クラウドネイティブにセキュリティを活用する! API を連携して実装する方法 トレンドマイクロ株式会社 セキュリティエキスパート本部 プリセールスSE部 シニアエンジニア 岩瀬 由季 AWSにおけるセキュリティ 責任共有モデル お客様の責任範囲 お客様システム ログ コンテンツ オペレーティングシステム ミドルウェア アプリケーション お客様責任範囲の セキュリティ対策をお手伝い ネットワーク サーバ リージョン ストレージ AWSの責任範囲 データベース アベイラビリティ ゾーン ネットワーク エッジ ロケーション AWS グローバル インフラストラクチャ 2 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 攻撃例とユーザの責任範囲 SQLインジェクション SSL関連攻撃(Poodle等) アプリケーション層 プレゼンテーション層 セッション層 3 SYNフラッド攻撃 トランスポート層 ICMPフラッド攻撃 ネットワーク層 ARPスプーフィング攻撃 データリンク層 サーバルームへの侵入 物理層 Copyright © 2016 Trend Micro Incorporated. All rights reserved. ユーザ 責任範囲 AWS “クラウド基盤の保護” Trend Micro Deep Security サーバに必要なセキュリティ機能をAll in Oneで提供 する、多層防御に対応したホスト型のセキュリティソフト ウェアです。 EC2 セキュリティ機能 多 層 防 御 4 内容 ファイアウォール 攻撃を受ける機会を軽減します。 侵入防御(IDS/IPS) 脆弱性を突いた攻撃からサーバを保護します。 セキュリティログ監視 重要なセキュリティイベントを早期に発見します。 変更監視 ファイルの改ざん等を早期に発見します。 不正プログラム対策 ウイルス等の不正プログラムを検出します。 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 脆弱性を自動で検出!運用が簡単なIDS/IPS セキュリティパッチを適用することなく、サーバの脆弱性を保護する ホスト型のIDS/IPSルールです。 アプリケーション層 オペレーション システム層 ネットワーク層 特徴1:システムへの影響は最小限 OSやアプリケーションのコード変更なし → 迅速に脆弱性からの保護が可能 特徴2:多種類のOS/APPの脆弱性に対応 サーバに存在する脆弱性を自動的に検出し、 対応する最新のルールを自動的に配信 例:Windows/Linux/Apache/OpenSSL/Adobe/PHP 等 → 脆弱性管理工数の大幅削減が可能 5 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Deep Security 侵入防御(IDS/IPS) 攻撃者 EC2のインスタンス CVE-2016-3081 攻撃 ツール 脆弱性攻撃コード 6 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 脆弱性 CVE-2016-4117 脆弱性 必要な仮想パッチを自動適用 仮想パッチによる防御 AWS環境にFITする3つの理由 All-in-One セキュリティ ホスト型 Auto Scaling対応 7 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 5つの機能で多層防御 Deep Security Agent ウイルス対策 IDS/IPS Firewall ログ監視 変更監視 情 報 未遂 多層防御 8 Copyright © 2016 Trend Micro Incorporated. All rights reserved. GW/ホスト型どっちがベスト?- GW型 • スケールアウトを考慮した設計が必要 • 単一障害ポイントとなりうる • 障害への対策のためには・・・ インスタンス増 → 高コスト GW GW IDS/IPS IDS/IPS Web Server Web Servers Availability Zone 9 Copyright © 2016 Trend Micro Incorporated. All rights reserved. APP Server S3 Bucket GW/ホスト型どっちがベスト?- ホスト型 • インスタンス増減の考慮は不要 • 障害時の対応もインスタンス単位 • 必要な時に必要な分のセキュリティ →クラウド向きの考え方 AWSのセキュリティは[ホスト型]! Web Server Web Servers Availability Zone 10 Copyright © 2016 Trend Micro Incorporated. All rights reserved. APP Server S3 Bucket Auto Scaling対応(1) Amazon Management Consoleと連携しインス タンス情報をリアルタイムで共有 セキュリティ対策済み・未対策が一目瞭然 Cloud Connecterで接続 AWS Management Console 2016/6/2 Copyright © 2015 Trend Micro Incorporated. All rights reserved. Deep Security管理マネージャ インスタンス情報が Deep Securityマネージャに 11 同期される Auto Scaling対応(2) 柔軟なリソースにどう対応するのか? • 動的に増えるインスタンスを自動で保護 • 運用管理者が都度を設定する不必要 • 一時的な増加に関してはライセンス無料 ※1 ※1・・・ライセンス有効期間(1年)の中で、累計37日間(888時間)を無償で使用することができる Auto Scaling Web 2016/6/2 自動で保護 Web Copyright © 2015 Trend Micro Incorporated. All rights reserved. Web 12 Deep Security 管理マネージャ AWS環境にFITする3つの理由 All-in-One セキュリティ ホスト型 Auto Scaling対応 13 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 注意:GitHubのツール類はオープンソー スで無償にてご提供しているものです。 トレンドマイクロのサポートセンターに はお問い合わせいただけません。 ツールについて、うまく動作しないなど のお困りごとがあった場合には、直接 GitHubにコメントをしてください。 github.com/deep-security 14 Copyright © 2016 Trend Micro Incorporated. All rights reserved. DevOps Development 開発 15 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Operations 運用 DevOps+Security → DevSecOps Development 開発 16 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Operations 運用 Security Deep SecurityのDevSecOpsツール群 /cloudformation /elastic-beanstalk /chef /ansible 17 Copyright © 2016 Trend Micro Incorporated. All rights reserved. /ip-lists /aws-config-rules /aws-waf /amazon-inspector /deep-security-py Amazon SNS でのイベント通知 AWS CloudFormationとの連携 18 Copyright © 2016 Trend Micro Incorporated. All rights reserved. /cloudformation Deep Security Manager Deep Security Agent Deep Security Agent Public subnet 19 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Public subnet 20 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 21 Copyright © 2016 Trend Micro Incorporated. All rights reserved. /cloudformation Deep Security Manager Deep Security Agent Public subnet 22 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Deep Security Agent スクリプト実行で 簡単インストール Public subnet AWS WAFとの連携 23 Copyright © 2016 Trend Micro Incorporated. All rights reserved. /aws-waf AWS WAFとは? – Webアプリケーションに対するトラフィッ クをフィルタし、AWS上で動作するWebア プリケーションを守るサービス カスタムルールに よるフィルタ 24 SQLインジェクション、 XSSなどのよくある攻撃 への対策 Copyright © 2016 Trend Micro Incorporated. All rights reserved. モニタリング Deep SecurityとAWS WAF 監視対象レイヤー AWS WAF Deep Security カバー範囲 AWS カバー範囲 25 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 対策場所 AWS WAF AWS WAF Deep Security CloudFront Edge Location EC2 EC2 /aws-waf AWS WAFとは? – Webアプリケーションに対するトラフィッ クをフィルタし、AWS上で動作するWebア プリケーションを守るサービス カスタムルールに よるフィルタ 26 SQLインジェクション、 XSSなどのよくある攻撃 への対策 Copyright © 2016 Trend Micro Incorporated. All rights reserved. モニタリング deep-security/aws-waf ②AWS WAF の SQL Injection/XSS用 ルールの作成&適用 AWS WAF SQLインジェク ション用ルール Deep Security as a Service client Amazon CloudFront Elastic Load Balancing Deep Securityで 保護された instance AWS WAFにSQLインジェクション・XSSのルールを 作成し、自動的な保護を提供 27 Copyright © 2016 Trend Micro Incorporated. All rights reserved. DEMO 28 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Amazon Inspectorとの連携 29 Copyright © 2016 Trend Micro Incorporated. All rights reserved. /amazon-inspector Amazon Inspectorとは? – アプリケーションのセキュリティ診断ツール – ビルトインのルールパッケージを選択可能 • • • • Common Vulnerabilities & Exposures Center for Internet Security – Secure Configration Benchmarks Security Best Practices Runtime Behavior Analysis 診断後の対策は? 30 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Deep Securityにお任せ! /amazon-inspector Amazon Inspector ③攻撃を ブロック アセスメント結果 Deep Securityで 保護された instance CVE-2015-7499 CVE-2014-8176 CVE-2014-9140 CVE-2015-5312 CVE-2015-8242 Deep Security as a Service ②脆弱性に対応する仮想パッチ(IPSルール)を適用 31 Amazon Inspectorのアセスメント結果に応じて、 仮想パッチを自動適用 Copyright © 2016 Trend Micro Incorporated. All rights reserved. まとめ 32 Copyright © 2016 Trend Micro Incorporated. All rights reserved. まとめ 多層防御 ホスト型 柔軟な構成・課金 責任共有モデル クラウドのセキュリティ 33 Copyright © 2016 Trend Micro Incorporated. All rights reserved. DevSecOps 導入 自動化 運用 参考:Deep Securityのライセンス • 機能毎に買える柔軟なライセンス 課金単位 インスタンス数 ライセンス名称 初年度 全機能 (Deep Security Agent Enterprise) IPS/IDS, FW (Deep Security Agent Virtual Patch) 変更監視、ログ監視 (Deep Security Agent System Security) ウイルス対策のみ (Deep Security Agent ウイルス対策) EC2 34 ・・・ EC2 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 次年度以降 ¥213,000 ¥106,500 ¥125,000 ¥62,500 ¥107,000 ¥53,500 ¥98,000 ¥49,000 全機能使っても、月々¥12,000/ サーバ IPS/IDSだけなら、月々¥7,000/サーバ ※3年間お使いいただいた場合で算出しています。 今すぐ!Deep Securityをお試しする方法 Deep Security as a Service 管理サーバ不要のSaaSサービス 30日間無料トライアル中! トレンドマイクロのデータセンター Elastic Load Balancing Web APP 35 まずは無料の 毎月実施 ハンズオンに参加! 日 程 :2016年6月14日(火) 時 間 :14:00~17:30 Web APP Deep Security Agent Deep Security on AWS 無償ハンズオントレーニング Deep Security Agent 監視・管理 DSaaS Deep Security as a Service (DSaaS) 検索 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 定 員 :40名 7月以降の開催日程はこちらの Webサイトでご確認ください http://www.go-tm.jp/dshol ブースにぜひお立ち寄りください! ①トレンドマイクロの セッション会場はこちら ②会場を出て左手 の展示会場へ 36 Copyright 2015 Trend Micro Inc. 展示会場 ③トレンドマイクロの ブースは展示会場 入ってすぐ!! ご清聴ありがとうございました 注意:GitHubのツール類はオープンソー スで無償にてご提供しているものです。 トレンドマイクロのサポートセンターに はお問い合わせいただけません。 ツールについて、うまく動作しないなど のお困りごとがあった場合には、直接 GitHubにコメントをしてください。 Appendix 38 Copyright © 2016 Trend Micro Incorporated. All rights reserved. /aws-config-rules • AWS Config Rulesとは? – 予め設定した“準拠すべきルール”に沿った 構成変更が行われているかを評価するサービス すべてのEBSボリュームが暗号化されているか? EC2インスタンスが適切にタグ付けされているか? 等 AWS Managed Rules Customer Managed Rules AWSにより定義・提供される ベーシックなルール 自分でAWS Lambdaをベースに ルール作成可能 39 Copyright © 2016 Trend Micro Incorporated. All rights reserved. /aws-config-rules トレンドマイクロがGitHubで提供するカスタムルール すべてのEC2インスタンスで 不正プログラム対策を有効にしていること すべてのEC2インスタンスに セキュリティ対策製品が導入されていること すべてのEC2インスタンスで決められた セキュリティポリシー設定が反映されていること EC2インスタンスに導入されたセキュリティ対策製品 でアラートが発令されていないこと 40 Copyright © 2016 Trend Micro Incorporated. All rights reserved. /aws-config-rules Config Rulesを利用して、DSを利用しセキュリティを担保するポリシーを強制 41 企業がAWSの利用を社内展開する際の、 コンプライアンス順守を支援することが可能 Copyright © 2016 Trend Micro Incorporated. All rights reserved. Amazon SNSでのイベント通知 Deep Securityで検出したセキュリティイベントをSNS Topicとして通知 42 Amazon SNSと連携することで、 json形式でのイベントアウトプットが可能 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
© Copyright 2024 ExpyDoc
