合わせて読みたい • AWS Marketplaceで Workload Security を従量 課⾦で利⽤する 仕組み https://dev.classmethod.jp/articles/trend-micro-cloud-one-sppo/

Slide 20

Slide 20 text

20 ⾼レイヤーの防御 • セキュアな実装 • プログラム • アーキテクチャ • AWS WAF • 多層防御でよりセキュアに • 最近はBotコントロールにも対応

Slide 21

Slide 21 text

21 合わせて読みたい Botのリクエストや 許可拒否をグラフ化 Botの種類ごとにコ ントロール可能 導⼊前にどれくらい Botが来ているか確 認する機能もあり https://dev.classmethod.jp/articles/aws-bot-control/

Slide 22

Slide 22 text

22 コンテナ • コンテナ環境はEC2と同じ︖ • コンテナ管理レイヤーが⽣まれる • ECSはマネージド • Fargateならホストはない • コンテナセキュリティはNIST SP800-190を読む • まずECRリポジトリスキャン • Cloud One Container Securityもある • EKSのみなので注意

Slide 23

Slide 23 text

23 サーバレス • サーバレスならIPSはいらない︖ • 守るものは変わらない • OS/ミドルに対する攻撃などは⼤丈夫 • WAFで防げばいい︖ • よりデータに近いところで守る • Cloud One Application Security • アプリケーションコードに埋め込まれたセキュリティ • Lambdaで動かせます

Slide 24

Slide 24 text

24 コンテンツ • S3にユーザーがアップロードしたファイルは安全︖ • アンチマルウェアはどう適⽤する︖ • Cloud One File Storage Security • S3のファイルをスキャンできる • サーバーレス︕

Slide 25

Slide 25 text

25 4. まとめ

Slide 26

Slide 26 text

26 まとめ • 守るべきものを明確に • AWSとアプリのレイヤー、全て対策する • 総⼒戦 • 守るものを意識して各対策を

Slide 27

Slide 27 text

27