AWS
DeepSecurity
AWSWAF

Amazon CloudFrontで今すぐ始めるWAF/SSL 証明書セミナーに行ってきました。

More than 3 years have passed since last update.

こんにちは、ひろかずです。

3/10にAWS(目黒アルコタワー)で開催された「Amazon CloudFrontで今すぐ始めるWAF/SSL 証明書セミナー」に行ってきましたので、一筆書きます。

例によって、リアルタイムで執筆しているので、書き漏らし・誤字脱字はご容赦ください。


お品書き

AWS WAF/Amazon CloudFront Security Technical Deep Dive

Nathan Dye

Manager, Software Development, Anti-DDoS

Amazon Web Services, Inc.

Defending your workloads with AWS WAF and Deep Security

Mark Nunnikhoven

Vice President, Cloud Research

Trend Micro, Inc.

パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント

後藤 和貴

cloudpack(アイレット株式会社)

執行役員 / エバンジェリスト

まとめ: AWS でのセキュアなシステム構築

荒木 靖宏

アマゾン ウェブ サービス ジャパン株式会社


AWS WAF/Amazon CloudFront Security Technical Deep Dive

Nathan Dye

Manager, Software Development, Anti-DDoS

Amazon Web Services, Inc.


AWS WAF

WAFの導入目的は、攻撃通信の検知・遮断、コンテンツの不正利用防止(漏洩)、DDoS対策である。

AWS WAFは、cloudfrontと統合されているので、攻撃通信の評価はスピーディ。

AWS WAFは、APIに対応しているので、他のシステムと統合することができる。

対応機能は以下のとおり。


  • IP

  • string

  • Byte

  • SQLi

ルールの配信は、1分以内に全ての世界展開が可能。


ユースケース1(限定公開)

IP Setとstringの組み合わせで、ホワイトリストを登録することで、開発中のサイトを限定公開することができる。


ユースケース2(HTTP floods)

前提:リクエスト数少ないサイト

スクリプトで閾値を指定して、特定IPのアクセスが多ければ、当該IPを取得するようにする。

Lambdaで集計して、閾値を超えたIPをAWS WAFに登録する。


ACM

完全無料なSSL証明書

ワイルドカードも複数ドメインも対応

有効期限は60日

自動更新は以下条件で可能。


  • CFかELBでRoute53で名前解決できること。

  • インターネットからアクセス可能であること。

同じ証明書を複数のELBやCFに設定可能。

CFを前に置くなら、バックがs3,ec2,オンプレでも使用できるということ。


Defending your workloads with AWS WAF and Deep Security

Mark Nunnikhoven

Vice President, Cloud Research

Trend Micro, Inc.

他社製品とAWS WAFとの連携についてDeepSecurityを中心に話します。


なぜ、組み合わせるのか

OSIのネットワークモデルの中で、EC2、DS、AWS WAFの位置は以下のとおり。

L7:AWS WAF

L6~L3:DS

L2~L1

AWS環境については以下になる。

L7:AWS WAF

L6~L4:DS

L3~L1:AWS(SG/NACL)

AWS WAFとDSを組み合わせることで、L3以上を全て網羅することができる。

DSを使うことで共有責任モデルのユーザー部分について対応できるようになる。

AWS担当者は、共有責任モデルを理解して、ユーザー部分の対応について説明できるようにする必要がある。


DS、AWS WAFを組み合わせることの戦略性

攻撃に対して、幾つもの層で対応することができる。

Endpointから遠い場所で対応できる。

Endpointから遠いことで攻撃を遮断すれば、対応コストは低くなる。

コードを書く前にバグ直っていれば、対応コストが低いのと同じ。


DSのIP ListをAWS WAFに登録する

Gitに公開されています。


SQLiのお勧めルールをAWS WAFのConditionに登録する

Gitに公開されています。


インスタンスの保護状況を表示

DSの導入有無、推奨設定の対応状況、AWS WAFの利用状況が判る。

Gitに公開されています。

DSのAPIとAWSの機能を組み合わせて使うことで、さらなるセキュリティが実装できる。

Nathanの発表は氷山の一角。

トレンドマイクロ製品はAWSネイティブで作られているので、連携も可能。

DSはセンサーとしての役割も果たす。


パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント

後藤 和貴

cloudpack(アイレット株式会社)

執行役員 / エバンジェリスト

JPCERT/CCによると、2015年は年末にかけて減少傾向があるが、

改ざんによるサイト停止の時間:11日以上は25%(ビジネスインパクト大)

DDoS攻撃については、2014年四半期ベースで150%増

身近なサイトも攻撃が受けている。


DSで守っているのに、AWS WAFを使う理由

攻撃を受けている最中は、負荷で調査がままならないことがある。

防御をオフロードできるのは、それだけで価値がある。


DSとの連携を使った工夫


DSで検知した攻撃通信を送信元IPを


シャープのrobohonnサイトの事例

DSはセンサー部分を担当し、Github連携で計画されない変更(改ざん)をソースから巻き戻す。


3つのポイント


  • 複雑化・高度化するサイバー攻撃には、1)動的な対応、2)システム連携、3)運用・ルール最適化が求められる


  • ツールサービスも高度な連携が可能な時代になっている。(DSとAWS WAFの連携)


  • ツール任せではなく、自分のものとして運用



まとめ: AWS でのセキュアなシステム構築

荒木 靖宏

アマゾン ウェブ サービス ジャパン株式会社

AWS責任共有モデルを知らない人は結構いた。


よく聞かれること


全てのデータは暗号化されるか?

ほとんどすべてのサービスでデータ暗号化を選択できる。

鍵の管理もAWSであるが、顧客でも管理することができる。

AWS KMSサービスは、ほぼ無料で利用できる。


鍵が漏れることはあるのか?

多要素認証でリスク低減できる。

IAMを用いて誰が何をどこからできるかを制限できる(ポリシーシュミレータが便利)


何をしているか記録できるの?


AWS CloudTrale


  • AWS管理コンソール,APIコールの内容が取れる。

  • 各AWS管理サービスに対する操作内容

  • ログとして収集

  • s3保存, SNS通知

  • 監査対応、変更管理等のための利用


AWS Trasted Adviser

リージョン全体の利用状況やセキュリティの対応状況を確認できる。

サポート(ビジネス)以上なら利用できる。


権限管理はどうするの?

原則として、アカウントは共有しない。

IAMを使って誰が、何を、どこからアクセスするかを制御

SAMLに対応しているので、認証を統合管理できる。


セキュリティ発見はどうするの?

CroudTraleやFlowlogをパートナーのs3に投げ込んで解析を依頼することもできる。


まとめ

セキュリティは、事業者(AWS)だけではなく、利用者だけではなく、双方で対応するものである。

AWS Trasted Adviserは便利だから是非使って!


質疑応答


cloudfrontの20GB以上のファイルダウンロード制限について

撤廃される予定はあるか?

ユースケースとしては、動画を考えている。

→ 当面は撤廃の予定はないが、持ち帰って検討する。

→ VODの場合は、セグメントされた配信での対応が増えているので、検討して欲しい


cloudfrontの可用性について

どのように測定したか、知ることができるか?

→ cedexis(有償)を使った。

→ リアルユーザーモニタリング方式。Web開発者に協力してJavaScriptベースで様々なCDNを使用するようにした。

→ 無料で公開されているデータもあるので、見てみて欲しい。


AWS WAFを使った時にパフォーマンスは落ちるか?落ちないならその理由は?

→ 落ちない。ルールを処理する時間は数ミリ秒。

→ CFは全てのリージョンに対応しているので、ロケーションによる問題はない。


SSL証明書について

将来的にEV認証はするのか?

→ 現状公開可能なロードマップはないが、幾つかのユーザーからのフィードバックはある。持ち帰って検討する。


AWS WAFとCFを抜けた攻撃通信をDSがどのように防ぐのか

→ 例えば、AWS WAFは、BODYを8kbまでしか見ないが、DSは全パケットを見る。

→ スマートProtectionネットワークとの連携で、包括的な対応ができる。


AWSのシークレットキーとアクセスキーが漏れたら買い物できるの?

→ 漏れたらサポートに即連絡すること。

→ 同じ値を設定することはできるが、基本は別物。

→ Amazonを他要素認証も有効


SSL証明書が東京リージョンで使えるのはいつから?

→ 他のリージョンにも展開予定。優先度は高め。


AWS CLIの対応について

CFの重要度が高まっている中で、AWSコンソール操作でしか対応しないのはツライ

→ 持ち帰って確認する。

今日はここまでです。

お疲れ様でした。

  • パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント
  • まとめ: AWS でのセキュアなシステム構築
  • 質疑応答