こんにちは、ひろかずです。
今日は、12/14にアマゾン目黒オフィス(東京)で行われた AWS re:Invent 2017 Security re:Capに行ってきたので一筆書きます。
サブタイトルに re:Invent 2017のセキュリティを振り返る会
と題されていました。
年末にも関わらず、19時前に会場が満席!
AWS熱が依然高いことを感じさせます。
テーマはセキュリティ
ボルテージは否応がなく高まります。
今回の目的は...
- re:Invent 2017前後で発表されたAWSセキュリティ関連情報の収集・共有の場の提供
- AWSセキュリティを 企業組織内で活用できるか考える
- re:Invent2018に参加する、そして登壇する
資料は公開されるので、話を中心に書いていきます。
例によってリアルタイム執筆ですので、誤字脱字、記載漏れ、表記ゆれはご容赦ください。
スティーブ・シュミットのメッセージ
- 人とデータは切り離す(自動化している)
- セキュリティの判断は人の判定が必要であるので、その瞬間に
1人
が稼働している。 - いわゆるステレオタイプのSOCは持っていない
AWSセキュリティサービスアップデート①
AWS Single Sign-On
AWSソリューションアーキテクト
辻 義一
権限とコストを分ける方法
- IAMユーザー/ポリシー
- コストタグを付ける
要件によっては、分離できないこともある。
その場合は...
- AWSアカウントを分ける
- アカウント超えのデータ転送やピアリング接続ができる
そうすると権限の管理やログインが分離してしまって手間
シングルサインオンが求められる
- SSOソリューションがあるが...
- マネコンにアクセスするだけなのに高くて難しいのは辛い
AWS SSO
ユーザーポータルの提供
アプリのポータルも提供
既存のADを活用
簡単に実現
料金とリージョンと条件
SSO自体は無料
MSADやAD Connectorの費用がかかる
Virginiaのみ
AWS Organizationが必要
ユーザーリポジトリは、AD
- Simple ADには対応していない
RADIUSによるワンタイムパスワード
ログイン先はAWS Organizationに参加しているAWSアカウント
SAML2.0に対応しているアプリケーション
アカウント毎に複数の権限を設定できる
- 対象組織を選定し、パーミッションセットを設定できる(IAMポリシーと同じ文法)
AWSコンソールのログインフロー
SSOポータルから
ADの認証情報を使ってログイン
パー民ションセットに基いてあぷりが 表示され
選択したアカウントのIAM権限が割り当てられる
Cloudtrailで監査できる
アプリを登録
事前定義のアプリやカスタムアプリに、アプリのメタデータを登録する
SaaS側の定義手順も掲載されている
自分たちのアプリケーションにも実装することもできる
関連サービス
IAM
- STSが裏で動いている
AWS Directory Service
- 機能は似ているが、SSOはSAMLも追加
Cognito
- モバイルアプリのSSOにも使える
ADとAWS ADの連携
パターン1
- 既存ADとAWS MSADと信頼関係を結ぶ
パターン2
- 既存AD環境とVPN接続して、AD Connectorで接続
日本から使うには?
パターン1
- インターネットVPN
- Direct Connect Gateway
パターン2
- インターネットVPNサーバを経由する
パターン3(東京リージョンは来年...)
- VPCのリージョン間接続
QA
LDAPが話せればいいなら、Azure ADと接続できる?
- 信頼関係を結べるか謎
エンドユーザーセッション①
株式会社ドワンゴ
第二サービス開発本部
Dwango Cloud Service部 Consultingセクション
第二プロダクト開発部 第一セクション
鈴木 栄伍
スライドはニコナレ
に公開してます。
ニコナレ
は、AWSで構築されています。
re:Inventと今後のdwangoでのAWSセキュリティについて
re:Invent参加の背景
2016年から参加
初回は、最新動向把握、EBC(Executive Briefing Center)参加のため
- 社内コンサルやAWSで構築したサービスのインフラエンジニアをやっていた流れ
参加して良かったこと
EBCにてAWS開発者と意見交換できた
- 今年はAWS OrganizationやECSホウエンと会話した
- サービスの利用感を感じることができるまたとない機会
Brakeoutセッションへの参加
- 自分がやっていることと同じようなことを、世界の人たちがどうやっているか
- 自分の方向性が合っているか分かる
- DisneyとMarvel Studioのセッションが良かった
社内の困りごとと構想
アカウント(AWS, IAM)管理関連
- rootアカウントフローが手動
- Organizationでコマンド発行したい
- AWS SSOが待ち遠しい
AWS上で構築されたシステムのNWセキュリティ
- 何かあったときに後手後手に回る
- FlowLogsとCloudTrailのログをMaisyとGuardDutyで検知できるようにしたい
AWSセキュリティの期待
- 少数精鋭チームなので、マネジメントサービスで効率化したい
- System ManagerとGuardDutyの連携
- Amazon Inspectorとの連携もしてくれるといいなぁ
AWSセキュリティサービスアップデート②
Amazon GuardDuty AWSパートナーソリューションアーキテクト
酒徳 知明
副題:AWSクラウドの脅威検知の実装
DevSecOps
- セキュリティベースラインがある中でDevOpsを回すのがいい
Amazon GuardDuty
脅威リスクを検知するサービススコープ
- 脅威リスクのモデルは、膨大なデータサンプルが必要
- データが多ければモデルの精度が上がる
- 何をリスクと定義するか?
- Bad IPや異常検出、機械学習で統合分析している
利用リージョン
- 東京リージョン使えます!
対象
- EC2またはIAMに置ける脅威を検出
- エージェントレス、センサーレス、アプライアンスレス
- 30日間の無料枠(課金状況を見て高かったら止められる)
高機能なので、無料枠で是非試して!
インプット
- VPC Flow Logs
- Cloud Trail
- DNS Log
アラート
- 赤
- 黄
- 青
リスクのタイプ(Detection Type)
- 悪意のあるスキャン(ポートスキャンとか)
- インスタンスへの脅威(BitCoin掘り掘りとか)
- アカウントへの脅威(通常と異なるAPIの発行とか)
サービスデリバリーコンセプト
− いかに簡単に有効にできるか
- CloudTrailが有効になってないとかの排除
既知の脅威リストのカスタマイズ
- ユーザー独自の脅威IPリストとのギャップを埋める
Trusted IP List
とThreat IP List
検知の閲覧は2系統
- AWS Management Console
- API/JSON
重要度
- 0~3.9(青)
- 4.0~6.9(黄)
- 7.0~10.0(赤)
検知時アクション
- CloudWatchでアラートでもOK
検知内容は
課金形態
- イベントあたり(CloudTrailは1億イベントあたり)
- ログデータあたり(FlowLogs/DNSログは、GBあたり)
- とりあえず有効化して、無料枠で見極めて!
展開方式
- CloudFormation -Stacks- で、全リージョン、全アカウントに同じセキュリティベースラインを展開できる
- アカウントに対してやOrganizationのヒエラルキーを対象にできる
パートナー
- 多数のセキュリティベンダーが取り扱う
- パートナーインテグレーションは、パートナーがGuardDutyのデータを持っていく方式
- 各ベンダー、無料トライアルを提供しているのでぜひ使ってみて!
エンドユーザーセッション②
株式会社リクルートテクノロジーズ
ITソリューション統括部 サイバーセキュリティエンジニアリング部
セキュリティオペレーションセンター
安東 美穂 様
リアルタイム執筆はご遠慮をーとのことです。
残念
LT①
三井物産セキュアディレクション株式会社
プロフェッショナルサービス事業部
マネージャー
佐藤 裕貴 様
サイバーセキュリティ専門会社のre:Invent振り返り
Keynoteの中でDynamoを使っているサービス
Tinder
出会い系アプリ
研究用途で使ってます
セキュリティ系セッション会場は遠かったので行かなかった。
- 複数名で担当を分けて行くのが良い
Managed Rule for AWS WAF
- AlertLogicがパートナーとして参加
- Wordpress向けの仮想パッチを提供
- Shareが大きいところに投入
- SQL/SQLiが攻撃ボリュームが大きい
- Rule作成から開放されよう!
Amazon GuardDuty
- AWS不正操作、悪意のあるアクセス元の検知
- サードPartyベンダーのセキュリティサービスも利用して、網羅的なセキュリティを実現
LT②
トレンドマイクロ株式会社
セキュリティエキスパート本部
パートナービジネスSE部 パートナーSE課
姜 貴日 様
Deep Securityを出典してきました。
8カテゴリの中でトレンドマイクロがセキュリティ部門一位(実質Deep Security)
Amazon GuardDutyとは?
- Deep Securityとはかぶらない(一部かぶる)
- GuardDutyは、フルマネージドと検出
- Deep Securityは、検知と
防御
- ShildもWAFも出た時は問い合わせがあった
- Deep Securityは、サーバー内部で攻撃を遮断するので根本的に違う
Amazon GuardDutyとDeep Securityの連携
- 検知内容に基いて、対象IPを遮断
- OSS扱いでGitに公開中
ManagedRule
- マーケットプレイスで購入すると、サポートは米国になる
- トレンド提供のRuleは、Apache SuiteとCMS向け
LT③
AWS WAF Partner Managed Rules
AWSソリューションアーキテクト
藤倉 和明
今日はデモ
帰ったら有効にしたくなる話をします
WAF管理画面にMarket Place
が増えてるので、そこから有効化
- 間を取ってFortinetを選択(笑)
- No overrideは防御モード。
- まずは、Override on Counntで慣熟運用すること。
とにかく最高なので、Countではじめよう!
大盛り上がりで終わりました!
今日はここまでです。
お疲れ様でした。