Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
CNAPPから考えるAWSのセキュリティサービス
Search
Jowoon Jang
July 29, 2024
1k
1
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
CNAPPから考えるAWSのセキュリティサービス
Jowoon Jang
July 29, 2024
Featured
See All Featured
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
apolaine
1
350
Lightning talk: Run Django tests with GitHub Actions
sabderemane
0
200
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
signer
PRO
0
3.6k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
35
3.5k
The Cult of Friendly URLs
andyhume
79
6.9k
Mobile First: as difficult as doing things right
swwweet
225
10k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
ryanjones
0
160
A designer walks into a library…
pauljervisheath
211
24k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
62k
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
390
Optimising Largest Contentful Paint
csswizardry
37
3.7k
Thoughts on Productivity
jonyablonski
76
5.2k
Transcript
CNAPPから考える AWSのセキュリティサービス TIS株式会社 張 造運
自己紹介 2 張 造運(じゃん ぞうん) # 2024 Japan AWS Jr.
Champions # 2024 Japan AWS All Certifications Engineers # Tenable Guardian 業務: • Tenable製品の提案、構築、運用支援 • ADセキュリティの改善支援 • CNAPP製品の提案 その他: JAWS初登壇です!
(いきなり余談)Japan AWS Jr. Championsって? 3 ➢社会人歴 1 ~ 3 年目を対象としてプログラム
➢今後は Japan AWS Top Engineers そして Japan AWS Ambassadors になることが期待される。 注目度やばすぎ!!(名前負けしないように頑張ります!)
CNAPPって? ➢2021年にGartnerが提唱した用語。 ➢クラウドセキュリティに必要な機能が統合されたプラットフォームのこと。 4 ガートナーの「クラウド・セキュリティのハイプ・サイクル:2021年」に登場した4つの必須テクノロジ (gartner.co.jp)
CNAPPの構成イメージ • CNAPP自体はプラットフォーム(機能の名称ではない)。 • CSPM、CWPP、CIEMなど、様々なクラウドセキュリティ機能が含まれている。 • 含まれる機能は製品によってまちまち。(今まで検証した製品は、すべてCSPM、 CWPP、CIEM、DSPM、脅威検知の機能が含まれていた) 5 CNAPP
CSPM CWPP CIEM DSPM 脅威検知
各機能の概要 • 各機能の概要は下記の通り。 6 カテゴリ 主要機能 CSPM ➢ クラウド特有の設定不備を検出する機能 クラウドの設定不備検出
IaCの設定不備検出 CWPP ➢ ワークロード(EC2/コンテナ等)の脆弱性検出や保護する機能 仮想マシンの脆弱性検出 コンテナイメージの脆弱性検出 ワークロードの保護(脅威検出と防御) CIEM ➢ IAMに特化した設定不備を検出する機能 外部アクセスの特定 過剰権限の特定 最小権限ポリシーの生成 DSPM ➢ データ(S3、DB等)に特化した設定不備を検出する機能 機密情報の検出 認証情報の検出 脅威検知 ➢ 脅威を検出する機能 脅威検知 マルウェア検知
7 ほとんどAWSのサービスで カバーできそうじゃないですか?
対応するAWSサービス 8 カテゴリ 主要機能 対応するAWSサービス CSPM クラウドの設定不備検出 AWS Security Hub
IaCの設定不備検出 Amazon CodeGuru Security CWPP 仮想マシンの脆弱性検出 Amazon Inspector コンテナイメージの脆弱性検出 Amazon ECR ワークロードの保護(脅威検出と防御) △ Amazon GuardDuty(検知まで) CIEM 外部アクセスの特定 AWS IAM(IAM Access Analyzer) 過剰権限の特定 AWS IAM(IAM Access Analyzer) 最小権限ポリシーの生成 AWS IAM(IAM Access Analyzer) DSPM 機密情報の検出 Amazon Macie 認証情報の検出 Amazon Macie 脅威検知 脅威検知 Amazon GuardDuty マルウェア検知 Amazon GuardDuty ➢ 最低限これらのサービスがしっかり運用できれば、そこそこのセキュリティが担保できる ➢ (もちろん、これだけですべては網羅できない)
ユースケースの違い 9 AWSサービスだけ利用する場合 CNAPPを利用する場合 • AWSだけでインフラを構築している場合 • 従量課金で低コストに利用したい場合 • AWSサービスの知見がある場合(設定、運用に高
度な知識が必要) • セキュリティ機能を段階的に適用していきたい場合 • 他社のクラウドサービスをまとめて管理したい場合 • コスト予測をしたい場合 • AWSサービスの知見が少ない場合 • AWSで対応していないコンプライアンス基準のチェッ ク(PCI DSSv4など)をしたい場合
運用におけるポイント① • 可能な限り、情報は集約する。 10 AWS Security Hub (リージョンC) AWS Security
Hub (リージョンB) AWS Security Hub (リージョンA) Amazon GuardDuty Amazon Inspector Amazon Macie IAM Access Analyzer Security Hubに統合 クロスリージョン集約 サードパーティーツールへの統合 セキュリティ ツールA セキュリティ ツールB セキュリティ ツールC
運用におけるポイント② • 負荷軽減の工夫をする。 11 • 適切な優先度付け ➢ 対処が必要なものだけにアラートを制限する(どのSeverityまで対応するか) ➢ 対処しなくていいものは対処しない(Security
Hubのコントロール無効化) • 自動化の利用 ➢ Security Hubの自動修復ソリューション(*1)を活用する ➢ EventBridgeとLambdaを組み合わせて、カスタムアクションを実装する • 設定自体を制限 ➢ 組織的に禁止したい設定はSCPで制限する ➢ Service Catalogで、セキュアな環境だけを利用させる (*1)AWS での自動化されたセキュリティ対応 | AWS ソリューション | AWS ソリューションライブラリ (amazon.com)
最後に • セキュリティにしっかり投資をして、安全にAWSを利用しましょう。 • 自社の要件に応じて、AWSのセキュリティサービス、サードパーティーツールを使い 分けましょう。 • 利用するだけで満足せずに、運用を回しましょう。 12
ご清聴ありがとうございました
apolaine
sabderemane
signer
rmw
andyhume
swwweet
ryanjones
pauljervisheath
lemiorhan
katarinadahlin
csswizardry
jonyablonski
