Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

Practical-AWS-Security-measures-you-can-impleme...

h-ashisan
August 16, 2024

 Practical-AWS-Security-measures-you-can-implement-now

h-ashisan

August 16, 2024
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. 2 自己紹介 芦沢 広昭 (ASHIZAWA Hiroaki) ❖ 所属 クラスメソッド株式会社 AWS事業本部

    コンサルティング部 / ソリューションアーキテクト ❖ 担当業務 ・AWS設計構築 / コンサルティング ・プリセールス ❖ その他 ・技術コミュニティ運営 (Hibiya Tech) ・2023〜2024 Japan AWS All Certifications Engineers ・2024 Japan AWS Top Engineers (Security)
  2. 10 情報セキュリティ対策の基本 ソフトウェアの脆弱性 ソフトウェアの更新   : 脆弱性を解消し攻撃によるリスクを低減する ウイルス感染 セキュリティソフトの利用: 攻撃をブロックする パスワード窃取 パスワード管理

    / 認証強化: パスワード窃取によるリスクを低減する 設定不備 設定の見直し      : 誤った設定を攻撃に利用されないようにする 誘導(罠に嵌める) 脅威・手口を知る    : 手口から重要視すべき対策を理解する ➢ 多数の脅威はあるが「攻撃の糸口」は似通っている ➢ 基本的な対策は 長年変わらず 、基本を意識することが重要 攻撃の糸口 情報セキュリティ対策の基本:目的 参考: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P6
  3. 11 情報セキュリティ対策の基本 +α インシデント全般 責任範囲の明確化 (理解):インシデント発生時に誰(どの組織)が対応する責任       があるのかを明確化(理解)する クラウドの停止 代替案の準備: 業務が停止しないように代替策を準備する

    クラウドの仕様変更 設定の見直し: 仕様変更により意図せず変更された設定を適切な設定に直す        (設定不備による情報漏洩や攻撃への悪用を防止する) 備える対象 情報セキュリティ対策の基本 +α:目的 引用: IPA - 情報セキュリティ10大脅威 2024 簡易説明資料 [組織編] P7 ➢ クラウドサービス利用を想定した +αの対策を行い備える必要がある
  4. 20 レイヤー別に分ける AWSセキュリティ 大きく2つのレイヤーに分けて考えると... • AWSレイヤーのセキュリティ ◦ IAM、S3、EC2などのAWSリソース • OS

    / アプリケーションレイヤー のセキュリティ ◦ ネットワーク、OS、ミドルウェア、アプリケーション、コンテナなど 引用: 「コンテナもサーバーレスも、 AWSの各レイヤーの最新セキュリティ」というタイトルで登壇しました | DevelopersIO
  5. 31 Amazon GuardDutyの運用方法 1. アラート通知時の対応フローをあらかじめ決めておく →誰が対応するのか、初動調査の手順の整備、など ※参考:[2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える 2. EventBridge

    + SNSを作成してアラートを任意のツールへ通知させる ※参考:GuardDutyの検出結果通知をCloudFormationで設定してみた ※参考:Amazon GuardDutyの通知をカスタマイズしてSlackに通知してみた 3. GuardDutyサンプルイベントを発行して対応フローを試してみる ※参考:Amazon GuardDutyで1つのサンプルイベントのみ発生させる方法 4. 日々の運用の中で対応フローをメンテ・改善していく
  6. 33 参考:インシデント自動調査機能のご紹介 引用: インシデント自動調査 | AWS総合支援 | クラスメソッド株式会社 GuardDutyの運用をサポートするサービスです •

    Amazon GuardDutyの検出結果を自動で調査、概要の可視化、 判断に役立つレコメンドを合わせて日本語で通知します • 「クラスメソッドメンバーズプレミアムサービス」の加入特典(有償)
  7. • AWSリソースの設定値を自動でチェック、セキュリティ観点で 誤った設定となっていないか確認できる (= Cloud Security Posture Management, CSPM) •

    チェック結果はマネジメントコンソールから一覧で確認でき、 全体の結果に基づいてセキュリティスコアが表示される • 従量課金 & 30日間の無料期間(初回有効化時のみ)がある 36 AWS Security Hubとは
  8. 38 AWS Security Hubの運用方法 1. コントロールID毎に重要度などを基準に優先度・対応方針を決める 例) 重要度Critical/High優先、重要度Lowはやらない、IAM.8は無効化 ※参考:[Security Hub]

    ワークフローステータス「抑制済み」を使ってセキュリティチェックのリソース例外を 登録する 2. 方針に基づいてコントロールを整理する(抑制・無効化) 3. 違反している AWSリソースの修正対応を進める  →できればスコア100%を目指す 4. 定期的なSecurity Hubチェック結果の棚卸しを行う
  9. 39 参考:Classmethod Cloud Guidebookのご紹介 引用: クラスメソッドメンバーズのお客様向けに公開している「 Classmethod Cloud Guidebook (CCG)」の使い方

    | DevelopersIO • 「クラスメソッドメンバーズ」のお客様向けに無償公開している AWS活用のノウハウが詰まったナレッジ集 • AWS Security Hubガイドでは、AWS Security Hubの各検知項目の解 説、無効化/抑制する場合の判断基準がまとめられています
  10. Amazon GuardDuty OS/アプリ・コンテナ等の脅 威検知を実装できる 例) Amazon EC2からの コインマイニング通信 を検知 Amazon

    EC2上の OSのマルウェア感染 を検知 Amazon ECSのコンテナランタイ ムの異常な振る舞い を検知 41 OS / アプリレイヤーの対策サービス AWS WAF Web通信を監視 /ブロックで きるAWSマネージドなWAFを 実装できる 例) SQLインジェクション、XSSなど脆 弱性を悪用した攻撃 や、 不正なBotによるアクセス を 遮断する Amazon Inspector Amazon EC2やコンテナ、 AWS Lambda上の脆弱性ス キャンができる 例) Amazon EC2にインストールされ たパッケージの脆弱性 を検知 AWS Lambda関数のコード内に 含まれる脆弱性 を検知
  11. 58 まとめ • AWSのセキュリティをレイヤー別 に考えてみよう ◦ OS / アプリケーションレイヤー、AWSレイヤー •

    まずは費用対効果の高いAWSレイヤーのセキュリティから 始め ることをお勧めします ◦ Amazon GuardDuty、AWS Security Hubを全リージョン有効化 ◦ 通知設定を忘れずに、できれば運用フロー作成まで • より広範囲のセキュリティ対策を可視化したい場合は AWSセキュリティ成熟度モデル を活用したい
  12. 59