Conformityを利用する事で簡易に継続的なセキュリティコンプライアンス対応状況の確認ができる！

Transcript

1. Conformityを利⽤する事で簡易に継続的な セキュリティコンプライアンス対応状況の 確認ができる︕ 2021年6⽉24⽇ AWS事業部 コンサルティング部 ⼾⽥ 知宏 1

2. 2 本発表の⽬標 AWSをご利⽤のお客様で セキュリティコンプライアンスの監視が 未対応の⽅に簡単に始められる Conformityをご紹介

3. 3 本発表の⽬標 想定する対象者 ・AWSのサービスをご利⽤いただいているお客様。 ・セキュリティコンプライアンスの事は気にしているが、 まだ⼿をつけられていないお客様。

4. 4 アジェンダ ・クラウドサービス利⽤の⼀般化 ・クラウドサービスの設定を監視するソリューション ・クラウドセキュリティポスチャマネージメント(CSPM) ・AWSで提供されてるCSPMサービス ・Conformityについて ・Conformityの操作⽅法 ・導⼊操作 ・ダッシュボード

   ・違反リソースの確認と是正 ・業界のベストプラクティスによるレポート⽣成 ・Cloud Formationテンプレートの事前スキャン ・まとめ

5. 5 セキュリティやコンプライアンスの事は 気にされていますか︖

6. 6 クラウドサービス利⽤の⼀般化 情報の保管をクラウドへ ・AWSやAzureなどクラウドへの移⾏が進んでいる ・クラウドのメリット ・インフラストラクチャの構築・変更が簡単 ・世界中のリージョンへの配置が容易 その他にもいろいろあります。 ・クラウドの注意点 ・展開、設定が容易であるためミスが起こりやすい

7. 7 クラウドサービス利⽤の⼀般化 展開、設定ミスの例 ・セキュリティグループでRDP/SSHポートへの アクセス許可を全てのIP許可に設定 ・S3ストレージの意図しないパブリックアクセス設定 ・IAMアクセスキーの意図しない有効設定 ・ルート、IAMユーザーにMFAが設定されていない

8. 8 クラウドサービス利⽤の⼀般化 展開、設定ミスの例 ・セキュリティグループでRDP/SSHポートへの アクセス許可を全てのIP許可に設定 ・S3ストレージの意図しないパブリックアクセス設定 ・IAMアクセスキーの意図しない有効設定 ・ルート、IAMユーザーにMFAが設定されていない 重⼤なインシデントにつながる可能性がある︕

9. 9 クラウドサービスの設定を監視するソリューション クラウドセキュリティポスチャマネージメント (CSPM) ・継続的なセキュリティ、コンプライアンス対応状況の 確認および可視化するソリューション - クラウドサービスの設定で違反があった場合、 セキュリティ管理者にアラート通知・修正の提案 -

   業界のコンプライアンス基準に合わせたチェック AWS Well-Architected Framework、SOC2、 PCI DSS、 ISO 27001、GDPR、HIPAA、NIST、CIS など

10. 10 クラウドサービスの設定を監視するソリューション AWSで提供されてるCSPMサービス AWSには下記のサービスがあります。 ・AWS Config Rules ・AWS Security Hub

    ・AWS Config Conformance Packs

11. 11 AWSで提供されてるCSPMサービス AWS Config Rules 機能 ・各種リソースの設定がConfig Rulesで 定めた状態であるかをチェックする。 ・チェックに違反すると通知および修正が可能

    ・ルールは2種類 - マネージドルール︓AWS提供、178点⽤意（ʼ21/6時点） - カスタムルール︓利⽤者が⾃由に作成（AWS Lambda利⽤）

12. 12 AWSで提供されてるCSPMサービス AWS Security Hub 機能 ・コンプライアンス基準に沿ったセキュリティチェックと、 セキュリティイベント集約の2つの機能がある ・以下のコンプライアンス基準・ベストプラクティスに基づく チェックをまとめて実施できる

    - CIS AWS Foundations Benchmark - PCI DSS v3.2.1 - AWS Foundational セキュリティベストプラクティス ・コンプライアンス基準のチェック有効化はワンクリック

13. 13 AWSで提供されてるCSPMサービス AWS Config Conformance Packs 機能 ・公開されたサンプルテンプレートを利⽤して複数の Config Ruleを展開できる

    - CISやPCI DSSに始まり、HIPAA / NIST CSF / FedRAMPの ようなコンプライアンス基準もカバー - S3やDynamoDB、IAMなどサービス毎のサンプルもある ・テンプレートはCloudFormationと同じフォーマットで、 サンプルテンプレートをカスタマイズして利⽤することもできる

14. 14 AWSで提供されてるCSPMサービス サービスの⽐較 Config Rules Security Hub Config Conformance Packs

    ルールのカスタマイズ性 ◦ Lambdaによる 独⾃ルール作成 × △ テンプレートを変更して適⽤ ルールのカスタマイズ可能 設定の容易性 （出来合いのルールの豊富さなど） △マネージド型ルール 178点 ◦ ワンクリックで設定 セキュリティ基準による ルール適⽤ ◦ テンプレートによる 複数のルール適⽤ 運⽤管理のしやすさ （例外設定とか是正の可否とか） × 設定の管理が必要 ◦ 検出結果から是正や 例外設定が可能 △ テンプレートによる 管理が可能

15. 15 何から始めたら良いかわからない

16. 16 ⾊々なルールで監視をしたいが、 ⼿間は掛けたくない

17. 17 簡単にセキュリティ・コンプライアンスの 監視ができたらいいな、、、

18. 18 Conformity︕

19. 19 Conformityとは︖ ConformityはCSPMのソリューション ・簡単な導⼊操作でAWS環境との連携が完了、 Conformityにて選定されているセキュリティチェックが開始。 ・ダッシュボードにセキュリティチェックの結果がわかりやすく表⽰。 ・違反しているリソースの確認と解決までわかりやすい操作。 ・業界のベストプラクティスチェックに対応。 ・Cloud Formationテンプレートの適⽤前チェックに対応。

    APIを利⽤したCI/CDパイプラインへの連携やVSCodeの利⽤に対応。

20. 20 簡単な導⼊ (試⽤版でお試し可能)

21. 21 簡単な導⼊ 数点の操作でセットアップ完了 1. AWS または Azure の選択 以降はAWSご利⽤の⼿順になります。 2.

    環境名の指定 複数アカウントを監視する⽤途で利⽤します。 3. ⾃動・⼿動によるセットアップ ⾃動の場合、Cloud Formationによるセットアップがおこなわれます。 4. 初回チェック 5. ご利⽤開始 参考資料︓Cloud One Conformityをセットアップしてみた https://dev.classmethod.jp/articles/conformity-setup/

22. 22 簡単な導⼊ AWS Control Towerと連携した⾃動導⼊ 参考資料︓AWS Control TowerとTrend Micro Cloud

    One™ – Conformityの連携について https://www.trendmicro.com/ja_jp/business/campaigns/aws/resources/controltower-integration2020.html AWSアカウント発⾏時にConformityのAPIを利⽤してセットアップ ⾃動化

23. 23 ⾒やすいダッシュボード

24. 24 ⾒やすいダッシュボード 違反の状態をダッシュボードにて把握 ダッシュボードには連携したアカウントで 違反しているルールを把握することができます。 ・サマリー ・カテゴリ別 ・リージョン別 ・優先度の⾼い違反リスト

25. 25 ⾒やすいダッシュボード ・サマリー アカウント全体の違反件数やリスクランク別で件数を表⽰

26. 26 ⾒やすいダッシュボード ・カテゴリ別 AWS Well-Architected フレームワークと同じ5本の柱にて 適合数をわかりやすく表⽰

27. 27 ⾒やすいダッシュボード ・カテゴリ別 適合率の推移をグラフにて把握

28. 28 ⾒やすいダッシュボード ・エリア別 AWS のリージョン別にて違反数を⾊で把握

29. 29 ⾒やすいダッシュボード ・違反リスト ルール毎の違反数 または リソース別の違反数 を⼀覧にて表⽰

30. 30 違反リソースの確認と解決

31. 31 違反リソースの確認と解決 ・違反リソースの確認 コンプライアンス違反をしているリソースは⼀覧にて簡単に 確認が可能です。

32. 32 違反リソースの確認と解決 ・違反リソースの確認 ルールを展開すると、対象のリソースなど詳細を確認できます。

33. 33 違反リソースの確認と解決 ・違反リソースの解決 違反の判定内容と解決策は[Knowledge Base]にて確認ができます。

34. 34 違反リソースの確認と解決 ・違反表⽰と通知の抑制 違反で問題のないリソースは抑制することができます。 ⼀定の期間、抑制をする設定も可能です。

35. 35 違反リソースの確認と解決 (番外)トレンドマイクロが提供しているオープンソースの 修復操作 ⾃動化プログラムの利⽤ 違反がある場合、Lambda関数による修復操作が可能です。 修復操作は下記の2パターンがあります。 ・⾃動修復 違反が検出された場合、⾃動で修復処理がおこなわれます。 ・⼿動修復

    違反の詳細にてボタンをクリックする事で修復処理がおこなわれます。 参考資料︓TrendMicro Conformity - Auto-remediation https://www.cloudconformity.com/help/rules/model-check/failed-check-resolution/auto-remediation.html

36. 36 業界のベストプラクティスによる レポート⽣成

37. 37 業界のベストプラクティスによるレポート⽣成 ・業界のベストプラクティスチェックに合わせたレポートの⽣成 PCI DSS や SOC2 など多くのチェックに合わせたレポートを 出⼒できます。

38. 38 業界のベストプラクティスによるレポート⽣成

39. 39 業界のベストプラクティスによるレポート⽣成

40. 40 業界のベストプラクティスによるレポート⽣成

41. 41 業界のベストプラクティスによるレポート⽣成

42. 42 業界のベストプラクティスによるレポート⽣成

43. 43 業界のベストプラクティスによるレポート⽣成 ・⽣成されるCSVについて 違反について詳細情報を出⼒されます。

44. 44 業界のベストプラクティスによるレポート⽣成 ・⽣成されるPDFについて 体裁の整った資料を⽣成可能です。

45. 45 Cloud Formationテンプレートの 事前スキャン

46. 46 Cloud Formationテンプレートの事前スキャン ・適⽤前のCloud Formationテンプレートを事前チェック 作成されるリソースで違反が発⽣しないかあらかじめ確認をおこない リソース作成前に対処ができます。

47. 47 Cloud Formationテンプレートの事前スキャン ・適⽤前のCloud Formationテンプレートを事前チェック 結果は遵守・違反の両⽅が表⽰されてどのルールが 対応できていないか把握ができます。

48. 48 Cloud Formationテンプレートの事前スキャン ・APIを利⽤したCI/CDパイプラインへの連携 ConformityのAPIを利⽤する事でGitHubへのコミット時に Jenkins経由でのチェックが可能です。 ① テンプレート (CloudFormation)をコミット ②

    Webhookにて Jenkinsを実⾏ ③ APIを利⽤してConformityに CloudFormationをプッシュ ④ Conformityにて テンプレートスキャン ⑤ Conformityから 結果を戻す ⑥ Jenkinsが結果を通知 ⑦ Slackなどを経由して 結果が通知

49. 49 Cloud Formationテンプレートの事前スキャン ・APIを利⽤したVSCode 向けの拡張機能 VSCodeに拡張機能とAPI設定を頂く事で、コマンドパレットから 簡単にチェックをする事が可能です。 参考資料︓Cloud Conformity Template

    Scanner Extension https://marketplace.visualstudio.com/items?itemName=raphaelbottino.cc-template-scanner

50. 50 まとめ

51. 51 まとめ Conformityは ・導⼊が簡単。 ・多くのルールが⽤意されているため 準備の⼿間がかからない。 ・いろいろな業界のベストプラクティスに対応できる。 ・必要機能を網羅しつつ、役に⽴つ機能を提供。

52. 52 発表者紹介 ⼾⽥ 知宏（Toda Tomohiro） ・2020年8⽉⼊社 ・AWS環境の構築、コンサルティング ・⼤阪オフィス勤務 ・趣味 ・料理

    ・キャンプ @todatomohiro

53. 53