Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20240213 Trend Micro社共催Webinar
Search
Sunny Cloud
February 12, 2024
Technology
0
58
20240213 Trend Micro社共催Webinar
2024年2月13日開催【オンラインセミナー】<EC2・コンテナ環境にも対応>AWS環境をセキュリティ脅威から守る具体策とは
Sunny Cloud
February 12, 2024
Tweet
Share
More Decks by Sunny Cloud
See All by Sunny Cloud
ここまでできるAWSコスト削減
kanakokodera
1
38
#41 JAWS-UG主催 週刊AWSキャッチアップ (2024/7/15週)
kanakokodera
0
42
#41 JAWS-UG主催 週刊AWSキャッチアップ (2024/7/15週):[週刊生成AI with AWS – 2024/7/15週
kanakokodera
0
49
2024年7月16日開催【オンラインイベント】セキュリティリスクの把握・評価・軽減からみるAWSセキュリティの具体策
kanakokodera
0
74
JAWS-UG福岡 #18: JAWS-UGクラウド女子会共催スペシャル【ハイブリッド開催】
kanakokodera
0
36
週刊AWSキャッチアップ(2024年6月24日週)
kanakokodera
0
62
女性でエンジニア以外も楽しめる支部活動を
kanakokodera
2
190
webinar20240529.pdf
kanakokodera
0
27
週刊AWSキャッチアップ~週刊生成AI with AWS – 2024/5/13週~
kanakokodera
0
120
Other Decks in Technology
See All in Technology
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
560
社内イベント管理システムを1週間でAKSからACAに移行した話し
shingo_kawahara
0
190
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
230
私なりのAIのご紹介 [2024年版]
qt_luigi
1
120
APIとはなにか
mikanichinose
0
100
生成AIをより賢く エンジニアのための RAG入門 - Oracle AI Jam Session #20
kutsushitaneko
4
260
AWS re:Invent 2024で発表された コードを書く開発者向け機能について
maruto
0
200
開発生産性向上! 育成を「改善」と捉えるエンジニア育成戦略
shoota
2
400
サイバー攻撃を想定したセキュリティガイドライン 策定とASM及びCNAPPの活用方法
syoshie
3
1.3k
LINEヤフーのフロントエンド組織・体制の紹介【24年12月】
lycorp_recruit_jp
0
530
ずっと昔に Star をつけたはずの思い出せない GitHub リポジトリを見つけたい!
rokuosan
0
150
Turing × atmaCup #18 - 1st Place Solution
hakubishin3
0
490
Featured
See All Featured
Making Projects Easy
brettharned
116
5.9k
Optimising Largest Contentful Paint
csswizardry
33
3k
How to train your dragon (web standard)
notwaldorf
88
5.7k
Into the Great Unknown - MozCon
thekraken
33
1.5k
The Invisible Side of Design
smashingmag
298
50k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
GitHub's CSS Performance
jonrohan
1030
460k
Automating Front-end Workflow
addyosmani
1366
200k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
Raft: Consensus for Rubyists
vanstee
137
6.7k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Transcript
Copyright © IDS Corporation. All rights reserved. 1 Confidential 1
Copyright © IDS Corporation. All rights reserved. 2 Confidential 最新のセキュリティ脅威から守る
~EC2、コンテナ環境にも対応する Cloud Oneのセキュリティ運用~ 株式会社アイディーエス
Copyright © IDS Corporation. All rights reserved. 3 Confidential 3
株式会社アイディーエスが提供するAWSクラウド導入支援サービス 「Sunny Cloud」は世界トップレベルのクラウド導入・設計・運用ノウハウと 実績が評価され、AWSから認定を取得しています。 6つの専門領域認定 APN(AWS Partner Network)のコンピテンシー制度、サービスデリバリープログラムは、 APNパートナーに対し、AWS全般に豊富な実践経験とお客様導入事例を持つこと、その分野における技 術的要求に対応できる体制があることをAWSが認定するものです。 Sunny Cloudは、Solution Providerプログラム、パブリックセクターパートナープログラム、Well- Architectedパートナープログラム、Digital Workplace Servicesプログラム、Amazon QuickSight、 Amazon Redshiftのサービスデリバリープログラムの認定を受けています。
Copyright © IDS Corporation. All rights reserved. 4 Confidential 4
自己紹介 株式会社アイディーエス 小寺 加奈子(こでら かなこ) 【仕事】 AWSアライアンスリード 【ミッション】 AWSのビジネスグロース 【好きなAWSサービス】 Cost Explorer
Copyright © IDS Corporation. All rights reserved. 5 Confidential EC2の脆弱性
Copyright © IDS Corporation. All rights reserved. 6 Confidential 6
古いOSをお使いではないですか? Windows Server 2008 R2 Windows Server 2012 R2 Windows Server 2012/2012 R2 は2023年10月に 延長サポートが終了済みです! ※他Windows以外でもCentOS7が2024年6月に サポート終了が予定されています。 EC2の脆弱性について
Copyright © IDS Corporation. All rights reserved. 7 Confidential 7
サイバー攻撃の標的となる可能性が高まる →パッチの提供がなくなる トラブルに対して自社で解決する必要がある →問い合わせ先がなくなる EOL(サポート切れ)のOSをお使いいただくリスク
Copyright © IDS Corporation. All rights reserved. 8 Confidential EOLの対応を守っていれば大丈夫?
AWSを使うには責任共有モデルという考え方に基づく クラウド内のセキュリティを守るのはお客様自身の責任範囲
Copyright © IDS Corporation. All rights reserved. 9 Confidential 9
Amazon Inspectorとは AWSのEC2 インスタンスにおいて、ソフトウェアの脆弱性 や意図しないネットワークの外部流出がないか継続的に診断 を行う EC2で活用いただけるセキュリティサービスInspector Amazon Inspector Inspectorの特長 ・自動検出と継続的なリアルタイムスキャンができる ・SSMエージェントの利用 ・リスクスコアが可視化
Copyright © IDS Corporation. All rights reserved. 10 Confidential 10
スキャン結果から「パッケージ」「緊急度」が分かる EC2で活用いただけるセキュリティサービスInspector
Copyright © IDS Corporation. All rights reserved. 11 Confidential 11
SecurityHubと組み合わせてCVE情報を送付できる EC2で活用いただけるセキュリティサービスInspector Security HubはAWSのサービスで検知された優先度の高いセ キュリティアラートやコンプライアンスにおける状態を、1つ の集約された管理画面でわかりやすく提示 AWS Security Hub
Copyright © IDS Corporation. All rights reserved. 12 Confidential 12
脆弱性情報が確認できたら、パッチ適用しよう Systems Manager Patch ManagerでEC2に パッチを自動適用 EC2で活用いただけるセキュリティサービスInspector
Copyright © IDS Corporation. All rights reserved. 13 Confidential コンテナECS・Fargate
の脆弱性対応
Copyright © IDS Corporation. All rights reserved. 14 Confidential 14
コンテナ移行を検討または既に移行されている方向けです。 コンテナFargateなどへ移行されたがセキュリティが組 織内で十分に議論されていますか? サーバレスアーキテクチャに対する明確な セキュリティガイドラインはありますか? 専用の責任共有モデルについて理解されていますか?
Copyright © IDS Corporation. All rights reserved. 15 Confidential 15
責任共有モデル Amazon ECS on EC2 https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/bestpracticesguide/security-shared.html より引用
Copyright © IDS Corporation. All rights reserved. 16 Confidential 16
責任共有モデル Amazon ECS on Fargate https://docs.aws.amazon.com/ja_jp/AmazonECS/latest/bestpracticesguide/security-shared.html より引用 ECS on EC2と比較してもより、Fargateの方がより多くの セキュリティの責任を負い利用者側の対策が必要
Copyright © IDS Corporation. All rights reserved. 17 Confidential 17
コンテナ環境の用語を復習 サービス名 特長 AWS App2Container Java および .NET アプリケーショ ンをコンテナへ変換できる Amazon Elastic Container Registry (Amazon ECR) ・可用性が高く安全なプライベート コンテナリポジトリ ・Docker コンテナイメージの保存 と管理ができる Amazon Elastic Container Service (Amazon ECS) Docker コンテナを実行するため の高度にスケーラブルで高性能なコ ンテナオーケストレーションサービ ス AWS Fargate Fargate は各ワークロードを独立し た仮想環境で実行
Copyright © IDS Corporation. All rights reserved. 18 Confidential 18
では何を元に対策を行えばよいのか? NIST SP800-190 (Application Container Security Guide) に従い、対策を進めてみる ガイドに書かれている概要は以下の通り 1.コンテナ技術の概要/アーキテクチャ 2.コンテナ技術のコアコンポーネントにおける主なリスク 3.主なリスクへの対策 4.コンテナ脅威の例 【引用元】日本語版 https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/000085279.pdf 【引用元】英語版 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-190.pdf
Copyright © IDS Corporation. All rights reserved. 19 Confidential 19
NIST SP800-190とは 民間企業が対象となっている 【引用元】TrendMicro社提供資料
Copyright © IDS Corporation. All rights reserved. 20 Confidential 20
リスクと対応策 リスク 対応策 コンテナイメージ イメージの脆弱性 イメージの設定不備 マルウェアの埋め込み イメージスキャンを行う コンテナレジストリ (ECR) レジストリのセキュアではないアクセス レジストリ内の古いイメージ 認証・認可の不十分 Amazon ECRを利用すること でレジストリへは暗号化通信と なり、IAMロールベースでの制 御ができる コンテナオーケスト レータ 制限されていない管理者アクセス 不正アクセス オーケストレータノードの設定不備 AWS EKSやAWS ECSの利用 で対応可能 コンテナ ランタイムソフトウェア内の脆弱性 アプリケーションの脆弱性 承認されていないコンテナの稼働 AWS Fargate(AWS EKS、 AWS ECS)で対応可能。 アプリの脆弱性はサードパー ティー製品を検討 ホストOS ホストOSの脆弱性 不適切なユーザアクセス ホストOSファイルシステムの改ざん EC2に対する脆弱性対策と同様 ※Fargateを利用すれば対応不 要
Copyright © IDS Corporation. All rights reserved. 21 Confidential 21
コンテナ向けの対策 はじめの一歩 Amazon GuardDutyで包括的にガードを行う。 コンテナイメージに含まれる脆弱性監視 オーケストレータに対する不正な操作に対する監視 コンテナに関わる不正通信の監視 Amazon GuardDuty
Copyright © IDS Corporation. All rights reserved. 22 Confidential 22
Amazon ECR に格納されたコンテナイメージに対応 Amazon Inspector コンテナイメージに対しての直接スキャンと何が異なるの? Inspectorスキャン ECR のスキャン機能 スキャンエンジン AWS が開発した脆弱性管理サービス OSSでの提供 パッケージ OSとプログラミング言語 (Python、 Java、および Ruby など) パッケー ジの両方対応 OSのみ スキャン頻度 継続的なスキャンあり プッシュ時のみ 脆弱性スコア NVDとベンダーの両方から、 Inspector スコアと共通脆弱性評価シ ステム (CVSS) v2 および v3 スコア CVSSのv2のみ AWS サービスの統合 AWS Security Hub、AWS Organizations、AWS EventBridge 統合はなし コンテナイメージの脆弱性対策としてはInspectorを用いる!
Copyright © IDS Corporation. All rights reserved. 23 Confidential 23
Inspectorでのスキャン実施をするなら re:Invent 2023 で Amazon Inspector が CI/CD 内で実行可能に 【引用元】 https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-inspector-image-security-developer-tools/ CI/CDツール内でコンテナイメージのソフトウェア脆弱性を評価できるた め、ソフトウェア開発ライフサイクルの早い段階でセキュリティを強化
Copyright © IDS Corporation. All rights reserved. 24 Confidential 24
AWSの機能のみでは対応できない場合は? 「Trend Vision One – Container Security」が ご利用いただけます。 トレンドマイクロ社の提供している 「Trend Micro Cloud One – Container Security」の後継です。 Amazon Elastic Container Service (Amazon ECS)と AWS Fargateの組み合わせにも対応可
Copyright © IDS Corporation. All rights reserved. 25 Confidential セキュリティ強化サービス
ご紹介 Cloud One Workload Security Trend Vision One – Container Security
Copyright © IDS Corporation. All rights reserved. 26 Confidential 26
Trend Micro Cloud One Workload Securityの必要性について クラウドセキュリティは 責任共有モデル に基づく データ暗号化 通信の保護 アプリケーション オペレーティングシステム・ネットワーク データ・コンテンツ類 Foundation Services Compute Storage Database Networking Global Infrastructure Regions Domains, Availability Zones サービスのインフラ部分 コンピューティング ストレージ データベース ネットワーク グローバル インフラ リージョン ドメインなど Cloud Provider 利用者の責任
Copyright © IDS Corporation. All rights reserved. 27 Confidential 27
Amazon EC2 インスタンスの脆弱性診断を 実施しリスクを可視化 してくれるサービス。 ウェブアプリケーション ファイヤーウォール。 SQL インジェクションやクロスサイト スクリプティングなどの一般的な攻撃 パターンをブロックするセキュリティ ルールを作成できる、 もしくはManaged Serviceでルールを 契約できる。 AWS CloudTrail、 VPC フローログ、 DNSログを主なソースとし、 悪意のあるアクティビティを 脅威検出するサービス。 脆弱性対策に活用できるAWSサービスとその特徴
Copyright © IDS Corporation. All rights reserved. 28 Confidential 28
診断サービスのため 通信の遮断は 行わない。 WAFのため、 OS/ミドルウェアを 狙う攻撃や、 すり抜けてホストに到達したものは 監視できない 検出ソースに 通信のデータ部分は 含まないので、 脆弱性を狙う 攻撃コードなどは 検知できない。 “防御”という観点で注意が必要なポイント Cloud One Workload Securityにて解決 ・パッチが適用できない期間の セキュリティリスク ・OS/ミドルウェアの脆弱性 すり抜け時のセキュリティリスク ・脆弱性を狙う攻撃からの防御
Copyright © IDS Corporation. All rights reserved. 29 Confidential 29
クラウドワークロードセキュリティ市場シェア 4年連続No.1※ トレンドマイクロは、IDC の調査でクラウドワークロード セキュリティ市場において、2位のベンダーと比較して 3倍近い市場シェアを保持し、最も高いシェア※を占めています。 ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2021 Prepare for a Wild Ride (Published July 2022) Worldwide Cloud Workload Security Market Shares, 2021: Prepare for a Wild Ride(Published July 2022) 「Trend Micro Cloud One は、ソースコードリポジトリ、 コンテナイメージ、サーバレス、ファイルストレージ、ワークロードな ど多岐にまたがる、Software-Defined Compute環境上に構築された ワークロードとアプリケーションを保護するプラットフォームです。」 (本レポートより)
Copyright © IDS Corporation. All rights reserved. 30 Confidential 30
SaaSのため導入が容易 管理サーバ/DB等 用意不要 サーバに必要とされる7つの機能を 1つの製品で実現 Trend Micro Cloud One Workload Securityの特徴
Copyright © IDS Corporation. All rights reserved. 31 Confidential 31
Trend Vision One – Container Securityのイメージ
Copyright © IDS Corporation. All rights reserved. 32 Confidential 32
構成イメージ例( Kubernetes・Amazon EKS on EC2 環境) )
Copyright © IDS Corporation. All rights reserved. 33 Confidential 33
構成イメージ例(Amazon EKS on Fargate 環境) ユーザ Pus h 任意のエンドポイント、 またはCI/CD上のサーバ等 CLIツー ル イメージの取得&スキャン EKS Cluster (Production Cluster ) Fargate ランタイム 脆弱性検索 Pod EKS Cluster (Dev Cluster) Fargate ランタイム 脆弱性検索 Pod イメージ取得&デプロイ Container Security Service スキャン実行&結果 取得 スキャン結果送付 デプロイ制 御 Pod デプロイ制 御 Pod Artifact Scanning as a Service コンテナ イメージ スキャン 検索結果 検索に必要な SBOM送付 ランタ イム 監視 Sidecar Sidecar
Copyright © IDS Corporation. All rights reserved. 34 Confidential 34
Trend Vision One – Container Securityでできること ・コンテナイメージスキャン コンテナイメージ内に存在する脆弱性の検出 ・デプロイ制御 イメージに紐づく情報を基にデプロイを制御 スキャン結果の情報に基づきデプロイを制御 ・コンテナランタイム監視(ランタイムセキュリティ) 稼働中のコンテナ内部の挙動から典型的な攻撃パターンをルールベースで 検出し、削除/隔離を実施 ・ランタイム環境の脆弱性検索 コンテナ稼働環境に存在する脆弱性を検索
Copyright © IDS Corporation. All rights reserved. 35 Confidential 35
Cloud One Workload Security/Vision One – Container Security 運用代行のプランについて ・初期構築 お客様のクラウド環境における Cloud One – Workload Security の 構築を行ないます。 また、侵入検知/変更監視/セキュリティログ監視のためのルール設定(IDS標準)を 行います。 ・運用保守 Cloud One – Workload Security のアラート監視を24時間365日リモートで行ない、 アラートが確認された場合、お客さま指定の連絡先にお伝えします。 加えて、ログを分析し、定期的にレポートを提出します。
Copyright © IDS Corporation. All rights reserved. 36 Confidential 36
初期費用及び運用費用 初期費用 ¥100,000(税抜き) 月額費用(運用保守) ¥5,000/インスタンス (税抜き) 初期費用は、6インスタンスまでとします。 月額費用は、別途、基本料金¥20,000が月額かかります。
Copyright © IDS Corporation. All rights reserved. 37 Confidential 37
Trend Micro製品の購入について Trend Micro Cloud One及びVision One – Container Securityのご利用料はAWS MarketplaceからAWS利用 料とまとめて毎月のお支払いが可能です。 ※利用料について、正式情報は以下サイトよりご確認をお願いいたします。 https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4 従来の購入方法 AWS利用料 ライセンスは 代理店様から購入 AWS Marketplace AWS利用料 ライセンスは AWS Marketplaceから購入
Copyright © IDS Corporation. All rights reserved. 38 Confidential 38
認定CSPパートナー ※正式情報は以下サイトよりご確認をお願いいたします。 https://www.trendmicro.com/ja_jp/partners/cloud-integrator-consortium.html
Copyright © IDS Corporation. All rights reserved. 39 Confidential 39
1200 ご利用実績 プロジェクト 以上 2011年のサービス開始から、 のべ1200以上のシステムでAWS をご利用頂いています。 5 AWS利用料 %引き ビジネスサポートも無料になり、 当社サービスの利用だけで、 最大15%安くAWSを ご利用いただけます。 お得な だれ でも AWSインフラ保険 安心 万が一を保証します 万が一AWSに障害が発生した際 の損害保険が無料付帯されます。 AWS責任共有モデルのAWS責任 部分を補償します。 本セキュリティ運用サービスの加入には、「AWS請求代行(リセール)サービス Sunny Pay」が必要です。
Copyright © IDS Corporation. All rights reserved. 40 Confidential 40
お問い合わせ先 株式会社アイディーエス 〒105-0014東京都港区芝2-3-18 YM芝公園ビル5階 ・Web : http://www.ids.co.jp ・メール:
[email protected]
・電話:03-5484-7811 サニークラウド ブランドサイト https://www.sunnycloud.jp/