Logstorage for AWS Logstorage連携パック for AWS インフォサイエンス株式会社 プロダクト事業部 Infoscience Corporation www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889 2016年09月27日版 インフォサイエンス株式会社 概要 設立 1995年10月 代表者 宮 紀雄 事業内容 •パッケージソフトウェア「Logstorage」シリーズの開発 •データセンタ運営 •受託システム開発サービス •包括システム運用サービス <開発から運用までの業務フェーズ概要> 所在地 東京都港区芝浦2丁目4番1号 インフォサイエンスビル システム運用から生まれたパッケージソフトウェア Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 2 統合ログ管理システム「Logstorage」 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 3 統合ログ管理システム「Logstorage」 「Logstorage」とは あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理シス テムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改 善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。 10年連続市場シェアNo.1 2,100社への導入実績 その他 C製品 Logstorage B製品 38.9% A製品 出典:ミック経済研究所「情報セキュリティソリューション市場の 現状と将来展望2016(統合ログ管理市場)」 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 4 機能・システム構成 ログ収集機能 [受信機能] ・Syslog / FTP(S) / 共有フォルダ / SNMP [ログ送信・取得機能] ・Agent ・EventLogCollector ・SecureBatchTransfer ログ保管機能 ・ログの圧縮保存/高速検索 ・ログの改ざんチェック機能 ・ログに対する意味(タグ)付け ・ログの暗号化保存 ・保存期間を経過したログを自動アーカイブ ・ログの保存領域管理機能 ログ検知機能 ・ポリシーに合致したログのアラート ・ポリシーはストーリー的に定義可能(シナリオ検知) Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. <Logstorage システム構成> 検索・集計・レポート機能 ・ログの検索/集計/レポート生成 ・検索結果に対する、クリック操作による絞込み ・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML) ・レポートの出力形式のカスタマイズ 5 ログ収集実績/連携製品 日本国内で利用されているソフトウェア・機器を中心に250種以上のログ収集実績 [OSシステム・イベント] [Web/プロキシ] [ネットワーク機器] ・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD ・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus ・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL ・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・FortiGate ・BIG-IP ・IronPort ・ServerIron ・Proventia [データベース監査] [メール] ・MS Exchange ・sendmail ・Postfix ・qmail ・Exim ・SmartOn ・ARCACLAVIS Revo ・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium [運用監視] [アンチウィルス] ・Nagios ・JP1 ・Systemwalker ・OpenView ・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris [Lotus Domino] [複合機] ・AWS CloudTrail ・AWS Config ・AWS CloudWatch Logs ・VMware vCenter ・SAP R/3 (ERP) ・NetApp (NAS) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server [クライアント操作] ・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・秘文 ・SeP ・QND/QOH [サーバアクセス] 【Logstorage アライアンス製品】 ・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control [ICカード認証] ・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher [データベース] ・imageRunner ・Apeos ・SecurePrint! [その他] …その他 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 6 Logstorage for AWS - AWSに特化したLogstorage - Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 7 AWS上のログ取得のポイント AWS上に点在するログと取得サービス AWS CloudTrail AWSサービスに対するアクセスログ 例)AWS利用グループ,ユーザの作成/削除/権限変更 EC2インスタンスの作成/停止/削除 AWS管理画面(Management Console)へのログイン AWS Config AWSサービスの構成変更ログ 例)EC2インスタンスタイプの変更 IAMロールの変更 AWS CloudWatch Logs EC2インスタンス内のアクセスログ Network ACL / Security Group の通信ログ Network ACL Management Console Security Group ・・・ AWS CLI AWS SDK Applications ELB EC2 RDS VPC subnet 例)Network Interface単位でのACCEPT/REJECTログ Windowsイベントログ/Linux syslog その他、テキストログ その他 ・AWS Billing - AWSの請求データ ・Amazon S3上のファイルへのアクセスログ ・Amazon ELB (Elastic Load Balancing)上の通信ログ Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 左記のサービスのログにより、 AWS上のあらゆるアクティビティの 監査・監視が可能に!! 8 AWS上のログ分析における課題 AWS上のログ分析における課題 1.ログがS3バケットに細かい単位で出力されたり、APIを利用しないと取得 できないログがある。 2.ログがJSON形式で記録されるため、そのままでは使えない。 3.監査上重要な「CloudTrail」 に記録されるログの種類が多岐に渡るため、 どのようにログを監査したらよいかわからない。 4. AWSサービスの意図しない挙動もあり、それを回避する仕組みも一部必要。 5. AWSサービスのリリーススピードが速いため、上記の課題に対して継続的 に対応していかなければならない。 AWSのログ関連サービスに対応する ログ管理システムのニーズが高まっている Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 9 Logstorage for AWS 全体像 AWSに特化した『Logstorage for AWS』 収集・解析 ・AWSの各サービスからのログ自動収集機能 ・JSON形式のログの解析/変換機能 保管 ・ログの圧縮/暗号化保存機能 ・ログの改ざんチェック機能 ・ログに対する自動タグ付け機能 ・ログの自動アーカイブ機能 検索・分析 ・ログの検索/集計/レポート機能 ・検索結果からクリック操作による絞込み機能 ・あらゆる種類のログの横断検索/分析機能 ・レポートの定期自動出力機能 ・AWSログ分析用分析テンプレート Logstorage for AWS 構成 Logstorage for AWSは、AWS上で生成されるあらゆるログデータを「収集・解析」「保管」「 検索・分析」「レポート」するための、統合ログ管理ツールです。 AWS上のリソースのライフ サイクルの管理、コンプライアンス準拠、セキュリティ分析、運用上のトラブルシューティン グなど、幅広く活用することができます。 ※通常のLogstorageにアドオンして利用する「Logstorage連携パック for AWS」もご提供しております。 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 10 AWS CloudTrail 連携機能 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 11 AWS Cloud Trail とは AWS CloudTrail とは AWSアカウントのAPIコールを記録するサービス コンプライアンス準拠 社内規定や規制基準に応じたAWSリソースの 管理について説明するためにこれらの情報を 用いることができる リソースの ライフサイクル管理 あるAWSリソースの作成から削除まで追跡す ることができる 運用上の トラブルシューティング リースに対して最近行われた変更を特定する ことができる セキュリティ面の分析 不適切な権限でのアクセスのため拒否された APIコールを見ることができる 以下のような問いに答えることができます。 ・ユーザーがある期間に行った操作は? ・どのAWSユーザーが、いつ、何を、どのように 操作したか? ・操作がどの接続元(IPアドレス)から行われたか? Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 12 AWS CloudTrail 連携機能 構成 AWS CloudTrail 連携機能 構成 CloudTrail のログ収集/検索/分析に必要なモジュールを全て用意 Amazon EC2 ログ収集スクリプト LogDB Amazon EBS ログ変換スクリプト CloudTrail 操作履歴 ※LogstorageはAWS/オンプレミスどちらでも問題ありません。 レポートテンプレート Amazon S3 bucket ログフォーマット定義 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 13 AWS CloudTrail ログ収集の仕組み(1) AWS CloudTrail のイベント通知を利用 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 14 AWS CloudTrail ログ収集の仕組み(2) Amazon S3 のイベント通知を利用 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 15 AWS CloudTrail レポート例 管理の接続は無いか? 誤ったインスタンスの 削除は無いか 承認されていないユーザから のアクセスは無いか Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 管理コンソールに、不正に アクセスされていないか 16 AWS Config 連携機能 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 17 AWS Config とは AWS Config とは 構成変更の通知、構成履歴、AWSリソースのインベントリー情報を提供するサービス ユースケース 検出 変更管理 AWS Config はアカウント内のすべてのリソー スを検出し、一貫性のある形式で表示します。 すべてのリソースおよびその設定属性のスナッ プショットにより、アカウント内のリソースの 完全なインベントリーが作成されます。 リソースが作成、アップデート、削除されると AWS Config は設定の変更を Amazon Simple Notification Service (SNS) に通知します。 AWS Config はリソース同士の関連性を表示す るため、1つのリソースに対する変更が他のリ ソースにどう影響するか確認できます。 トラブルシューティング 監査とコンプライアンス AWS Config を使用することで、リソースに対 する最近の変更を特定でき、運用上の問題をす ばやく解決できます。 リソースの設定をいつでも視覚的に確認できる ため、AWS Config は社内のセキュリティポリ シーや各種法令に準拠するために役立ちます。 セキュリティとインシデント分析 AWS Config のデータによってリソースの設定を継続的にモニタリングでき、設定内容をチェッ クすることで潜在的なセキュリティの脆弱性を発見できます。何らかの問題が発生した場合、 AWS Config を使用して過去の任意の時点における設定を調査できます。 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. AWS Config 画面 18 AWS Config Partner - Logstorage AWS Config Partner / AWS Official Blog にて紹介 URL: http://aws.amazon.com/jp/config/partners/logstorage/ Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 19 AWS Config 連携機能 構成 サービス関連図 AWS Config 連携機能 構成 AWS Config 構成変更履歴の取り込み / AWS Config 構成スナップショットレポートの出力を実現 スナップショット S3 bucket AWS Config AWS Config Collector 更新履歴 LogDB SQS リソース構成図 レポート Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 更新履歴 検索・集計 20 AWS Config ログ収集の仕組み(1) AWS Config のイベント通知を利用 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 21 AWS Config ログ収集の仕組み(2) Amazon S3 のイベント通知を利用 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 22 リソース関連図レポート 構成スナップショットレポートサンプル(開発中) スナップショットをわかりやすく図示 一目でAWSの構成が把握可能 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 23 Amazon CloudWatch Logs 連携機能 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 24 Amazon CloudWatch Logs とは Amazon CloudWatch Logs とは EC2インスタンス上のログや、ネットワーク通信ログを収集するサービス。 各EC2インスタンス内に CloudWatch の Log Agent をインストールする事で、Windowsイベント ログやLinux syslog の収集が可能。 また、AWSに於ける仮想的なファイアウォールである、NetworkACL/SecurityGroupの通信ログの 収集も可能(VPC Flow Logs)。 CloudWatch Log Agent EC2 ・Windows イベントログ ・Linuxシスログ ・その他テキストログ AWS CloudWatch Logs Network ACL Security Group CloudWatch Logs Collector 監査レポート LogDB 検索・集計 ・ネットワーク通信ログ (ACCEPT/REJECT) VPC Flow Logs Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 25 VPC Flow Logs レポート例/REJECT REJECTされた通信 の接続元は? どのような通信先/ポートに REJECTされた通信があったか REJECTされた通信 REJECTされた通信のプロトコルは? (1-ICMP / 6-TCP / 17-UDP) ACCEPT/REJECTの比率は? (REJECT通信が異常に多く無いか) Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 26 VPC Flow Logs レポート例/通信量 全体の通信バイト数 (時系列) Network-Interface毎の 通信パケット数 (時系列) Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 全体の通信パケット数 (時系列) Network-Interface毎の 通信バイト数 (時系列) 27 EC2 イベントログ/syslog レポート例 ログの横断検索 不正な権限昇格は無いか システムエラーの監視 不正なアカウントの利用は 無いか (Linux) Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 不正なアカウントの利用は 無いか(Windows) 28 その他の機能 - Billing - Amazon S3 - Elastic Load Balancing - Amazon S3/Glacier へのログアーカイブ Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 29 Billing ログ分析 AWSの利用料金をサービス毎に可視化 AWSのBillingデータを利用し、利用金額の観点から、AWSサ ービスの利用状況を把握する。 ・既に利用していないサービスで料金が発生していないか把 握し不要なサービスを止める。 ・インスタンスタイプ毎の利用コストを把握し、リザーブド インスタンスに変更する。 ・部署/ユーザ単位での利用金額を把握し、適切な費用配賦 を行う。 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 30 S3 / ELB アクセスログ対応 S3上のファイルへのアクセスログ/ELBの通信ログの管理に対応! ELB / S3 ログ収集の仕組み Logstorage for AWS Amazon SQS ③ SQSメッセージを取得 AWS CloudTrail用 Collector Amazon EC2 ② Put 通知 ④ S3オブジェクトを ダウンロード JSON ログ Converter 変換 ログ ① S3に通信ログを保存 アクセス AWS ELB アクセス Amazon S3 ① S3に S3アクセスログ を保存 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. Amazon S3 Bucket LogDB 31 Amazon S3 / Glacier へのログバックアップ 過去ログをS3/Gracierにバックアップ ログ LogDB Amazon S3 1GB/約4円 自動 アーカイブ アーカイブ機能拡張(S3対応) Amazon EBS 1GB/約10円 Amazon Glacier 1GB/約1.3円 運用例 ・LogDB上に1年間保存 ⇒ 1年以上3年未満のログはS3上に保存 ⇒ 3年以上前のログはGlacier上に保存 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. ログ保管ストレージの コストを大幅にカット 32 Logstorage for AWS 導入事例 [事例1] cloudpack(アイレット株式会社)様 [事例2] サイトロック株式会社様 [事例3] データセンター事業者様 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 33 [事例1] cloudpack(アイレット株式会社)様 Logstorage導入目的 社内インフラVPC ・各種セキュリティ認証の取得 (PCI DSS / ISO27001) 東品川データセンター ・SOC2 への取り組み ・上記への対応を通じ、セキュリティ への取り組みについて客観的な評価 に基づく透明性の確保、高度なセキ ュリティ体制の実現 ログ収集対象 認証サーバ Logstorage Customer gateway その他 管理サーバ Direct Connect (専用線接続) ルータ VPN装置 踏み台 サーバ ログ収集対象 ルータ 閉塞網 スイッチ 認証サーバ 東京拠点 踏み台サーバ NATインスタンス セキュリティ端末 ルータ その他、セキュリティ管理サーバ セキュリティ ネットワーク 全顧客の AWS CloudTrail ログ 全顧客の AWS Config ログ Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. Internet セキュリティ端末 Logstorage導入環境 34 [事例1] cloudpack様のコメント ○PCI DSS認証 『無償で提供されるLogstorageのPCI DSSテンプレートに は、テンプレートが対応するPCI DSS要件番号が記載され ており、監査がスムーズに進んだ』 『Logstorageは、PCI DSSで求められるログの暗号化と改 ざん検出に標準機能で対応しており、別の製品と組み合わ せる必要なく対応できた』 【PCI DSSレポートテンプレート(一部)】 『結果、PCI DSS認証取得において、ログに関する指摘事 項は無かった』 ○SOC 2報告書 『Logstorageを利用したログの一元管理はSOC2対応でも 踏襲した。AWSを対象としたフルマネージドサービス事業 で、国内で初めてSOC 2報告書を受領した。』 【S3 Put Eventを利用したCloudTrailログの収集】 ○その他 『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』 『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対 応は助かった。』 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 35 [事例2] サイトロック株式会社様 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 36 [事例3] データセンター事業者様 お客様(DC事業者様)が提供する「包括的システム運用サービス」。 SecureCube AccessCheck + Logstorageを導入する事で、DC事業者様が自社データセンタ ー内で預かるお客様サーバ、及びAWS上のEC2インスタンス等の運用をより安全に、セキュアに行うことで、各種コンプライアンス要求に対応 お客様 データセンター ログデータ連携 LogGate ログ お客様A Manager EC2インスタンス ログ Gateway VPN connection Firewall お客様B Console LogGate ログ Firewall /VPN AccessCheck EC2インスタンス 運用担当者 操作端末 Logstorage + AccessCheck によるハイブリッド環境 でのアクセス管理・ログ管理 ・データセンター内のサーバ、及びAWS上のEC2インスタンスに対するメンテ ナンスは、全てAccessCheck上での申請・承認を経て、AccessCheckのゲー トウェイ経由でアクセスする。 ⇒ 承認が無いアクセスは許可しない 監査担当者 操作端末 ログ ・データセンターのサーバ、ネットワーク機器、AccessCheck、及びAWS上の EC2インスタンスのログをLogstorageに収集・統合管理し、日次で監査。 ⇒ AccessCheckゲートウェイを経由しない、違反アクセスなども監査 お客様サーバ (運用監視対象サーバ) Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. ・データセンター内のログと、AWS上のログを統合管理し、1つのLogstorage コンソールにて透過的にログを監査する。 ⇒ ハイブリッド環境においても、ログの監査を容易に 37 ライセンス Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 38 Logstorage for AWS ライセンス Logstorage for AWS ライセンス内容 製品の内容 製品名称 「Logstorage for AWS」 含まれる機能 Logstorage 本体機能 ・ログ収集、検索、集計、検知、レポート、ユーザ管理 ログ収集・解析モジュール ・AWS CloudTrail, AWS Config, Amazon CloudWatch Logs, Billing, S3(アクセスログ), ELB(アクセスログ)に対応 ログフォーマット・レポートテンプレート ・ログを分析するためのテンプレート クライアントライセンス ・3クライアント分のログ収集ライセンス ライセンス価格 ¥650,000~ ※保守は別途20%(初年度必須) ※連携パックは¥300,000 制限 ログ収集対象は、CloudTrail, CloudWatch Logs, Config, Billing, S3(ア クセスログ), ELB(アクセスログ)など、AWSサービスから出力されるロ グのみ。 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 39 クライアントライセンスの考え方 [1/2] クライアントライセンスの考え方 追加クライアントはログ収集対象のAWSアカウントID、ログ収集対象サービス分の ライセンスが必要になります。基本パッケージに3クライアントまでのライセンスが 含まれています。 例1)AWSアカウント1つ、CloudTrail / Config / CloudWatch Logs からログを収集 AWSアカウントID × CloudTrail Config = 3クライアントライセンス ※基本パッケージのみでOK CloudWatch Logs 例2) AWSアカウント3つ、CloudTrail / Config からログを収集 AWSアカウントID AWSアカウントID × AWSアカウントID Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. CloudTrail Config = 6クライアントライセンス ※基本パッケージ + 3クライアントライセンス 40 クライアントライセンスの考え方 [2/2] クライアントライセンスの考え方 例3)AWSアカウント1つ、CloudTrail / Config / CloudWatch Logs / Billing / S3 / ELB(対応する全サービス)からログを収集 CloudTrail Config AWSアカウントID × CloudWatch Logs Billing = 6クライアントライセンス ※基本パッケージ + 3クライアントライセンス S3 ELB Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 41 お問い合わせ先 その他の参考情報 Logstorage for AWS http://www.logstorage.com/aws/ 試用版のお申込み http://www.logstorage.com/trial/ami_trial.html AWS Test Drive http://www.logstorage.com/trial/testdrive.html Logstorage for AWS に関するお問い合わせ インフォサイエンス株式会社 プロダクト事業部 TEL 03-5427-3503 FAX 03-5427-3889 mail : [email protected] Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 42 ・「Logstorage」は、インフォサイエンス株式会社の登録商標です。 ・「アマゾン ウェブサービス」「Amazon Web Service」「AWS」は、Amazon.com, Inc.またはその関連会社の商標です。 Copyright(C) 2016 Infoscience Corporation. All Rights Reserved. 43
© Copyright 2024 ExpyDoc
![pdf [280KB pdfファイル]](http://s3.expydoc.com/store/data/009536316_1-5277622333edf5c57f211cefed36db6f-250x500.png)