Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

失敗例から学ぶAWSセキュリティサービスの導入

yhana
March 14, 2023

 失敗例から学ぶAWSセキュリティサービスの導入

yhana

March 14, 2023
Tweet

More Decks by yhana

Other Decks in Technology

Transcript

  1. 2 もくじ 1.AWS セキュリティサービスの機能概要 - AWS Security Hub - Amazon

    GuardDuty - Security Hub と GuardDuty の検知の違い 2.失敗例から学ぶ Security Hub / GuardDuty 導⼊時の考慮事項
  2. 5 本日紹介する AWS サービス AWS のセキュリティサービスのうち、 導⼊することが多い Security Hub と

    GuardDuty を紹介 識別 防御 検知 対応 復旧 AWS Security Hub Amazon GuardDuty
  3. 11 EC2.19 [CRITICAL] セキュリティグループは、リスクの⾼いポートへの無制限のアクセス を許可してはならない 次のポートに関して全ての送信元IPアドレス開放 20, 21 (FTP) 22

    (SSH) 23 (Telnet) 25 (SMTP) 110 (POP3) 135 (RPC) 143 (IMAP) 445 (CIFS) 1433, 1434 (MSSQL) 3000 (Go, Node.js, Ruby) 3306 (MySQL) 3389 (RDP) 4333 (ahsp) 5000 (Python) 5432 (postgresql) 5500 (fcp-addr-srvr1) 5601 (OpenSearch) 8080 (proxy) 8088 (レガシー HTTP) 8888 (代替 HTTP) 9200, 9300 (OpenSearch) 検知理由 対応例 修正 修正
  4. 13 S3.2 [HIGH] S3 バケットはパブリック読み取りアクセスを禁⽌する必要があります 検知理由 対応例 S3 バケットをインターネットに直接公開 CloudFront

    を利⽤して S3 のデータを公開 または、 ⼀時的な資料配布だったためリスク許容 追加 設定変更 意図せず公開されている場合もある︕
  5. 17 Amazon GuardDuty の検知 リソースやアカウントに対する脅威の検知例 - C&C サーバとの通信 - SSH

    / RDP ブルートフォースアタック - 既知の悪意のある IP アドレスから API の呼び出し(操作) - AWS CloudTrail のログ配信が無効化 対応リソースタイプ︓EC2、IAM オプションの保護 ︓S3、EKS、RDS、マルウェア検出 重要度 ︓HIGH (⾼)、MEDIUM (中)、LOW (低)
  6. 21 Security Hub と GuardDuty の検知の違い Security Hub︓リソースの設定項⽬(Configuration)を確認 設定項⽬(Configuration)※ "configuration":

    { "attachments": [ { "device": "/dev/xvda", "instanceId": "i-99999999999999999” } ], "availabilityZone": "ap-northeast-1a", "encrypted": true, "size": 8, "iops": 3000, "volumeType": "gp3", "throughput": 125 }, ※簡略化しています
  7. 22 Security Hub と GuardDuty の検知の違い Security Hub︓リソースの設定項⽬(Configuration)を確認 GuardDuty ︓VPC

    フローログ、CloudTrail イベントログ、DNS ログ等を確認 通信ログ(VPC フローログ) イベントログ(AWS CloudTrail ログ)
  8. 23 Security Hub と GuardDuty の検知の違い 設定項⽬(Configuration)※ "configuration": { "attachments":

    [ { "device": "/dev/xvda", "instanceId": "i-99999999999999999” } ], "availabilityZone": "ap-northeast-1a", "encrypted": true, "size": 8, "iops": 3000, "volumeType": "gp3", "throughput": 125 }, ※簡略化しています 通信ログ(VPC フローログ) イベントログ(AWS CloudTrail ログ) Security Hub︓リソースの設定項⽬(Configuration)を確認 GuardDuty ︓VPC フローログ、CloudTrail イベントログ、DNS ログ等を確認 両⽅使いましょう︕
  9. 34 失敗例・悩み 構成変更が必要な項⽬、稼働中の対応が難しい項⽬に対処できないパターン 例えば、次の項⽬ではインスタンスの停⽌が必要となる場合がある [EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります 0.EC2 インスタンスを停⽌(もしくは静⽌点を作成)

    1.スナップショットを作成 2.スナップショットをコピーし、その際に暗号化を有効化 3.コピーしたスナップショットからEBSボリュームを作成 4.暗号化されたEBSボリュームをEC2インスタンスにアタッチ 【参考】【Security Hub修復⼿順】[EC2.3] 添付済みの EBS ボリュームは、保管中に暗号化する必要があります GuardDuty Security Hub
  10. 39 改善例② Security Hub 対応を組織・プロジェクトの KPI として定める そのためには、マネジメント層の理解が重要となる マネジメント層にセキュリティの AWS

    トレーニングを受講してもらい、 意識付けする場合もある https://dev.classmethod.jp/articles/ aws-training-guide2/ AWS Security Essentials 〜セキュリティ基礎1⽇コース〜 GuardDuty Security Hub
  11. 検知 対処 アーカイブ・抑制 検知結果の確認 過検知 問題あり 通知 41 失敗例・悩み GuardDuty

    を有効化しただけで終わるパターン 通知設定をしていないので、有効化していることも忘れてそのうち⾒なくなる ここで⽌まっている Security Hub GuardDuty
  12. 45 改善例① 過検知が何度も発⽣する場合は抑制を検討する 抑制は、条件を組み合わせ設定できる - 検出結果タイプ + EC2インスタンスID - 検出結果タイプ

    + 送信元IPアドレス など 参考)GuardDutyの抑制ルールを活⽤してセキュリティ検知のノイズを減らす Security Hub GuardDuty 検知 対処 アーカイブ・抑制 検知結果の確認 過検知 問題あり 通知
  13. 47 改善例③ GuardDuty 単独で導⼊ではなく Security Hub とセットで導⼊・対応する Security Hub の

    に対応するだけでも GuardDuty の通知は 数件/⽉/アカウント 程度になることが多い印象 例えば UnauthorizedAccess:EC2/SSHBruteForce UnauthorizedAccess:EC2/RDPBruteForce の通知の低減が期待できる 対応 Security Hub GuardDuty HIGH CRITICAL
  14. 54 改善例① 事前にインシデント対応フローを整理しておく 組織内の既存インシデント対応フローとの整合性を確保する 参考になるドキュメント AWS Security Incident Response Guide

    - インシデント対応の基本事項の概要 - オンプレミスと異なる点の説明 - Appendix として 対応 Playbook のサンプル https://dev.classmethod.jp/articles/aws- security-incident-response-guide/ Security Hub GuardDuty
  15. 56 改善例① インシデントが発⽣したシステムの担当者の対応を整理しておく Security Hub GuardDuty AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー

    プロジェクト担当 経営層 インシデント報告 連携 調査依頼 連携して対応 検出結果タイプ ⼀次対応・⼿順 エスカレーション先 Backdoor:EC2/C&CActivity.B Backdoor:EC2/C&CActivity.B!DNS マルウェア感染を確認した場合、 EC2 インスタンスを隔離 (⼿順のリンク) 【Tel】 セキュリティ部⾨ 【Mail】To︓セキュリティ部⾨ ML Cc︓AWS全体管理者 ML Cc︓マネージャー 対応イメージ
  16. 57 改善例① 組織内のクラウド運⽤を CCoE などの全体管理者と役割分担している場合、 インシデント対応は連携して対応する必要がある AWS 全体管理者側でインシデントを検知して対応開始となることもある 役割分担して AWS

    運⽤ Security Hub GuardDuty AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー プロジェクト担当 経営層 インシデント報告 連携 調査依頼 連携して対応
  17. 58 改善例① ⼀次対応や影響調査に関するスキルの事前習熟が望ましい AWS CloudTrail や Amazon CloudWatch Logs の調査⽅法の把握

    調査を効率化できる Amazon Detective の利⽤の検討 Security Hub GuardDuty AWS 全体管理者 セキュリティ部⾨ セキュリティパートナー プロジェクト担当 経営層 インシデント報告 連携 調査依頼 連携して対応
  18. 59 改善例① 影響調査をするには CloudTrail イベントログなどの検索が必要となるため 事前に習熟しておく マネジメントコンソールからアクセスキーの利⽤を検索 マネジメントコンソールのイベント履歴は 90 ⽇間のみ

    検索条件も限定的なため、詳細な調査ができるように S3 に出⼒して Athena で検索できる状態が望ましい Athena の CloudTrail イベントログの検索 アクセスキーIDを使⽤してアクティビティをフィルタングする例 【参考】特定の IAM ユーザー、ロール、および AWS アクセス キーのアカウントアクティビティをモニタリングするに はどうすればよいですか? SELECT eventTime, eventName, userIdentity.principalId,eventSource FROM athena-table WHERE useridentity.accesskeyid like 'AKIAIOSFODNN7EXAMPLEʼ AND eventTime >= '2023-02-05T00:00:00.000Z' AND eventTime <= '2023-02-06T00:00:00.000Z' Security Hub GuardDuty
  19. 63 改善例① 無償期間の 30 ⽇間でコストを把握する Security Hub / GuardDuty を全リージョンで有効化する場合、

    よく使うリージョン、グローバルリソースがあるバージニア北部リージョン、 あまり使わないリージョンでそれぞれのコストを把握しておくとよい Security Hub GuardDuty Security Hub の使⽤状況の例 GuardDuty の使⽤状況の例
  20. 64 改善例② Security Hub は必要に応じて次のコスト削減策ができる - チェック回数を減らすためにコントロールの無効化 - Security Hub

    の利⽤前提で有効化する必要のある AWS Config の コスト削減のために記録リソースを制限(上級者向け) Security Hub GuardDuty
  21. 68 改善例② Security Hub 対応を組織・プロジェクトの KPI として定める そのためには、マネジメント層の理解が重要 マネジメント層にセキュリティの AWS

    トレーニングを受講してもらい、 意識付けする場合もある https://dev.classmethod.jp/articles/ aws-training-guide2/ AWS Security Essentials 〜セキュリティ基礎1⽇コース〜 GuardDuty Security Hub 再掲
  22. 73 AWS Control Tower 注目の機能 Security Hub を⾃由に設定・運⽤したいプロジェクト担当と、 最低限満たしてほしいコントロールがある全体管理者の要望を両⽴できる機能 GuardDuty

    Security Hub AWS 基礎セキュリティのベストプラクティス v1.0.0 CIS AWS Foundations Benchmark v1.2.0 CIS AWS Foundations Benchmark v1.4.0 PCI DSS v3.2.1 サービスマネージド標準: AWS Control Tower プロジェクト担当者 AWS 全体管理者 【参考】 [アップデート]AWS Security Hubのセキュリティ標準で『Service-Managed Standard: Control Tower』が利⽤可能になりました
  23. 75 その他いろいろ ▪AWS 基礎セキュリティベストプラクティス (AFSBP) で⼗分だったため、 後からデフォルト有効化されている CIS Benchmark v1.2

    基準を無効化したく なったが、組織内でセキュリティを弱める判断を下すのが難しい → AFSBP は項⽬数が多く、CIS Benchmark と被っている内容もあるため まずは AFSBP で運⽤してみて他基準を検討する進め⽅もある ▪Security Hub のコントロールに対応する AWS Config のリソースが記録されて おらず、チェックできていなかった → AWS Config の記録リソースは全てのリソースが推奨である ただし、コストが許容できない場合は記録リソースの精査も要検討となる