[前回] AWS公式資料で挑むSCS認定(15)-GuardDuty
はじめに
「Security, Identity & Compliance」サービスの続き、Amazon Inspectorです。
脆弱性診断を自動化するサービスで、Amazon EC2にエージェント導入が必要。
教材を選ぶ
AWS Black Belt Online Seminar [Amazon Inspector] 資料を使用します。
恒例となりつつありますが、本資料のベストスライドは、
「脆弱性診断の種類(レイヤー)」です(すみません、個人的見解です)。
理由は、脆弱性対策の全体像が、一枚にまとまっているからです。
やはり森が見えると、木も理解しやすくなりますね。
- 脆弱性とは
- コンピュータのOSやソフトウェアにおいて
- プログラムの不具合や設計上のミスが原因となって発生する
- 情報セキュリティ上の欠陥(セキュリティホール)
Amazon Inspectorとは
Amazon EC2にエージェントを導⼊し、
プラットフォームの脆弱性を診断する、
ホスト型診断サービス。
Inspectorのアーキテクチャ
引用元: https://d1.awsstatic.com/webinars/jp/pdf/services/20160622_AWS_BlackBelt-Inspector-public.pdf
セキュリティ診断
⽬的はリスクの可視化
セキュリティリスク
リスクの要因と管理可否
- 脅威(Threats)
- 例
- 標的型攻撃
- マルウェア
- サイバー攻撃
- 管理可能か
- 外部脅威の管理は困難
- 例
- 脆弱性(Vulnerabilities)
- 例
- セキュリティホール
- 設定ミス
- ⼼理的要素
- 管理可能か
- 脆弱性は社内にあるため対応は可能
- 例
- 情報資産(Assets)
- 例
- 機密情報
- 個⼈情報
- 知的財産
- 管理可能か
- 管理可能
- 重要度はビジネス側の要請に依存
- 例
脆弱性診断の種類(レイヤーの観点)
脆弱性攻撃と対策およびそのレイヤー
- SQLインジェクション
- クロスサイトスクリプティング
- OSコマンドインジェクション
- パラメータ改ざん
- 対策
- WAF
- レイヤー
- Webアプリケーション
- 診断種類
- Webアプリケーション診断
- 対策
- エクスプロイト
- DoS攻撃
- 対策
- IPS
- レイヤー
- OS/ミドルウェア
- 診断種類
- プラットフォーム診断
- 対策
- ポートスキャン
- 対策
- Firewall
- レイヤー
- ネットワーク
- 診断種類
- プラットフォーム診断
- 対策
脆弱性診断の種類(トポロジーの観点)
2種類:
- 外部ネットワーク型診断
- 目的
- 外部攻撃からシステムを保護できるか
- 想定する脆弱性
- システム全体のセキュリティホール
- 実施時の例
- システムのサービスイン時
- 目的
- 内部ネットワーク型診断
- 目的
- マルウェア感染した内部端末の攻撃からサーバーを保護できるか
- 内部不正アクセスを防げるか
- 想定する脆弱性
- サブネット内のセキュリティホール
- 設定ミス・構成ミス
- 実施時の例
- ネットワークやサーバー構成の変更時
- 目的
- ホスト型診断
- 目的
- 各種設定が企業ポリシーに準拠しているか
- 想定する脆弱性
- 設定ミス・構成ミス
- 実施時の例
- 監査のタイミング毎
- 目的
Inspector の機能
- システム設定や振る舞いの分析エンジン
- 組み込みルールパッケージ
- CVE (Common Vulnerabilities & Exposures)
- 共通脆弱性識別子 (CVE) とは、一般公開されているコンピュータセキュリティの欠陥のリスト
- 個別製品中の脆弱性が対象
- ⽶国の⾮営利団体のMITRE社が採番
- CVE識別番号は「CVE-⻄暦-連番」で構成
- EC2インスタンスが次のリストのCVEにさらされているかどうかを評価
- CVEリストは定期的に⾃動更新される
- CIS (Center for Internet Security)
- OSのセキュリティ設定ベンチマーク
- CISとは⽶国のインターネットセキュリティ標準化団体
- 業界標準のOSセキュリティ設定ガイド(ベンチマーク)を提供
- CIS準拠のAMIをAWS Marketplaceなどで提供
- セキュリティのベストプラクティス
- 重要度High
- システムディレクトリに対するアクセス権限の設定
- 重要度Medium
- SSH経由のrootログインを無効化する
- SSHバージョン2のみをサポート
- SSH経由のパスワード認証を無効化する
- パスワードの有効期限を設定する
- パスワードの最⼩⽂字数を設定する
- パスワードの複雑さを設定する
- アドレス空間配置のランダム化(ASLR)の有効化
- データ実⾏防⽌(DEP)の有効化
- 重要度High
- 実⾏時の振る舞い分析
- 重要度High
- 安全でないアクセス権限を持つrootプロセス
- 重要度Medium
- 安全でないクライアントプロトコル(ログイン)
- データ実⾏防⽌(DEP)のないソフトウェア
- スタックCookieがないソフトウェア
- 重要度Low
- 安全でないクライアントプロトコル(⼀般)
- 重要度Informational
- 未使⽤のリッスンするTCPポート
- 安全でないサーバープロトコル
- 重要度High
- CVE (Common Vulnerabilities & Exposures)
- 推奨対応⼿順が含まれた詳細レポート
- API連携による開発プロセスとの統合
Inspector の特⻑
AWSリソースに対するセキュリティ評価サービスの特徴:
- オンデマンド
- ⾃動的
- 詳細
- 事前申請不要
- 繰り返し/再利⽤可能
- 推奨対応⽅法を提示
Inspector エージェント要件
- パブリックエンドポイントへのネットワークパス
- Amazon Inspectorサービスエンドポイント
- Amazon S3サービスエンドポイント
- サービスエンドポイントとのTLS通信
- 全ての接続はAWSエージェントからのアウトバウンド通信で確⽴
- セキュリティグループでインバウンド通信を許可する必要なし
- 経路中にプロキシサーバーがある場合は利⽤不可
- インストールにはOSの管理者権限が必要
Inspectorのユースケース
- 設計開発時
- 継続的なデプロイ+セキュリティ評価
- 本番運⽤時
- セキュリティの⾃動拡張
- Auto Scalingグループの起動設定でエージェント導⼊
- スケールアウトによるインスタンス⽣成
- Auto Scalingグループタグを評価ターゲットに設定することで、⾃動でセキュリティ評価対象になる
- セキュリティの⾃動拡張
評価結果対応の簡易ワークフロー
- 評価結果に属性を追加することで、対応処理の簡易ワークフローが実現可能
- 例
- キー: 状況, 値: 緊急
- キー: 担当者, 値: ⽥中
- 例
- 評価結果のデフォルト属性を設定可
- 例
- キー: 担当者, 値: 共通基盤チーム
- 例
Amazon Inspectorのまとめ
- ホスト型プラットフォーム脆弱性診断
- オンデマンド・⾃動化・詳細なサービス
- いつでも何度でも簡単に使える
おわりに
Amazon Inspectorの脆弱性診断は、運用のみならず、
製品開発のセキュリティテストでも活用できそうですね。
次回は、Amazon Macieです。お楽しみに。