APN AWS Top Engineersが語るAWSの最新セキュリティ

Transcript

1. APN AWS Top Engineersが語る AWSの最新セキュリティ 2022/10/17 ⾅⽥佳祐 1

2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

   APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)

4. 4 セッションの概要 1. Amazon GuardDutyと新機能Malware Protectionの動作 2. Cloud One Workload

   Securityの役割 3. 現実的な対策範囲

5. 5 ちなみに 今回のセッションでは AWSセキュリティの ⼀部しか話しません

6. 6 合わせて読みたい セキュリティ対 策はだいたいこ こに全部ある https://dev.classmethod. jp/articles/aws-security- all-in-one-2021/

7. 7 合わせて読みたい よりAWS全体の セキュリティ管 理で上級者を⽬ 指すならこちら も参照 https://dev.class method.jp/articles /devio-2022-

   how2make- strongest-aws- secure-accounts/

8. 8 1. Amazon GuardDutyと 新機能Malware Protectionの動作

9. 9 Amazon GuardDutyとは • 脅威検知サービス • CloudTrail / VPC Flow

   Logs / DNS Logs等を バックグラウンドで⾃動収集(利⽤者の⼿間なし) • ポチッと有効化するだけ • IAM / EC2 / S3に関するインシデントを検知 • 脅威インテリジェンスと連携 • 機械学習による異常識別

10. 10 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化

    • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • バケット公開 • Torアクセス

11. 11 Amazon GuardDutyの動作 有効化すればGuardDuty が⾃動的に各種ログを バックグラウンドで収集 してくれる(ログ収集の設 定や維持の必要なし) 仕組みの維持管理の⼿間 がかからないマネージド

    サービスであるメリット

12. 12 対応⽅法 GuardDutyのユー ザーガイドに検知 結果毎の対応⽅法 がわかりやすく記 載されている https://docs.aws.amazon.co m/ja_jp/guardduty/latest/u g/guardduty_finding-types-

    active.html

13. 13 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ

    • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る

14. 14 IAMタイプの初動対応例 • IAM Userならアクセスキーを無効化・削除 • IAM Roleならセッションの無効化をポチ • CloudTrailで何をされたか調査

15. 15 EC2タイプの初動対応例 Security Groupを 変更して隔離 (in/out無し) AMIバックアップ 取得 サーバーやストレー ジ調査(できれば、

    プロに任せたほうが いい)

16. 16 合わせて読みたい セキュリティ会社の 実際のEC2調査の例 https://ierae.co.jp/bl og/awsec2-hdd- analytics/

17. 17 S3タイプの初動対応例 パブリックアクセスブロックする

18. 18 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

19. 19 最近のアップデート Malware Protectionのリリース

20. 20 Malware Protection概要 • EC2やコンテナに感染したマルウェアなどを検知す るMalware Protection機能がGuardDutyに実装 • 機能名はMalware Protectionだけど、動作として

    は検知 • マルウェアの動きを直接⽌めない • EBSのスナップショットを取得しこれをスキャンす るため、動作している実環境に影響ない

21. 21 Malware Protection検知例 どのようなタイプのマル ウェアか、ファイルパス、 ファイル名を確認できる 下のファイルは.tar.gzだ が中⾝までちゃんと⾒てく れている

22. 22 Malware Protection動作例 トリガーを検知するとスナップショットを取る

23. 23 合わせて読みたい ついに来たマル ウェアスキャン ガッツリ解説して いるのでどうぞ https://dev.classm ethod.jp/articles/g uardduty-support- malware-

    protection/

24. 24 2. Cloud One Workload Securityの役割

25. 25 Cloud One Workload Security概要 • 略してC1WS • EC2にエージェント を導⼊してOS上保護

    • 昔からDeep SecurityとしてAWS 環境上でも利⽤ • クラウド上に管理マ ネージャー(ユーザー が構築しなくていい)

26. 26 責任共有モデル OSより上はユーザーの責任範囲

27. 27 Workload Securityの保護機能 • 侵⼊防御(IDS/IPS) • 不正プログラム対策(マルウェア対策) • 変更監視 •

    セキュリティログ監視 • アプリケーションコントロール • などなど 様々な保護機能で多層防御 AWSやAWSの機能でカバーできない範囲を保護

28. 28 Workload SecurityのAWS連携 • ⻑い実績があり親和性が⾼い • アーキテクチャの親和性 • ホストに導⼊するためシステムのスケールに合わせてセ キュリティ機能がスケールする(サーバーの⼿前でセキュ

    リティを機能させるとボトルネックとなる) • 機能の親和性 • AutoScalingで増減するEC2を⾃動認識して管理 • 増減に合わせたライセンス体系

29. 29 3.現実的な対策範囲

30. 30 マルウェア対策の⼿法 GuardDutyとC1WSはカバレッジが違うがマルウェア 対策部分で重複するところがある どう使い分ければいいか実際の侵害ケースで考えてみる GuardDuty C1WS マルウェア対策

31. 31 Webアプリケーションが侵害される例 https://success.trendmicro.com/dcx/s/solution/000283514 から引⽤、⼀部改変 インターネットからWebア プリケーションの脆弱性を 利⽤しWeb Shell設置 Web Shellからサーバー内部

    や周辺の調査、権限昇格 バックドアを仕込む バックドア経由でさらなる 永続化や⽔平展開 Adminの認証情報や 重要情報の収集 C&Cサーバーへ情報の送信

32. 32 GuardDutyによる検知 GuardDutyで30分以内に検知 インターネットからWebア プリケーションの脆弱性を 利⽤しWeb Shell設置 Web Shellからサーバー内部 や周辺の調査、権限昇格

    バックドアを仕込む バックドア経由でさらなる 永続化や⽔平展開 Adminの認証情報や 重要情報の収集 C&Cサーバーへ情報の送信

33. 33 GuardDutyによる検知 • C&Cへの通信が開始されてだいたい30分以内には検 知できる • DNSとVPC Flow Logsから、脅威情報と照らし合 わせて特定する

    • ただしブロックはできない • Malware Protectionも利⽤すると、検知後にマル ウェアを特定できる • OS情報など何もない状態からAWS環境全体で検知 が働くのは素晴らしい

34. 34 C1WSでのブロック 脆弱性を突く攻撃をブロック インターネットからWebア プリケーションの脆弱性を 利⽤しWeb Shell設置 Web Shellからサーバー内部 や周辺の調査、権限昇格

    バックドアを仕込む バックドア経由でさらなる 永続化や⽔平展開 Adminの認証情報や 重要情報の収集 C&Cサーバーへ情報の送信

35. 35 C1WSでのブロック • C1WSではGuardDutyとは動作の段階が違う • 最初から攻撃が成⽴しない • マルウェアの通信をブロックでもなく、マルウェア アップロードでもなく、Web Shell設置でもなく、

    脆弱性をつくところから侵⼊防御(IPS)で⽌まる

36. 36 C1WSでの多層防御 ファイル書き込み検知 インターネットからWebア プリケーションの脆弱性を 利⽤しWeb Shell設置 Web Shellからサーバー内部 や周辺の調査、権限昇格

    バックドアを仕込む バックドア経由でさらなる 永続化や⽔平展開 Adminの認証情報や 重要情報の収集 C&Cサーバーへ情報の送信 不正なアプリケーション動作の検知やブロック

37. 37 C1WSでの多層防御 • 万が⼀最初の攻撃が⽌まらなくても各ステップで検 知したり⽌められる • WSが1つのホスト上で多層防御している最⼤の強み • 通信でも⽌められるしプロセスでも⽌められる •

    GuardDutyでは⼿が出せない領域

38. 38 導⼊の検討

39. 39 C1WSの導⼊検討 • じゃあ全部のEC2にC1WS導⼊でいいか︖ • できるならそれがベスト • クラスメソッドでもいつもそう⾔っている • ただ実際にはリスクベースで考える

40. 40 リスクの判断⽅法(⼀例) • 外部から遠ければリスクが下がるため、コストと照 らし合わせてC1WSを導⼊しないことはある • コストもセキュリティで守るべきものの1つ • でもなにもないと気づけない •

    GuardDutyはカバレッジが広く持てるから必ず利⽤ する 機微な情報を扱う︖ (機密性) システム重要度は ⾼い︖(可⽤性) インターネットから 近い︖(攻撃難易度)

41. 41 コストを守る⽅法 • C1WSがAWSと親和性が⾼いのはこの部分も • 年間サブスクリプションではなく従量課⾦で、しか も安く利⽤できるSPPOという仕組みがある • かなりコストエフェクティブなので、全EC2に導⼊ する理想に近づけやすい

42. 42 合わせて読みたい AWS Marketplace でWorkload Security を従量課 ⾦で利⽤する仕組み https://dev.classmethod.jp/articles/trend-micro-cloud-one-sppo/

43. 43 まとめ

44. 44 まとめ • GuardDutyとCloud One Workload Securityは カバレッジが違うのでどちらも活⽤する • AWS全体のセキュリティとしてGuardDuty

    • EC2上はCloud One Workload Security • コストを意識してSPPOを活⽤する

45. 45 結論 Amazon GuardDutyと Cloud One Workload Securityは 引き続き両⽅活⽤すべきです

46. 46