5
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 5 years have passed since last update.

Amazon CloudFrontで今すぐ始めるWAF/SSL 証明書セミナーに行ってきました。

Last updated at Posted at 2016-03-10

こんにちは、ひろかずです。
3/10にAWS(目黒アルコタワー)で開催された「Amazon CloudFrontで今すぐ始めるWAF/SSL 証明書セミナー」に行ってきましたので、一筆書きます。

例によって、リアルタイムで執筆しているので、書き漏らし・誤字脱字はご容赦ください。

#お品書き
AWS WAF/Amazon CloudFront Security Technical Deep Dive
Nathan Dye
Manager, Software Development, Anti-DDoS
Amazon Web Services, Inc.

Defending your workloads with AWS WAF and Deep Security
Mark Nunnikhoven
Vice President, Cloud Research
Trend Micro, Inc.

パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント
後藤 和貴
cloudpack(アイレット株式会社)
執行役員 / エバンジェリスト

まとめ: AWS でのセキュアなシステム構築
荒木 靖宏
アマゾン ウェブ サービス ジャパン株式会社

#AWS WAF/Amazon CloudFront Security Technical Deep Dive
Nathan Dye
Manager, Software Development, Anti-DDoS
Amazon Web Services, Inc.

##AWS WAF
WAFの導入目的は、攻撃通信の検知・遮断、コンテンツの不正利用防止(漏洩)、DDoS対策である。
AWS WAFは、cloudfrontと統合されているので、攻撃通信の評価はスピーディ。
AWS WAFは、APIに対応しているので、他のシステムと統合することができる。
対応機能は以下のとおり。

  • IP
  • string
  • Byte
  • SQLi

ルールの配信は、1分以内に全ての世界展開が可能。

###ユースケース1(限定公開)
IP Setとstringの組み合わせで、ホワイトリストを登録することで、開発中のサイトを限定公開することができる。
###ユースケース2(HTTP floods)
前提:リクエスト数少ないサイト
スクリプトで閾値を指定して、特定IPのアクセスが多ければ、当該IPを取得するようにする。
Lambdaで集計して、閾値を超えたIPをAWS WAFに登録する。

##ACM
完全無料なSSL証明書
ワイルドカードも複数ドメインも対応
有効期限は60日
自動更新は以下条件で可能。

  • CFかELBでRoute53で名前解決できること。
  • インターネットからアクセス可能であること。

同じ証明書を複数のELBやCFに設定可能。
CFを前に置くなら、バックがs3,ec2,オンプレでも使用できるということ。

#Defending your workloads with AWS WAF and Deep Security
Mark Nunnikhoven
Vice President, Cloud Research
Trend Micro, Inc.

他社製品とAWS WAFとの連携についてDeepSecurityを中心に話します。

###なぜ、組み合わせるのか
OSIのネットワークモデルの中で、EC2、DS、AWS WAFの位置は以下のとおり。
L7:AWS WAF
L6~L3:DS
L2~L1

AWS環境については以下になる。
L7:AWS WAF
L6~L4:DS
L3~L1:AWS(SG/NACL)

AWS WAFとDSを組み合わせることで、L3以上を全て網羅することができる。
DSを使うことで共有責任モデルのユーザー部分について対応できるようになる。
AWS担当者は、共有責任モデルを理解して、ユーザー部分の対応について説明できるようにする必要がある。

###DS、AWS WAFを組み合わせることの戦略性
攻撃に対して、幾つもの層で対応することができる。
Endpointから遠い場所で対応できる。

Endpointから遠いことで攻撃を遮断すれば、対応コストは低くなる。
コードを書く前にバグ直っていれば、対応コストが低いのと同じ。

###DSのIP ListをAWS WAFに登録する
Gitに公開されています。
###SQLiのお勧めルールをAWS WAFのConditionに登録する
Gitに公開されています。
###インスタンスの保護状況を表示
DSの導入有無、推奨設定の対応状況、AWS WAFの利用状況が判る。
Gitに公開されています。

DSのAPIとAWSの機能を組み合わせて使うことで、さらなるセキュリティが実装できる。
Nathanの発表は氷山の一角。
トレンドマイクロ製品はAWSネイティブで作られているので、連携も可能。
DSはセンサーとしての役割も果たす。

#パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント
後藤 和貴
cloudpack(アイレット株式会社)
執行役員 / エバンジェリスト

JPCERT/CCによると、2015年は年末にかけて減少傾向があるが、
改ざんによるサイト停止の時間:11日以上は25%(ビジネスインパクト大)
DDoS攻撃については、2014年四半期ベースで150%増
身近なサイトも攻撃が受けている。

##DSで守っているのに、AWS WAFを使う理由
攻撃を受けている最中は、負荷で調査がままならないことがある。
防御をオフロードできるのは、それだけで価値がある。

##DSとの連携を使った工夫
###DSで検知した攻撃通信を送信元IPを

###シャープのrobohonnサイトの事例
DSはセンサー部分を担当し、Github連携で計画されない変更(改ざん)をソースから巻き戻す。

##3つのポイント

  • 複雑化・高度化するサイバー攻撃には、1)動的な対応、2)システム連携、3)運用・ルール最適化が求められる

  • ツールサービスも高度な連携が可能な時代になっている。(DSとAWS WAFの連携)

  • ツール任せではなく、自分のものとして運用

#まとめ: AWS でのセキュアなシステム構築
荒木 靖宏
アマゾン ウェブ サービス ジャパン株式会社

AWS責任共有モデルを知らない人は結構いた。

##よく聞かれること
###全てのデータは暗号化されるか?
ほとんどすべてのサービスでデータ暗号化を選択できる。
鍵の管理もAWSであるが、顧客でも管理することができる。
AWS KMSサービスは、ほぼ無料で利用できる。
###鍵が漏れることはあるのか?
多要素認証でリスク低減できる。
IAMを用いて誰が何をどこからできるかを制限できる(ポリシーシュミレータが便利)
###何をしているか記録できるの?
####AWS CloudTrale

  • AWS管理コンソール,APIコールの内容が取れる。
  • 各AWS管理サービスに対する操作内容
  • ログとして収集
  • s3保存, SNS通知
  • 監査対応、変更管理等のための利用

####AWS Trasted Adviser
リージョン全体の利用状況やセキュリティの対応状況を確認できる。
サポート(ビジネス)以上なら利用できる。

###権限管理はどうするの?
原則として、アカウントは共有しない。
IAMを使って誰が、何を、どこからアクセスするかを制御
SAMLに対応しているので、認証を統合管理できる。

###セキュリティ発見はどうするの?
CroudTraleやFlowlogをパートナーのs3に投げ込んで解析を依頼することもできる。

##まとめ
セキュリティは、事業者(AWS)だけではなく、利用者だけではなく、双方で対応するものである。
AWS Trasted Adviserは便利だから是非使って!

#質疑応答
##cloudfrontの20GB以上のファイルダウンロード制限について
撤廃される予定はあるか?
ユースケースとしては、動画を考えている。
→ 当面は撤廃の予定はないが、持ち帰って検討する。
→ VODの場合は、セグメントされた配信での対応が増えているので、検討して欲しい
##cloudfrontの可用性について
どのように測定したか、知ることができるか?
→ cedexis(有償)を使った。
→ リアルユーザーモニタリング方式。Web開発者に協力してJavaScriptベースで様々なCDNを使用するようにした。
→ 無料で公開されているデータもあるので、見てみて欲しい。
##AWS WAFを使った時にパフォーマンスは落ちるか?落ちないならその理由は?
→ 落ちない。ルールを処理する時間は数ミリ秒。
→ CFは全てのリージョンに対応しているので、ロケーションによる問題はない。
##SSL証明書について
将来的にEV認証はするのか?
→ 現状公開可能なロードマップはないが、幾つかのユーザーからのフィードバックはある。持ち帰って検討する。
##AWS WAFとCFを抜けた攻撃通信をDSがどのように防ぐのか
→ 例えば、AWS WAFは、BODYを8kbまでしか見ないが、DSは全パケットを見る。
→ スマートProtectionネットワークとの連携で、包括的な対応ができる。
##AWSのシークレットキーとアクセスキーが漏れたら買い物できるの?
→ 漏れたらサポートに即連絡すること。
→ 同じ値を設定することはできるが、基本は別物。
→ Amazonを他要素認証も有効
##SSL証明書が東京リージョンで使えるのはいつから?
→ 他のリージョンにも展開予定。優先度は高め。
##AWS CLIの対応について
CFの重要度が高まっている中で、AWSコンソール操作でしか対応しないのはツライ
→ 持ち帰って確認する。

今日はここまでです。
お疲れ様でした。

5
5
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
5
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?