AWS セキュリティーワークショップ
- リスク可視化と分析による 継続的セキュリティ の実践
- 登壇者:桐山隼人さん
- 著書:すべてわかるセキュリティ大全, IoTビジネスとセキュリティを3段階と4要素で理解する
セッションの目的
AWS環境においてのセキュリティって。。。
- まず何からはじめたらいいのか
- どこまでやったらいいのか
「継続的セキュリティ(CS)」
定義
- 人によって定義はまちまち
- DevOps.comより抜粋
- セキュリティにはプラットフォームが必要でAPIによって呼び出す
- 自動化で実施していくもの
- 統合インテグレーションと言われるものが必要
やる意味
- 環境変化適応
- セキュリティ対策は実施した瞬間から危殆化する
- スピード
- セキュリティ侵害は攻撃側のほうがはやい
- 攻撃は自動化してどんどん新しい攻撃手法を取り入れていく
- コスト最適化
- リスクベースのアプローチで考える
- 何が一番重要で守らなきゃいけない?を考える必要がある
- リスクは瞬間で変わっていく
セキュリティリスク
セキュリティリスクの方程式
- 驚異
- どういうリスクが企業にあるか?どういう企業はリスクが高いのかを考える
- 有名であればあるほど狙ってやろうという気持ちが高まる、など
- 脆弱性
- 企業の中に存在するもの
- セキュリティホールや設定ミスとか
- 心理的要素を突く攻撃もある(人事に対してや、プレッシャーかかってる人へのメールとか)
- 情報資産
- 企業が持ってるデータの情報資産の価値が高ければ高いほどやばい
- 企業によって持ってるデータが違うので重要度がぜんぜん違う
- 医療機関のほうが金融機関よりも重要、みたいな
分析と可視化
- リスク分析
- 驚異分析 (AWS GuardDuty)
- 脆弱性分析 (AWS Inspector)
- 情報資産分析 (AWS Macie)
↑をやることがセキュリティ対策
継続的監視と驚異検知
-
機械学習を用いたクラウドネイティブな驚異検知サービス
- 驚異を検知してくれる = GuardDuty
- 検知方法:クエリのログやネットワークログ、API操作ログを使って驚異を検知する
-
プラットフォーム脆弱性分析
- API連携によって開発運用プロセスにリスク評価を統合
- やってくれること:こういうセキュリティ設定したほうがいいですよ、とかも評価してくれる
- Inspectorのルールパッケージ
- ホスト評価のルール(CVEに基づく一般的な脆弱性、COS OSSCB, ベストプラクティス、とか4軸)
- ネットワーク到達可能性のルール ←NEW!!
- 自分で意図したネットワーク設計になっているか
- インターネット出てる?
- 意図したところだけ使われてる?
- PCI DSSの要件満たしてる?
- これを知るためにInspectorのルール評価が使える
- やってること
- 自動推論による評価
- Logic Specification + Network Snapshot + query = Result
- パケットレスポートスキャン↑をやっている
- 自分で意図したネットワーク設計になっているか
-
事業価値のある(重要データ)データを保護
- 認証情報、知的財産、個人情報とかを保護
- Macieがスキャンして、監視できる
一個一個の画面にはいるのめんどくない?
ー> Security Hub というサービスがあります!
リスク分析ダッシュボード - Security Hub
- AWS環境のセキュリティコンプライアンス状態を可視化できる
- 一元的にみれるよ!
まずここからその1
- まずは始めるなら
- GurardDutyを全リージョンで有効化
- InspectorでEC2インスタンスを評価
- エージェントレスもありますよ
- MacieでS3にある重要データの棚卸し
- サポートリージョンは北バージニアとオレゴンのみ
- Securitie Hubでデータ集約して可視化
コンプライアンスルール
リスクベースアプローチによる優先順位づけ
- リスクベースアプローチを保管する考え方が大事
- ベースラインアプローチ
- 業界ルール
- などこれは守らないといけないよね、みたいなシステム外の観点のこと
- = コンプライアンスルール → 「Compliance Check + AWS Config」 で管理できる
※ AWS Config = 構成変更を記録してくれるサービス
まずここからその2
- Configで全リソースの設定変更履歴の管理を開始
- Security HubでCompliance Standardsを有効化する
ガバナンス
- AWS Organizations
マルチアカウント
- 増えていった時、一個一個どうやって管理すればいいのか
- Landing Zoneを使おう!
- ここに着地して貰えればいいよ、的なニュアンスを含めたもの
- アカウント統制をしたい時、こういうルールだけ守ってね、の枠を定義できるもの
- ベストプラクティスをまとめたまとめ集
- 目的が違うアカウントを分けておいたほうがいい
- ログ管理とセキュリティアカウント、など
- 日頃の振る舞いが違うやつ
- 混ぜるとノイズが入るので、新しい技術が入れづらい = 入れていいの?のリスクが発生する
- だからアカウントは分けておきましょう
- アカウントのセキュリティイベントを集めて通知する
- 通知はアカウントごとでSNSトピックを生成する
- 集約はSecurity Hubで
まずはここからその3
- セキュリティアカウントを作る
- Securitie Hub上で監視対象のメンバーアカウントを追加
- Securitie HubのカスタムアクションでFindingsの追加
次のステップ...
- わからない人はAWSのSAに相談してね!
- ワークショップや資料があるので勉強してね!
ワークショップ内容