こんにちは、ひろかずです。
今回は、6回目となるDeep Security User Nightをレポートします。
継続は力なりですね。
会場は、前回に引き続きHAPON新宿
日本地図のデスクがユニークなコワーキングスペースです。
そろそろ、Deep Securityの情報発信基地な感じになってきましたね(勝手
ビアバッシュ形式でプシュッとしてからの開始です。
- 事前アンケートでは、重めビール、軽めビール、チューハイ系、ノンアルとほぼ割れたそうです!
会場はほぼ満席。温まっていい感じです。
- 例によってのリアルタイム執筆なので、抜け漏れ表記ゆれはご容赦ください。
Session1. Deep Security vs Docker
- 椎名さん 株式会社ワークスアプリケーションズ
研究部門でクラウド技術の研究で、nosql, hadoopを研究
AWS運用管理サービスCCMSのサービス設計営業NW設計、開発、運用、障害対応と全方位で活躍
DSの導入構築運用
ワークスアプリケーションズは
Docker使ってますか?k8s使ってますか?
- 会場は反応が薄いようです
初期のHUEはContainerは使ってなかった
正式稼働前にContainerを導入
DSと相性が悪いことが判明
対外的にはDSで保護を謳っていたので対応が大変だった
Dockerは、自分でネットワークを組む。
DSは、Containerインスタンスに導入して、RelayとDSMが居るVPCとPeeringした
Alertは、SNS→SQS→redmineで送った
HUEとDSとの戦い
9.5 vs Ubuntu14.04.4
- syslogが一瞬で20GB食いつぶした
− ds_Filetrドライバが32個までしか対応していなかった。 - ネットワークデバイスが入れ替わる度にエラーを吐きまくる
- ネットワークデバイスが128個まで対応するHotfixで対処した
- 対応できない環境はDS除外した
9.6 vs Ubuntu14.04.4
- 新規にContainerが立ち上がらない
- DSAがiptablesを無効化することが原因だった
- 回避設定ファイルを配置することで対応した
9.6.2-7256 vs Ubuntu14.04.4
- kernel未対応だった
- DockerのためにkernelをVersionアップしたので、ロールバックはできなかった。
- DS10で対応されたので、ギリギリセーフ
10.0.0.2413 vs Ubuntu14.04.4
- kernel panic
- 現在原因不明
- 一部で不正プログラム対策機能を無効化して暫定対応
- 一部は障害自動復旧ツールで対応
k8s x Dockerインスタンスは一部環境で不正プログラム対策機能と障害自動復旧ツールで対応。
それ以外はDSをフル活用している
それ以外にも、ネットワーク構成に工夫を凝らしており、専用部屋での運用を行っている
様々なセキュリティ施策を行っている
コンテナ化、サーバレス化でDSで守らないといけないインスタンスは減ってきている
副次的な効果
いろいろあったけど、DSって要るの?
- Yes
- 自分たちの対応では不十分かもしれない
- セキュリティ専門企業の製品で不足を補う視点で有用
- 内部犯対策(IPS/FW機能を活用)
- 利用者が納得してくれる(!)
検証環境でも効果があった
- 作法の悪い通信をXSS系のRuleで検知→フィードバック
- TCP最大接続数の早期発見で障害の芽を摘む
- サービスで送られてくる添付メールのマクロウィルスを検知したので、製品側の仕組みで発生し得ないような構成とできた
- 全体的に品質向上
ユーザーログインがなければいい環境ならDSは要らないの?
- 何とも言えない
AWS Fargate + EKSにすることで、VPCのIPが使えるので、Container+AgentでもManagerに繋がる!
トレンドへの要望
- APIがSORPだけなのでRESTに対応して欲しい
- ManagerがAmazon Linuxに対応するとコストが下がる
- サーバレスアーキテクチャでも使える理由が欲しい
- Relayが使うIPが選べるといい
QA
内部犯対策
- 運用部屋の監視システム(打鍵ログ監査等)対応
適用Ruleはどういう観点で選定している?
- 開発が激しいので、推奨設定の検索ベースで対応している
- 基本的には、コンピュータの種別毎に管理している
サーバレスアーキテクチャでも使える理由が欲しいについて
- トレンドがランタイムセルフプロテクションの会社を買収したので、何かあるかも?
Session2. うちのDeep Security運用事情
千田さん 伊藤忠テクノソリューションズ株式会社
Deep Securityマネージドサービスやってます
みんな構成どうしてる?
- 同一VPC
- 分散VPC(本番と分ける)
- 集約監視VPC(ハブスポーク型)
ウィルス検出のためのコンポーネントがサービス終了だよ問題
- ほぼ対応が必要だった
- Agentプッシュ機能で対応した
- WindowsはOS再起動が必要
- 2018/10にも同様のアナウンスがあるので続くのかな?
- 最新ビルドを使えってことかな?
メジャーVersionのライフサイクルが早いよ問題
- 9.6系が主力
- 10.0は検証中(AWS連携機能が豊富なのが嬉しい)だけど、切り替えどうしよう?
管理対象が増えるとライセンスが高いよ問題
- ホスト型だと単純に高く見えてしまうので、お客がネットワーク/SaaS型の検討が始まってしまう
- ホスト型とネットワーク/SaaS型の違いを説明をし、有用性を説明している
- AutoScale時のライセンスの考え方が別途定義されているので、そっちで対応する
Alertのクリアが面倒だよ問題
- 明示的に手動でAlertをクリアしない限りできない
- APIでAlertをクリアできたらいいなぁ
シグネチャのチューニングが大変だよ問題
- 推奨以外の個別シグネチャのチューニング
- 内部知見、トレンドサポートを解決
- 要件次第ではCTCのMSSサービスを提案
QA
MSSサポートにはログを送信しているという話だけど、ペイロードのデコードとかどうするの?
- 詳細は不明だが、DSMへのログインも可能なので、そちらで見ているかも
DSでペイロードは全文見れないので評価できない。
フルバケットを取って、TAMに投げたほうが解決が早いですよ!
- そのように伝えておきます。
Session3. FutureVulsで検知した脆弱性をDeepSecurityで防御!
林さん フューチャーアーキテクト株式会社
セキュリティ運用って大変ですよね
- 新種のマルウェアが続々...手軽に作成...
- 多層防御大杉(40も!?)
- 大変だけど、兼務することも多い
- 脆弱性情報大杉(年間10,000件超)
そこでVuls
- 管理下のシステムにあるソフトウェア情報から脆弱性情報を関連付けて、通知してくれる!
- 作ったらバズった
- 大部分の大企業は、可視化以前の状態だった
- Valsで可視化できた!
次なる問題
- CVEがたくさん検知された!(見なかったことに...は、できない!)
(オープンソース)Vulsは、検知(見える化)までだった
- そこでクラウドサービスを作った!
クラウドサービスVuls!
- 環境値に対応(自動算出...事前の環境設定...DMSとか...は必要)
- 適用すべきパッチのアドバイザリ
- 対応のステータス管理
- Windowsや大規模にも対応!
ところがどっこい
- パッチ適用したら、アプリに影響が
- 薄々気づいていた...
そこで救世主
- Vulsの結果をDSに食わせて、対応しているRuleを適用しよう!
- デモをやろうと思ったけど、反映に5分かかるのでビデオにしたった
- 検出データを連携すると、ポリシーができる!
昨日プレス発表した!
- 株価急上昇!
- yahoo!ファイナンスで記事になった!
- トレンドの株価には影響はなかった(若干下がった?)
今後
- ポリシーとして適用されているかどうかがvuls側でも分かるようにしたい!
QA
推奨設定があるのに、Vulsを重ねているけど、比較の考察とかどうだったの?
- ワークフローや環境値の設定ができるので、運用としてやらなくていいことがわかる(重み付けを付ける)ことが
- Containerやk8sは推奨設定では見れない。vulsは見てくれる。そこがフォローされるのはいい。
- プログラミングライブラリの脆弱性の検知精度も高い。PoCの有無も取り込めるので
作ったポリシーは手動で適用するの?オーバーライドとかできるけど、そのまま適用は難しそう
- 目下検討中です。
Vulsは、Attack Vectorローカルのものも対応できる?
- してます
DSはローカルインジェクションに対応してないじゃん
- アプリケーションコントロールAPIで機能で対応する方向性
- アタックベクターがローカルのものも頑張っていきたい
Session4. トレンドマイクロ株式会社 トレンドマイクロサポートチーム内の裏話 ~Episode 1~
小林さん、田中さん
新バージョンのReleaseが多い!?
- 2017年からHotfixではなく、Updateモジュールとして配信することになった
- Release頻度は月2件以上のペース
サポートってなにやってるの?
新バージョンReleaseの時なにしてるの?
- ダウンロードページの作成(今はスクリプトで対応)
- Readmeのレビュー(英語原文+日本語版を見て、チェック)
- 有償サポートの告知(社内承認フローが大変)
なんでそんなにReleaseするの?
- アグレッシブにバグフィックスしているんだよ!
対応スピード
- プレミアムサポートで解決できる問題は殆ど1営業日以内
- 時間がかかるのはダンプ解析、再現確認(環境構築)
モジュールが多い
- 不正プログラム対策とかセキュリティログ監視機能とかは別の所で作っていたりする
- 問い合わせの時は、開発チーム間で迷子になっていることがある。それを舵取りしている。
機能要望って?
- アプリケーションコントロールのWindows対応(対応済み)
- Workspacesに対応(実装済み)
- でも実現するのには時間がかかる(カバレッジや効果の観点で慎重になっている)
- 日本特有のリクエストの場合、論理的な説明が大変
機能が明確で必要な理由が合理的なものは実装されやすい
- いい例:Linuxのリアルタイム変更監視
- 悪い例:不正プログラム対策の負荷を下げて欲しい(抽象的)
インパクトが明確なものも実装されやすい
- いい例:経済損失
- 悪い例:不便
他のリージョンから来ている場合も同様のリクエストが来ている場合
サポート担当者の問い合わせ以外の仕事
海外メンバーと情報共有(トライリンガルがいる)
ツール作成
- ログ取り等サポート対応が簡単になるようなツールを作ってます。
社内プロジェクトへの参加
- トラブルシューティングガイドやアップグレードガイドなどのドキュメント作成
- 設定診断プロジェクト
QA
機能間ログの相関分析はされているか?
- リクエスト上げてください!
- Businessインパクトを添えて!(案件取れるとか)
- ストーリーを伝える
アンケートはこちらから!
https://goo.gl/nDcp9s
今回はかなりハイレベルな運用話が出る素晴らしい会でした!
Deep Securityの利用の裾野が広がっているのを感じました!
次回が楽しみですね!
今日はここまでです。
お疲れ様でした。