AWS Security Automation in TrendMicro DIRECTION 2016

AWSクラウドが貴社のビジネス環境を更にセキュアに！

AWSで実現するセキュリティ・オートメーション

アマゾンウェブサービスジャパン株式会社セキュリティ・ソリューションアーキテクト

桐山隼人

世界中に広がるAWSの拠点

13リージョン, 35アベイラビリティゾーン, 59エッジロケーションhttps://aws.amazon.com/jp/about-aws/global-infrastructure/

AWSにとってセキュリティとは

責任共有モデル

AWS グローバルインフラストラクチャ

AWS がクラウドのセキュリティ

を担当

お客様自身でクラウドを統制可能

https://aws.amazon.com/jp/compliance/shared-responsibility-model/

AWSパートナーであるトレンドマイクロ様

https://aws.amazon.com/jp/quickstart/?nc1=h_ls

AWS Partner Network(APN)のAPNアドバンストテクノロジーパートナー

Deep Securityは”Security Competency”取得済み

「AWS クイックスタートリファレンス」を提供

• セキュリティと可用性に関するAWSベストプラクティスを容易にデプロイ可能

• Trend Micro Deep Security on AWS

本日の内容

オートメーションがもたらすもの

セキュリティ・オートメーションのユースケース

セキュリティ・オートメーションからセキュリティ戦略へ

オートメーションとは

ある機構や機器が、人手の介入を要することなく、自動的に制御、動作、連携すること (IT用語辞典)

「自動化」のこと (Wikipedia)

「自動化」によって得られる効率化

コスト削減生産性向上スピード向上人為ミス削減

効率化だけではない価値

セールスフォースオートメーションマーケティングオートメーション

営業活動の革新✓分析による案件確度判断✓見込み客への集中

マーケティング活動の革新✓案件化率の高いリードの判別✓案件化に至るリソース最適化

営業プロセスの効率化✓報告作業の省力化✓顧客情報データの共有

マーケティングの効率化✓リード獲得漏れ防止✓ナーチャリング手段確立

「やること」と「やらないこと」を決められる=戦略

オートメーションがもたらすもの

多種多様なデータ集約

可視化と効果測定

分析による意思決定

このプロセスを継続することで良い戦略が策定できる

セキュリティ・オートメーションのユースケース何を自動化すべきなのか？

セキュリティ対策の分類

対策主体による分類

• 人による対策・組織による対策・技術による対策

対策対象による分類

• サーバー対策・ネットワーク対策・クライアント対策

対策場所による分類

• 入口対策・内部対策・出口対策

・・・などがあるが、オートメーションを意識したプロセス・継続性を表現できる分類な何か？

システムの要塞化・隔離

攻撃の抑制

問題の阻止

問題の検出

リスクの検証と優先付け

問題の抑制調査/フォレンジック

設計/モデル変更

回復/修復

定常状態の把握

攻撃の予測

事前のリスク分析

継続的監視と分析

適応型セキュリティアーキテクチャ

予測防御

検知対応

Gartner’s Adaptive Security Architecture


攻撃の抑制

問題の阻止

問題の検出




回復/修復


攻撃の予測



「防御」の考慮点

予測防御

検知対応


従来、セキュリティ対策と言われていたもの

標的型攻撃の台頭で100%防御は不可能と言われるようになった


攻撃の抑制

問題の阻止

問題の検出




回復/修復


攻撃の予測



「検知」の考慮点

予測防御

検知対応


高い検知精度(誤検知・検知漏れが少ない)

各種イベントを相関分析したインシデント特定

重要なインシデントの判別・優先順位づけ


攻撃の抑制

問題の阻止

問題の検出




回復/修復


攻撃の予測



「対応」の考慮点

予測防御

検知対応


一次対応の早さが損害額を最小化する

事後調査を意識したログ設計

恒久的な対応は仕組み化して事故を再発させない


攻撃の抑制

問題の阻止

問題の検出




回復/修復


攻撃の予測



「予測」の考慮点

予測防御

検知対応


異常に気付くには正常な状態を知る必要がある

次の防御策を選択するためのリスク分析


攻撃の抑制

問題の阻止

問題の検出




回復/修復


攻撃の予測



「継続的監視と分析」の考慮点

予測防御

検知対応


このサイクルを素早く回し、変化に適応させる

AWS サービスのマッピング

AWSConfig

Amazon Inspector

3rd PartyData Feed

AWSLambda

Amazon EBS

AmazonSNS

AWSCloudFormation

Auto Scaling

Amazon VPC flow logs

3rd Party SIEM

NACL SG

AWS WAF

3rd Party IDS

Amazon CloudFront

AWSCloudTrail

Amazon CloudWatch

予測防御

検知対応

AWSConfig

Amazon Inspector

Amazon EBS

AWSCloudFormation


3rd Party SIEM

NACL SG

3rd Party IDS

AWSCloudTrail

予測防御

検知対応

不正通信を起点とした入口対策フロー例

Amazon CloudWatch

3rd PartyData Feed

AWS WAFAmazon

CloudFront

Auto Scaling

AWSLambda

AmazonSNS

IPブラックリストをAWS WAFに自動反映

Amazon CloudWatch

3rd partyレピュテーションリスト

AWS WAF

Amazon CloudFront

Elastic Load Balancing

Amazon EC2Web servers

Amazon RDSDatabase

攻撃者IPレピュテーションに基づきブロック

AWSLambda

ユーザー送信元IPに基づき

通信許可


Amazon CloudWatch


AWS WAF

Amazon CloudFront



Amazon RDSDatabase


AWSLambda


通信許可

①定期実行


Amazon CloudWatch


AWS WAF

Amazon CloudFront



Amazon RDSDatabase


AWSLambda


通信許可

①定期実行

②SpamhausのDROPリストなどをダウンロード


Amazon CloudWatch


AWS WAF

Amazon CloudFront



Amazon RDSDatabase


AWSLambda


通信許可

①定期実行


③AWS WAF IPセットを更新


Amazon CloudWatch


AWS WAF


AWSLambda


通信許可

①定期実行


③AWS WAF IPセットを更新

④AWS WAF によるブラックIPからの通信をブロック

Amazon CloudFront



Amazon RDSDatabase

EC2 インスタンス

アベイラビリティーゾーン 1b

アベイラビリティーゾーン 1a

Au

to S

calin

g グループ

Amazon CloudFront

AWSLambda

AmazonSNS


スケールアウトによる問題の抑制と通知




Au

to S

calin

g グループ

Amazon CloudFront

①非ブラックIPからの大量トラフィック

AWSLambda

AmazonSNS






Au

to S

calin

g グループ

Amazon CloudFront


②スケールアウトによる自動トラフィック分散

AWSLambda

AmazonSNS






Au

to S

calin

g グループ

Amazon CloudFront



AWSLambda

AmazonSNS


スケールアウトによる問題の抑制と通知③スケーリングイベントの通知




Au

to S

calin

g グループ

Amazon CloudFront



AWSLambda

AmazonSNS


スケールアウトによる問題の抑制と通知③スケーリングイベントの通知

④任意アクション実行

AWSConfig

Auto Scaling

AWS WAFAmazon

CloudFront

3rd PartyData Feed

AWSCloudFormation

3rd Party SIEM

3rd Party IDS

予測防御

検知対応

Amazon CloudWatch

高リスク端末に対する内部対策フロー例

Amazon Inspector

NACL SG


Amazon EBS

AWSCloudTrail

AWSLambda

AmazonSNS

EC2インスタンス

端末自動隔離とバックアップ

AWSLambda

Amazon Inspector

Amazon EBS

Security Group

Network ACL

AWSCloudTrail

(SNS/LambdaによるAPI呼び出しを一部省略)



AWSLambda

Amazon Inspector

Amazon EBS

①セキュリティ評価の実行

Security Group

Network ACL

AWSCloudTrail




AWSLambda

Amazon Inspector

Amazon EBS


②脆弱性診断

Security Group

Network ACL

AWSCloudTrail




AWSLambda

Amazon Inspector

Amazon EBS


②脆弱性診断

③NACL/SGのポートブロックによる端末隔離

Security Group

Network ACL

AWSCloudTrail



端末自動隔離とバックアップ④ブロックログがVPC Flow Logsに表示

AWSLambda

Amazon Inspector

Amazon EBS


②脆弱性診断


Security Group

Network ACL

AWSCloudTrail




⑤スナップショットによるバックアップ取得

AWSLambda

Amazon Inspector

Amazon EBS


②脆弱性診断


Security Group

Network ACL

AWSCloudTrail




⑤スナップショットによるバックアップ取得

AWSLambda

Amazon Inspector

Amazon EBS


②脆弱性診断


Security Group

Network ACL

AWSCloudTrail

⑥バックアップログ保存


ファイアウォール

侵入防御不正プログラム対策

セキュリティログ監視

変更監視

攻撃者

EC2Deep Securityエージェント

TrendMicro Deep Security on EC2ホスト型 All-in-One サーバーセキュリティ

情報資産

Trend Micro Deep Security Platformhttp://www.trendmicro.com/us/enterprise/cloud-solutions/deep-security/index.html

予防＝ブロック発見＝モニタリング

Deep Security と AWSサービスの連携例

EC2

Amazon

Inspector

Deep Securityエージェント

AWS WAFAWS

Config

予測・評価検知・防御監査

脆弱性情報（CVE）を元にルール有効化

インスタンスのアプリケーション情報を元に

WAFルールを実装

社内ルールで決められたポリシーが実装されている

かをチェック

監視・対処

Amazon

SNS

SNS経由でのイベント通知（トリガーにアクションを

自動化も可能）

https://github.com/deep-security/

セキュリティ・オートメーションからセキュリティ戦略へオートメーションの未来図

オートメーションがもたらすもの(再掲)

多種多様なデータ集約

可視化と効果測定

分析による意思決定

このプロセスを継続することで良い戦略が策定できる

CloudTrailのよる監査ログ取得対象サービス※対応サービス:

分析

• Amazon Elastic Map Reduce

• AWS Data Pipeline

• Amazon Kinesis Firehose

• Amazon Kinesis Streams

• Amazon Redshift

• Amazon ElasticsearchService

• Amazon Machine Learning

アプリケーションサービス

• Amazon API Gateway

• Amazon Cloudsearch

• Amazon Elastic Transcoder

• Amazon Simple Email Service (Amazon SES)

• Amazon Simple Queue Service (Amazon SQS)

• Amazon Simple Workflow Service (Amazon SWF)

コンピューティング

• Amazon Elastic Compute Cloud (Amazon EC2)

• Amazon EC2 Container Service (Amazon ECS)

• AWS Elastic Beanstalk

• AWS Lambda

• Auto Scaling

• Elastic Load Balancing (ELB)

• Amazon EC2 Container Registry (Amazon ECR)

データベース

• Amazon DynamoDB

• Amazon ElastiCache

• AWS Database Migration Service (AWS DMS)

• Amazon Relational Database Service (Amazon RDS)

開発者ツール

• AWS CodeDeploy

• AWS CodePipeline

エンタープライズアプリケーション

• Amazon WorkDocs

• Amazon WorkSpaces

セキュリティとアイデンティティ

• AWS Certificate Manager

• AWS CloudHSM

• AWS Directory Service

• AWS Identity and Access Management (AWS IAM)

• Amazon Inspector

• AWS Key Management Service

• AWS Security Token Service

• AWS WAF

ストレージとコンテンツ配信

• Amazon CloudFront

• Amazon Elastic Block Store

• Amazon Simple Storage Service (Amazon S3)

• Amazon Elastic File System

• Amazon Glacier

• Amazon S3 bucket level events

• AWS Storage Gateway

サポート

• AWS Support

モノのインターネット

• AWS IoT

ゲーム開発

• Amazon GameLift

管理ツール

• AWS CloudFormation

• AWS CloudTrail

• Amazon CloudWatch

• Amazon CloudWatch Events

• Amazon CloudWatch Logs

• AWS Config

• AWS OpsWorks

• AWS Service Catalog

モバイルサービス

• Amazon Cognito

• AWS Device Farm

• Amazon Simple Notification Service （Amazon SNS）

ネットワーキング

• AWS Direct Connect

• Amazon Route 53

• Amazon Virtual Private Cloud

※2016年11月時点。最新情報は http://docs.aws.amazon.com/ja_jp/awscloudtrail/latest/userguide/cloudtrail-supported-services.html

データ集約

AWSインフラ全体のログ取得が可能

PrivateSubnet

Public Subnet

Subnet

NACL NACL

SG SG

社内システム

インターネット

CGWVGW

PrivateSubnet

NACL

SG

PrivateSubnet

NACL

SG

APP

APP

Jump

Agent

CloudTrail

CloudWatchLogs

CloudFrontWAF

API操作のログ

ログ

トラフィック

ELBのアクセスログ

CF/WAFのアクセスログ

VPC Flow Logs

S3のアクセスログ

OS等のログ

データ集約

セキュリティ・ダッシュボード

https://aws.amazon.com/jp/blogs/security/how-to-optimize-and-visualize-your-security-groups/

VPC Flow Logs/Amazon Elasticsearch Service/Kibana によるセキュリティグループの可視化

プロトコル

許可 or 遮断

宛先ポート

通信IPアドレス

通信回数と通信量

可視化

プロトコル

許可 or 遮断

宛先ポート

通信IPアドレス

通信回数と通信量

セキュリティ・ダッシュボード

https://aws.amazon.com/jp/blogs/security/how-to-optimize-and-visualize-your-security-groups/

VPC Flow Logs/Amazon Elasticsearch Service/Kibana によるセキュリティグループの可視化

個別の通信ログレコード参照

ドリルダウンによる詳細解析

可視化

データ分析に基づいた意思決定Amazon QuickSight 提供開始

(2016/11/15(米国時間))

✓ビジネスインテリジェンス(BI)ソリューション✓データ型や関係の自動推論、洞察の共有✓使いやすく、すぐ始められる

https://aws.amazon.com/jp/quicksight/

ヒューリスティック分析振る舞い分析異常検知シミュレーションなど・・・

意思決定

本日のまとめ

オートメーションで効率化と革新を手に入れる

AWSやパートナー製品の連携により自動化セキュリティを達成する

セキュリティ・オートメーションをセキュリティ戦略の布石にする

アンケートの回答にご協力をお願いしますご記入後、会場出口にて回収致します

ご回答者の中から、抽選で３名様に、

『Amazon Web Services 企業導入ガイドブック』荒木靖宏、他（著）、マイナビ出版

を差し上げます！

AWS Security Automation in TrendMicro DIRECTION 2016

Technology

Transcript of AWS Security Automation in TrendMicro DIRECTION 2016