Post on 16-Apr-2017
世界中に広がるAWSの拠点
13リージョン, 35アベイラビリティゾーン, 59エッジロケーションhttps://aws.amazon.com/jp/about-aws/global-infrastructure/
責任共有モデル
AWS グローバルインフラストラクチャ
AWS がクラウドのセキュリティ
を担当
お客様自身でクラウドを統制可能
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
AWSパートナーであるトレンドマイクロ様
https://aws.amazon.com/jp/quickstart/?nc1=h_ls
AWS Partner Network(APN)のAPNアドバンストテクノロジーパートナー
Deep Securityは”Security Competency”取得済み
「AWS クイックスタートリファレンス」を提供
• セキュリティと可用性に関するAWSベストプラクティスを容易にデプロイ可能
• Trend Micro Deep Security on AWS
効率化だけではない価値
セールスフォースオートメーション マーケティングオートメーション
営業活動の革新✓分析による案件確度判断✓見込み客への集中
マーケティング活動の革新✓案件化率の高いリードの判別✓案件化に至るリソース最適化
営業プロセスの効率化✓報告作業の省力化✓顧客情報データの共有
マーケティングの効率化✓リード獲得漏れ防止✓ナーチャリング手段確立
「やること」と「やらないこと」を決められる=戦略
セキュリティ対策の分類
対策主体による分類
• 人による対策・組織による対策・技術による対策
対策対象による分類
• サーバー対策・ネットワーク対策・クライアント対策
対策場所による分類
• 入口対策・内部対策・出口対策
・・・などがあるが、オートメーションを意識したプロセス・継続性を表現できる分類な何か?
システムの要塞化・隔離
攻撃の抑制
問題の阻止
問題の検出
リスクの検証と優先付け
問題の抑制調査/フォレンジック
設計/モデル変更
回復/修復
定常状態の把握
攻撃の予測
事前のリスク分析
継続的監視と分析
適応型セキュリティアーキテクチャ
予測 防御
検知対応
Gartner’s Adaptive Security Architecture
システムの要塞化・隔離
攻撃の抑制
問題の阻止
問題の検出
リスクの検証と優先付け
問題の抑制調査/フォレンジック
設計/モデル変更
回復/修復
定常状態の把握
攻撃の予測
事前のリスク分析
継続的監視と分析
「防御」の考慮点
予測 防御
検知対応
Gartner’s Adaptive Security Architecture
従来、セキュリティ対策と言われていたもの
標的型攻撃の台頭で100%防御は不可能と言われるようになった
システムの要塞化・隔離
攻撃の抑制
問題の阻止
問題の検出
リスクの検証と優先付け
問題の抑制調査/フォレンジック
設計/モデル変更
回復/修復
定常状態の把握
攻撃の予測
事前のリスク分析
継続的監視と分析
「検知」の考慮点
予測 防御
検知対応
Gartner’s Adaptive Security Architecture
高い検知精度(誤検知・検知漏れが少ない)
各種イベントを相関分析したインシデント特定
重要なインシデントの判別・優先順位づけ
システムの要塞化・隔離
攻撃の抑制
問題の阻止
問題の検出
リスクの検証と優先付け
問題の抑制調査/フォレンジック
設計/モデル変更
回復/修復
定常状態の把握
攻撃の予測
事前のリスク分析
継続的監視と分析
「対応」の考慮点
予測 防御
検知対応
Gartner’s Adaptive Security Architecture
一次対応の早さが損害額を最小化する
事後調査を意識したログ設計
恒久的な対応は仕組み化して事故を再発させない
システムの要塞化・隔離
攻撃の抑制
問題の阻止
問題の検出
リスクの検証と優先付け
問題の抑制調査/フォレンジック
設計/モデル変更
回復/修復
定常状態の把握
攻撃の予測
事前のリスク分析
継続的監視と分析
「予測」の考慮点
予測 防御
検知対応
Gartner’s Adaptive Security Architecture
異常に気付くには正常な状態を知る必要がある
次の防御策を選択するためのリスク分析
システムの要塞化・隔離
攻撃の抑制
問題の阻止
問題の検出
リスクの検証と優先付け
問題の抑制調査/フォレンジック
設計/モデル変更
回復/修復
定常状態の把握
攻撃の予測
事前のリスク分析
継続的監視と分析
「継続的監視と分析」の考慮点
予測 防御
検知対応
Gartner’s Adaptive Security Architecture
このサイクルを素早く回し、変化に適応させる
AWS サービスのマッピング
AWSConfig
Amazon Inspector
3rd PartyData Feed
AWSLambda
Amazon EBS
AmazonSNS
AWSCloudFormation
Auto Scaling
Amazon VPC flow logs
3rd Party SIEM
NACL SG
AWS WAF
3rd Party IDS
Amazon CloudFront
AWSCloudTrail
Amazon CloudWatch
予測 防御
検知対応
AWSConfig
Amazon Inspector
Amazon EBS
AWSCloudFormation
Amazon VPC flow logs
3rd Party SIEM
NACL SG
3rd Party IDS
AWSCloudTrail
予測 防御
検知対応
不正通信を起点とした入口対策フロー例
Amazon CloudWatch
3rd PartyData Feed
AWS WAFAmazon
CloudFront
Auto Scaling
AWSLambda
AmazonSNS
IPブラックリストをAWS WAFに自動反映
Amazon CloudWatch
3rd partyレピュテーションリスト
AWS WAF
Amazon CloudFront
Elastic Load Balancing
Amazon EC2Web servers
Amazon RDSDatabase
攻撃者IPレピュテーションに基づきブロック
AWSLambda
ユーザー送信元IPに基づき
通信許可
IPブラックリストをAWS WAFに自動反映
Amazon CloudWatch
3rd partyレピュテーションリスト
AWS WAF
Amazon CloudFront
Elastic Load Balancing
Amazon EC2Web servers
Amazon RDSDatabase
攻撃者IPレピュテーションに基づきブロック
AWSLambda
ユーザー送信元IPに基づき
通信許可
①定期実行
IPブラックリストをAWS WAFに自動反映
Amazon CloudWatch
3rd partyレピュテーションリスト
AWS WAF
Amazon CloudFront
Elastic Load Balancing
Amazon EC2Web servers
Amazon RDSDatabase
攻撃者IPレピュテーションに基づきブロック
AWSLambda
ユーザー送信元IPに基づき
通信許可
①定期実行
②SpamhausのDROPリストなどをダウンロード
IPブラックリストをAWS WAFに自動反映
Amazon CloudWatch
3rd partyレピュテーションリスト
AWS WAF
Amazon CloudFront
Elastic Load Balancing
Amazon EC2Web servers
Amazon RDSDatabase
攻撃者IPレピュテーションに基づきブロック
AWSLambda
ユーザー送信元IPに基づき
通信許可
①定期実行
②SpamhausのDROPリストなどをダウンロード
③AWS WAF IPセットを更新
IPブラックリストをAWS WAFに自動反映
Amazon CloudWatch
3rd partyレピュテーションリスト
AWS WAF
攻撃者IPレピュテーションに基づきブロック
AWSLambda
ユーザー送信元IPに基づき
通信許可
①定期実行
②SpamhausのDROPリストなどをダウンロード
③AWS WAF IPセットを更新
④AWS WAF によるブラックIPからの通信をブロック
Amazon CloudFront
Elastic Load Balancing
Amazon EC2Web servers
Amazon RDSDatabase
EC2 インスタンス
アベイラビリティーゾーン 1b
アベイラビリティーゾーン 1a
Au
to S
calin
g グループ
Amazon CloudFront
AWSLambda
AmazonSNS
Elastic Load Balancing
スケールアウトによる問題の抑制と通知
EC2 インスタンス
アベイラビリティーゾーン 1b
アベイラビリティーゾーン 1a
Au
to S
calin
g グループ
Amazon CloudFront
①非ブラックIPからの大量トラフィック
AWSLambda
AmazonSNS
Elastic Load Balancing
スケールアウトによる問題の抑制と通知
EC2 インスタンス
アベイラビリティーゾーン 1b
アベイラビリティーゾーン 1a
Au
to S
calin
g グループ
Amazon CloudFront
①非ブラックIPからの大量トラフィック
②スケールアウトによる自動トラフィック分散
AWSLambda
AmazonSNS
Elastic Load Balancing
スケールアウトによる問題の抑制と通知
EC2 インスタンス
アベイラビリティーゾーン 1b
アベイラビリティーゾーン 1a
Au
to S
calin
g グループ
Amazon CloudFront
①非ブラックIPからの大量トラフィック
②スケールアウトによる自動トラフィック分散
AWSLambda
AmazonSNS
Elastic Load Balancing
スケールアウトによる問題の抑制と通知③スケーリングイベントの通知
EC2 インスタンス
アベイラビリティーゾーン 1b
アベイラビリティーゾーン 1a
Au
to S
calin
g グループ
Amazon CloudFront
①非ブラックIPからの大量トラフィック
②スケールアウトによる自動トラフィック分散
AWSLambda
AmazonSNS
Elastic Load Balancing
スケールアウトによる問題の抑制と通知③スケーリングイベントの通知
④任意アクション実行
AWSConfig
Auto Scaling
AWS WAFAmazon
CloudFront
3rd PartyData Feed
AWSCloudFormation
3rd Party SIEM
3rd Party IDS
予測 防御
検知対応
Amazon CloudWatch
高リスク端末に対する内部対策フロー例
Amazon Inspector
NACL SG
Amazon VPC flow logs
Amazon EBS
AWSCloudTrail
AWSLambda
AmazonSNS
EC2インスタンス
端末自動隔離とバックアップ
AWSLambda
Amazon Inspector
Amazon EBS
Security Group
Network ACL
AWSCloudTrail
(SNS/LambdaによるAPI呼び出しを一部省略)
EC2インスタンス
端末自動隔離とバックアップ
AWSLambda
Amazon Inspector
Amazon EBS
①セキュリティ評価の実行
Security Group
Network ACL
AWSCloudTrail
(SNS/LambdaによるAPI呼び出しを一部省略)
EC2インスタンス
端末自動隔離とバックアップ
AWSLambda
Amazon Inspector
Amazon EBS
①セキュリティ評価の実行
②脆弱性診断
Security Group
Network ACL
AWSCloudTrail
(SNS/LambdaによるAPI呼び出しを一部省略)
EC2インスタンス
端末自動隔離とバックアップ
AWSLambda
Amazon Inspector
Amazon EBS
①セキュリティ評価の実行
②脆弱性診断
③NACL/SGのポートブロックによる端末隔離
Security Group
Network ACL
AWSCloudTrail
(SNS/LambdaによるAPI呼び出しを一部省略)
EC2インスタンス
端末自動隔離とバックアップ④ブロックログがVPC Flow Logsに表示
AWSLambda
Amazon Inspector
Amazon EBS
①セキュリティ評価の実行
②脆弱性診断
③NACL/SGのポートブロックによる端末隔離
Security Group
Network ACL
AWSCloudTrail
(SNS/LambdaによるAPI呼び出しを一部省略)
EC2インスタンス
端末自動隔離とバックアップ④ブロックログがVPC Flow Logsに表示
⑤スナップショットによるバックアップ取得
AWSLambda
Amazon Inspector
Amazon EBS
①セキュリティ評価の実行
②脆弱性診断
③NACL/SGのポートブロックによる端末隔離
Security Group
Network ACL
AWSCloudTrail
(SNS/LambdaによるAPI呼び出しを一部省略)
EC2インスタンス
端末自動隔離とバックアップ④ブロックログがVPC Flow Logsに表示
⑤スナップショットによるバックアップ取得
AWSLambda
Amazon Inspector
Amazon EBS
①セキュリティ評価の実行
②脆弱性診断
③NACL/SGのポートブロックによる端末隔離
Security Group
Network ACL
AWSCloudTrail
⑥バックアップログ保存
(SNS/LambdaによるAPI呼び出しを一部省略)
ファイアウォール
侵入防御 不正プログラム対策
セキュリティログ監視
変更監視
攻撃者
EC2Deep Securityエージェント
TrendMicro Deep Security on EC2ホスト型 All-in-One サーバーセキュリティ
情報資産
Trend Micro Deep Security Platformhttp://www.trendmicro.com/us/enterprise/cloud-solutions/deep-security/index.html
予防=ブロック 発見=モニタリング
Deep Security と AWSサービスの連携例
EC2
Amazon
Inspector
Deep Securityエージェント
AWS WAFAWS
Config
予測・評価 検知・防御 監査
脆弱性情報(CVE)を元にルール有効化
インスタンスのアプリケーション情報を元に
WAFルールを実装
社内ルールで決められたポリシーが実装されている
かをチェック
監視・対処
Amazon
SNS
SNS経由でのイベント通知(トリガーにアクションを
自動化も可能)
https://github.com/deep-security/
CloudTrailのよる監査ログ取得対象サービス※対応サービス:
分析
• Amazon Elastic Map Reduce
• AWS Data Pipeline
• Amazon Kinesis Firehose
• Amazon Kinesis Streams
• Amazon Redshift
• Amazon ElasticsearchService
• Amazon Machine Learning
アプリケーションサービス
• Amazon API Gateway
• Amazon Cloudsearch
• Amazon Elastic Transcoder
• Amazon Simple Email Service (Amazon SES)
• Amazon Simple Queue Service (Amazon SQS)
• Amazon Simple Workflow Service (Amazon SWF)
コンピューティング
• Amazon Elastic Compute Cloud (Amazon EC2)
• Amazon EC2 Container Service (Amazon ECS)
• AWS Elastic Beanstalk
• AWS Lambda
• Auto Scaling
• Elastic Load Balancing (ELB)
• Amazon EC2 Container Registry (Amazon ECR)
データベース
• Amazon DynamoDB
• Amazon ElastiCache
• AWS Database Migration Service (AWS DMS)
• Amazon Relational Database Service (Amazon RDS)
開発者ツール
• AWS CodeDeploy
• AWS CodePipeline
エンタープライズアプリケーション
• Amazon WorkDocs
• Amazon WorkSpaces
セキュリティとアイデンティティ
• AWS Certificate Manager
• AWS CloudHSM
• AWS Directory Service
• AWS Identity and Access Management (AWS IAM)
• Amazon Inspector
• AWS Key Management Service
• AWS Security Token Service
• AWS WAF
ストレージとコンテンツ配信
• Amazon CloudFront
• Amazon Elastic Block Store
• Amazon Simple Storage Service (Amazon S3)
• Amazon Elastic File System
• Amazon Glacier
• Amazon S3 bucket level events
• AWS Storage Gateway
サポート
• AWS Support
モノのインターネット
• AWS IoT
ゲーム開発
• Amazon GameLift
管理ツール
• AWS CloudFormation
• AWS CloudTrail
• Amazon CloudWatch
• Amazon CloudWatch Events
• Amazon CloudWatch Logs
• AWS Config
• AWS OpsWorks
• AWS Service Catalog
モバイルサービス
• Amazon Cognito
• AWS Device Farm
• Amazon Simple Notification Service (Amazon SNS)
ネットワーキング
• AWS Direct Connect
• Amazon Route 53
• Amazon Virtual Private Cloud
※2016年11月時点。最新情報は http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-supported-services.html
データ集約
AWSインフラ全体のログ取得が可能
PrivateSubnet
Public Subnet
Subnet
NACL NACL
SG SG
社内システム
インターネット
CGWVGW
PrivateSubnet
NACL
SG
PrivateSubnet
NACL
SG
APP
APP
Jump
Agent
CloudTrail
CloudWatchLogs
CloudFrontWAF
API操作のログ
ログ
トラフィック
ELBのアクセスログ
CF/WAFのアクセスログ
VPC Flow Logs
S3のアクセスログ
OS等のログ
データ集約
セキュリティ・ダッシュボード
https://aws.amazon.com/jp/blogs/security/how-to-optimize-and-visualize-your-security-groups/
VPC Flow Logs/Amazon Elasticsearch Service/Kibana によるセキュリティグループの可視化
プロトコル
許可 or 遮断
宛先ポート
通信IPアドレス
通信回数と通信量
可視化
プロトコル
許可 or 遮断
宛先ポート
通信IPアドレス
通信回数と通信量
セキュリティ・ダッシュボード
https://aws.amazon.com/jp/blogs/security/how-to-optimize-and-visualize-your-security-groups/
VPC Flow Logs/Amazon Elasticsearch Service/Kibana によるセキュリティグループの可視化
個別の通信ログレコード参照
ドリルダウンによる詳細解析
可視化
データ分析に基づいた意思決定Amazon QuickSight 提供開始
(2016/11/15(米国時間))
✓ビジネスインテリジェンス(BI)ソリューション✓データ型や関係の自動推論、洞察の共有✓使いやすく、すぐ始められる
https://aws.amazon.com/jp/quicksight/
ヒューリスティック分析振る舞い分析異常検知シミュレーションなど・・・
意思決定
アンケートの回答にご協力をお願いしますご記入後、会場出口にて回収致します
ご回答者の中から、抽選で3名様に、
『Amazon Web Services 企業導入ガイドブック』荒木靖宏、他(著)、マイナビ出版
を差し上げます!