こんにちは、ひろかずです。
3/10にAWS(目黒アルコタワー)で開催された「Amazon CloudFrontで今すぐ始めるWAF/SSL 証明書セミナー」に行ってきましたので、一筆書きます。
例によって、リアルタイムで執筆しているので、書き漏らし・誤字脱字はご容赦ください。
#お品書き
AWS WAF/Amazon CloudFront Security Technical Deep Dive
Nathan Dye
Manager, Software Development, Anti-DDoS
Amazon Web Services, Inc.
Defending your workloads with AWS WAF and Deep Security
Mark Nunnikhoven
Vice President, Cloud Research
Trend Micro, Inc.
パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント
後藤 和貴
cloudpack(アイレット株式会社)
執行役員 / エバンジェリスト
まとめ: AWS でのセキュアなシステム構築
荒木 靖宏
アマゾン ウェブ サービス ジャパン株式会社
#AWS WAF/Amazon CloudFront Security Technical Deep Dive
Nathan Dye
Manager, Software Development, Anti-DDoS
Amazon Web Services, Inc.
##AWS WAF
WAFの導入目的は、攻撃通信の検知・遮断、コンテンツの不正利用防止(漏洩)、DDoS対策である。
AWS WAFは、cloudfrontと統合されているので、攻撃通信の評価はスピーディ。
AWS WAFは、APIに対応しているので、他のシステムと統合することができる。
対応機能は以下のとおり。
- IP
- string
- Byte
- SQLi
ルールの配信は、1分以内に全ての世界展開が可能。
###ユースケース1(限定公開)
IP Setとstringの組み合わせで、ホワイトリストを登録することで、開発中のサイトを限定公開することができる。
###ユースケース2(HTTP floods)
前提:リクエスト数少ないサイト
スクリプトで閾値を指定して、特定IPのアクセスが多ければ、当該IPを取得するようにする。
Lambdaで集計して、閾値を超えたIPをAWS WAFに登録する。
##ACM
完全無料なSSL証明書
ワイルドカードも複数ドメインも対応
有効期限は60日
自動更新は以下条件で可能。
- CFかELBでRoute53で名前解決できること。
- インターネットからアクセス可能であること。
同じ証明書を複数のELBやCFに設定可能。
CFを前に置くなら、バックがs3,ec2,オンプレでも使用できるということ。
#Defending your workloads with AWS WAF and Deep Security
Mark Nunnikhoven
Vice President, Cloud Research
Trend Micro, Inc.
他社製品とAWS WAFとの連携についてDeepSecurityを中心に話します。
###なぜ、組み合わせるのか
OSIのネットワークモデルの中で、EC2、DS、AWS WAFの位置は以下のとおり。
L7:AWS WAF
L6~L3:DS
L2~L1
AWS環境については以下になる。
L7:AWS WAF
L6~L4:DS
L3~L1:AWS(SG/NACL)
AWS WAFとDSを組み合わせることで、L3以上を全て網羅することができる。
DSを使うことで共有責任モデルのユーザー部分について対応できるようになる。
AWS担当者は、共有責任モデルを理解して、ユーザー部分の対応について説明できるようにする必要がある。
###DS、AWS WAFを組み合わせることの戦略性
攻撃に対して、幾つもの層で対応することができる。
Endpointから遠い場所で対応できる。
Endpointから遠いことで攻撃を遮断すれば、対応コストは低くなる。
コードを書く前にバグ直っていれば、対応コストが低いのと同じ。
###DSのIP ListをAWS WAFに登録する
Gitに公開されています。
###SQLiのお勧めルールをAWS WAFのConditionに登録する
Gitに公開されています。
###インスタンスの保護状況を表示
DSの導入有無、推奨設定の対応状況、AWS WAFの利用状況が判る。
Gitに公開されています。
DSのAPIとAWSの機能を組み合わせて使うことで、さらなるセキュリティが実装できる。
Nathanの発表は氷山の一角。
トレンドマイクロ製品はAWSネイティブで作られているので、連携も可能。
DSはセンサーとしての役割も果たす。
#パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント
後藤 和貴
cloudpack(アイレット株式会社)
執行役員 / エバンジェリスト
JPCERT/CCによると、2015年は年末にかけて減少傾向があるが、
改ざんによるサイト停止の時間:11日以上は25%(ビジネスインパクト大)
DDoS攻撃については、2014年四半期ベースで150%増
身近なサイトも攻撃が受けている。
##DSで守っているのに、AWS WAFを使う理由
攻撃を受けている最中は、負荷で調査がままならないことがある。
防御をオフロードできるのは、それだけで価値がある。
##DSとの連携を使った工夫
###DSで検知した攻撃通信を送信元IPを
###シャープのrobohonnサイトの事例
DSはセンサー部分を担当し、Github連携で計画されない変更(改ざん)をソースから巻き戻す。
##3つのポイント
-
複雑化・高度化するサイバー攻撃には、1)動的な対応、2)システム連携、3)運用・ルール最適化が求められる
-
ツールサービスも高度な連携が可能な時代になっている。(DSとAWS WAFの連携)
-
ツール任せではなく、自分のものとして運用
#まとめ: AWS でのセキュアなシステム構築
荒木 靖宏
アマゾン ウェブ サービス ジャパン株式会社
AWS責任共有モデルを知らない人は結構いた。
##よく聞かれること
###全てのデータは暗号化されるか?
ほとんどすべてのサービスでデータ暗号化を選択できる。
鍵の管理もAWSであるが、顧客でも管理することができる。
AWS KMSサービスは、ほぼ無料で利用できる。
###鍵が漏れることはあるのか?
多要素認証でリスク低減できる。
IAMを用いて誰が何をどこからできるかを制限できる(ポリシーシュミレータが便利)
###何をしているか記録できるの?
####AWS CloudTrale
- AWS管理コンソール,APIコールの内容が取れる。
- 各AWS管理サービスに対する操作内容
- ログとして収集
- s3保存, SNS通知
- 監査対応、変更管理等のための利用
####AWS Trasted Adviser
リージョン全体の利用状況やセキュリティの対応状況を確認できる。
サポート(ビジネス)以上なら利用できる。
###権限管理はどうするの?
原則として、アカウントは共有しない。
IAMを使って誰が、何を、どこからアクセスするかを制御
SAMLに対応しているので、認証を統合管理できる。
###セキュリティ発見はどうするの?
CroudTraleやFlowlogをパートナーのs3に投げ込んで解析を依頼することもできる。
##まとめ
セキュリティは、事業者(AWS)だけではなく、利用者だけではなく、双方で対応するものである。
AWS Trasted Adviserは便利だから是非使って!
#質疑応答
##cloudfrontの20GB以上のファイルダウンロード制限について
撤廃される予定はあるか?
ユースケースとしては、動画を考えている。
→ 当面は撤廃の予定はないが、持ち帰って検討する。
→ VODの場合は、セグメントされた配信での対応が増えているので、検討して欲しい
##cloudfrontの可用性について
どのように測定したか、知ることができるか?
→ cedexis(有償)を使った。
→ リアルユーザーモニタリング方式。Web開発者に協力してJavaScriptベースで様々なCDNを使用するようにした。
→ 無料で公開されているデータもあるので、見てみて欲しい。
##AWS WAFを使った時にパフォーマンスは落ちるか?落ちないならその理由は?
→ 落ちない。ルールを処理する時間は数ミリ秒。
→ CFは全てのリージョンに対応しているので、ロケーションによる問題はない。
##SSL証明書について
将来的にEV認証はするのか?
→ 現状公開可能なロードマップはないが、幾つかのユーザーからのフィードバックはある。持ち帰って検討する。
##AWS WAFとCFを抜けた攻撃通信をDSがどのように防ぐのか
→ 例えば、AWS WAFは、BODYを8kbまでしか見ないが、DSは全パケットを見る。
→ スマートProtectionネットワークとの連携で、包括的な対応ができる。
##AWSのシークレットキーとアクセスキーが漏れたら買い物できるの?
→ 漏れたらサポートに即連絡すること。
→ 同じ値を設定することはできるが、基本は別物。
→ Amazonを他要素認証も有効
##SSL証明書が東京リージョンで使えるのはいつから?
→ 他のリージョンにも展開予定。優先度は高め。
##AWS CLIの対応について
CFの重要度が高まっている中で、AWSコンソール操作でしか対応しないのはツライ
→ 持ち帰って確認する。
今日はここまでです。
お疲れ様でした。