LoginSignup
4
1

More than 5 years have passed since last update.

@fnifni

AWS re:Invent 2017 Security re:Cap レポート

Last updated at Posted at 2017-12-14

こんにちは、ひろかずです。
今日は、12/14にアマゾン目黒オフィス(東京)で行われた AWS re:Invent 2017 Security re:Capに行ってきたので一筆書きます。

サブタイトルに re:Invent 2017のセキュリティを振り返る会 と題されていました。
年末にも関わらず、19時前に会場が満席!
AWS熱が依然高いことを感じさせます。

テーマはセキュリティ
ボルテージは否応がなく高まります。

今回の目的は...

  • re:Invent 2017前後で発表されたAWSセキュリティ関連情報の収集・共有の場の提供
  • AWSセキュリティを 企業組織内で活用できるか考える
  • re:Invent2018に参加する、そして登壇する

資料は公開されるので、話を中心に書いていきます。

例によってリアルタイム執筆ですので、誤字脱字、記載漏れ、表記ゆれはご容赦ください。

スティーブ・シュミットのメッセージ

  • 人とデータは切り離す(自動化している)
  • セキュリティの判断は人の判定が必要であるので、その瞬間に1人が稼働している。
  • いわゆるステレオタイプのSOCは持っていない

AWSセキュリティサービスアップデート①

AWS Single Sign-On

AWSソリューションアーキテクト
辻 義一

権限とコストを分ける方法

  • IAMユーザー/ポリシー
  • コストタグを付ける

要件によっては、分離できないこともある。
その場合は...

  • AWSアカウントを分ける
  • アカウント超えのデータ転送やピアリング接続ができる

そうすると権限の管理やログインが分離してしまって手間
シングルサインオンが求められる

  • SSOソリューションがあるが...
  • マネコンにアクセスするだけなのに高くて難しいのは辛い

AWS SSO

ユーザーポータルの提供
アプリのポータルも提供
既存のADを活用
簡単に実現

料金とリージョンと条件

SSO自体は無料
MSADやAD Connectorの費用がかかる
Virginiaのみ
AWS Organizationが必要

ユーザーリポジトリは、AD

  • Simple ADには対応していない

RADIUSによるワンタイムパスワード

ログイン先はAWS Organizationに参加しているAWSアカウント
SAML2.0に対応しているアプリケーション

アカウント毎に複数の権限を設定できる

  • 対象組織を選定し、パーミッションセットを設定できる(IAMポリシーと同じ文法)

AWSコンソールのログインフロー

SSOポータルから
ADの認証情報を使ってログイン
パー民ションセットに基いてあぷりが 表示され
選択したアカウントのIAM権限が割り当てられる

Cloudtrailで監査できる

アプリを登録

事前定義のアプリやカスタムアプリに、アプリのメタデータを登録する
SaaS側の定義手順も掲載されている
自分たちのアプリケーションにも実装することもできる

関連サービス

IAM

  • STSが裏で動いている

AWS Directory Service

  • 機能は似ているが、SSOはSAMLも追加

Cognito

  • モバイルアプリのSSOにも使える

ADとAWS ADの連携

パターン1

  • 既存ADとAWS MSADと信頼関係を結ぶ

パターン2

  • 既存AD環境とVPN接続して、AD Connectorで接続

日本から使うには?

パターン1

  • インターネットVPN
  • Direct Connect Gateway

パターン2

  • インターネットVPNサーバを経由する

パターン3(東京リージョンは来年...)

  • VPCのリージョン間接続

QA

LDAPが話せればいいなら、Azure ADと接続できる?

  • 信頼関係を結べるか謎

エンドユーザーセッション①

株式会社ドワンゴ
第二サービス開発本部
Dwango Cloud Service部 Consultingセクション
第二プロダクト開発部 第一セクション
鈴木 栄伍

スライドはニコナレに公開してます。
ニコナレは、AWSで構築されています。

re:Inventと今後のdwangoでのAWSセキュリティについて

re:Invent参加の背景

2016年から参加
初回は、最新動向把握、EBC(Executive Briefing Center)参加のため

  • 社内コンサルやAWSで構築したサービスのインフラエンジニアをやっていた流れ

参加して良かったこと

EBCにてAWS開発者と意見交換できた

  • 今年はAWS OrganizationやECSホウエンと会話した
  • サービスの利用感を感じることができるまたとない機会

Brakeoutセッションへの参加

  • 自分がやっていることと同じようなことを、世界の人たちがどうやっているか
  • 自分の方向性が合っているか分かる
  • DisneyとMarvel Studioのセッションが良かった

社内の困りごとと構想

アカウント(AWS, IAM)管理関連

  • rootアカウントフローが手動
  • Organizationでコマンド発行したい
  • AWS SSOが待ち遠しい

AWS上で構築されたシステムのNWセキュリティ

  • 何かあったときに後手後手に回る
  • FlowLogsとCloudTrailのログをMaisyとGuardDutyで検知できるようにしたい

AWSセキュリティの期待

  • 少数精鋭チームなので、マネジメントサービスで効率化したい
  • System ManagerとGuardDutyの連携
  • Amazon Inspectorとの連携もしてくれるといいなぁ

AWSセキュリティサービスアップデート②

Amazon GuardDuty AWSパートナーソリューションアーキテクト
酒徳 知明

副題:AWSクラウドの脅威検知の実装

DevSecOps

  • セキュリティベースラインがある中でDevOpsを回すのがいい

Amazon GuardDuty

脅威リスクを検知するサービススコープ

  • 脅威リスクのモデルは、膨大なデータサンプルが必要
  • データが多ければモデルの精度が上がる
  • 何をリスクと定義するか?
  • Bad IPや異常検出、機械学習で統合分析している

利用リージョン

  • 東京リージョン使えます!

対象

  • EC2またはIAMに置ける脅威を検出
  • エージェントレス、センサーレス、アプライアンスレス
  • 30日間の無料枠(課金状況を見て高かったら止められる)

高機能なので、無料枠で是非試して!

インプット

  • VPC Flow Logs
  • Cloud Trail
  • DNS Log

アラート

リスクのタイプ(Detection Type)

  • 悪意のあるスキャン(ポートスキャンとか)
  • インスタンスへの脅威(BitCoin掘り掘りとか)
  • アカウントへの脅威(通常と異なるAPIの発行とか)

サービスデリバリーコンセプト

− いかに簡単に有効にできるか
- CloudTrailが有効になってないとかの排除

既知の脅威リストのカスタマイズ

  • ユーザー独自の脅威IPリストとのギャップを埋めるTrusted IP ListThreat IP List

検知の閲覧は2系統

  • AWS Management Console
  • API/JSON

重要度

  • 0~3.9(青)
  • 4.0~6.9(黄)
  • 7.0~10.0(赤)

検知時アクション

  • CloudWatchでアラートでもOK

検知内容は

課金形態

  • イベントあたり(CloudTrailは1億イベントあたり)
  • ログデータあたり(FlowLogs/DNSログは、GBあたり)
  • とりあえず有効化して、無料枠で見極めて!

展開方式

  • CloudFormation -Stacks- で、全リージョン、全アカウントに同じセキュリティベースラインを展開できる
  • アカウントに対してやOrganizationのヒエラルキーを対象にできる

パートナー

  • 多数のセキュリティベンダーが取り扱う
  • パートナーインテグレーションは、パートナーがGuardDutyのデータを持っていく方式
  • 各ベンダー、無料トライアルを提供しているのでぜひ使ってみて!

エンドユーザーセッション②

株式会社リクルートテクノロジーズ
ITソリューション統括部 サイバーセキュリティエンジニアリング部
セキュリティオペレーションセンター
安東 美穂 様

リアルタイム執筆はご遠慮をーとのことです。
残念

LT①

三井物産セキュアディレクション株式会社
プロフェッショナルサービス事業部
マネージャー
佐藤 裕貴 様

サイバーセキュリティ専門会社のre:Invent振り返り

Keynoteの中でDynamoを使っているサービス
Tinder
出会い系アプリ
研究用途で使ってます

セキュリティ系セッション会場は遠かったので行かなかった。

  • 複数名で担当を分けて行くのが良い

Managed Rule for AWS WAF

  • AlertLogicがパートナーとして参加
  • Wordpress向けの仮想パッチを提供
  • Shareが大きいところに投入
  • SQL/SQLiが攻撃ボリュームが大きい
  • Rule作成から開放されよう!

Amazon GuardDuty

  • AWS不正操作、悪意のあるアクセス元の検知
  • サードPartyベンダーのセキュリティサービスも利用して、網羅的なセキュリティを実現

LT②

トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE課
姜 貴日 様

Deep Securityを出典してきました。
8カテゴリの中でトレンドマイクロがセキュリティ部門一位(実質Deep Security)

Amazon GuardDutyとは?

  • Deep Securityとはかぶらない(一部かぶる)
  • GuardDutyは、フルマネージドと検出
  • Deep Securityは、検知と防御
  • ShildもWAFも出た時は問い合わせがあった
  • Deep Securityは、サーバー内部で攻撃を遮断するので根本的に違う

Amazon GuardDutyとDeep Securityの連携

  • 検知内容に基いて、対象IPを遮断
  • OSS扱いでGitに公開中

ManagedRule

  • マーケットプレイスで購入すると、サポートは米国になる
  • トレンド提供のRuleは、Apache SuiteとCMS向け

LT③

AWS WAF Partner Managed Rules
AWSソリューションアーキテクト
藤倉 和明

今日はデモ
帰ったら有効にしたくなる話をします

WAF管理画面にMarket Placeが増えてるので、そこから有効化

  • 間を取ってFortinetを選択(笑)
  • No overrideは防御モード。
  • まずは、Override on Counntで慣熟運用すること。

とにかく最高なので、Countではじめよう!

大盛り上がりで終わりました!
今日はここまでです。
お疲れ様でした。

4
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
1