Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Tenable.ioで監査するAWSセキュリティベストプラクティス

takashi
October 31, 2018
Technology
0
1.8k

 Tenable.ioで監査するAWSセキュリティベストプラクティス

10/25 (木)に行われたAWS向けTenable.ioソリューション活用セミナーで、 「Tenable.ioで監査するAWSセキュリティベストプラクティス」というタイトルで登壇させて頂きましたので、資料を公開いたします。

takashi

October 31, 2018
Tweet

More Decks by takashi

See All by takashi
組織拡大における マネージャーオンボーディング / Manager Onboarding in Organizational Expansion
takashi_toyosaki
1
110
アウトプット文化による第一想起を育てる
takashi_toyosaki
6
1k
キャリアと組織の成長塾#1 アスリートからエンジニアの道へ
takashi_toyosaki
2
1.2k
AWS認定資格取得に向けたクラスメソッドの組織的支援と正攻法の学習
takashi_toyosaki
0
5k
何が嬉しい?S3 Object ACL無効化 - 聞いた後、速攻で忘れていい知識をお届けします -
takashi_toyosaki
0
3.6k
Amazon WorkSpaces事例 NTTドコモ様
takashi_toyosaki
0
1.6k
AWSのVDI WorkSpacesを使って テレワーク環境を実装するときの勘所
takashi_toyosaki
0
5.5k
AWS Outposts サービス概要とユースケース
takashi_toyosaki
0
2.1k
AWSに超詳しいエンジニアが 育つ環境をつくる方法
takashi_toyosaki
6
28k

Other Decks in Technology

See All in Technology
いざ、BSC討伐の旅
nikinusu
2
680
End of Barrel Files: New Modularization Techniques with Sheriff
rainerhahnekamp
0
280
Shopifyアプリ開発における Shopifyの機能活用
sonatard
2
100
Redmine 6.0 新機能評価ガイド
vividtone
0
290
What to do after `laravel new`
mattstauffer
0
140
【令和最新版】AWS Direct Connectと愉快なGWたちのおさらい
minorun365
PRO
5
380
隣接領域をBeyondするFinatextのエンジニア組織設計 / beyond-engineering-areas
stajima
1
230
いろんなものと両立する Kaggleの向き合い方
go5paopao
2
980
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
4
340
第23回Ques_タイミーにおけるQAチームの在り方 / QA Team in Timee
takeyaqa
0
190
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
180
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
3.8k

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
820
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
YesSQL, Process and Tooling at Scale
rocio
168
14k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
A Tale of Four Properties
chriscoyier
156
23k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
2k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.2k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
15
2k
Being A Developer After 40
akosma
86
590k

Transcript

  1. Tenable.ioで監査する AWSセキュリティベストプラクティス 2018/10/25 AWS事業本部コンサルティング部マネージャー 豊崎隆 1

  2. 2 about me 豊崎 隆 • クラスメソッド株式会社 • AWS事業本部 •

    コンサルティング部所属 • 2017年1月入社 • ソリューションアーキテクト • CloudFormationとWorkSpacesが好き

  3. 3 本日のゴール AWSベストプラクティスと Tenableを使った監査の自動化方法を知る

  4. 4 Agenda • よくあるAWSのセキュリティに関するご相談 • AWSベストプラクティスについて • TenableでAWSアセスメント • まとめ

  5. 5 よくあるAWSのセキュリティに関するご相談 よくご相談いただく内容として ・AWSを使っているがセキュリティが心配 ・AWSを使い始めたいがセキュリティに関して何に気を付け ればいいかわからない

  6. 6 よくあるAWSのセキュリティに関するご相談 AWSがいくつかのドキュメントを提供してくれています ・Well-Architected ・ホワイトペーパー ・各ジャンルのベストプラクティス

  7. 7 よくあるAWSのセキュリティに関するご相談 Well-Architected 引用元:https://aws.amazon.com/jp/architecture/well-architected/

  8. 8 よくあるAWSのセキュリティに関するご相談 Well-Architectedの5本の柱 ・Operational Excellence:運用上の優秀性 ・Security:セキュリティ ・Reliability:信頼性 ・Performance Efficiency:パフォーマンス効率 ・Cost

    Optimization:コスト最適化

  9. 9 よくあるAWSのセキュリティに関するご相談 Well-Architectedの5本の柱 ・Operational Excellence:運用上の優秀性 ・Security:セキュリティ ・Reliability:信頼性 ・Performance Efficiency:パフォーマンス効率 ・Cost

    Optimization:コスト最適化

  10. 10 AWSベストプラクティスについて Security Pillar: AWS Well-Architected Framework PDF(日本語) Kindle(英語)

  11. 11 よくあるAWSのセキュリティに関するご相談 ホワイトペーパー Securityカテゴリ>セキュリティベストプラクティス 引用元:https://aws.amazon.com/jp/whitepapers/

  12. 12 AWSベストプラクティスについて AWSセキュリティのベストプラクティス PDF(日本語) Kindle(英語)

  13. 13 AWSベストプラクティスについて AWS責任共有モデルの概要 AWSの安全なグローバルインフラストラクチャについて IAMサービスの使用 リージョン、アベイラビリティゾーン、エンドポイント AWSサービスのセキュリティ上の責任共有 インフラストラクチャサービスの責任共有モデル コンテナサービスの責任共有モデル 抽象化されたサービスの責任共有モデル

    Trusted Advisorツールの使用 AWSでのアセットの定義と分類 AWSでアセットを保護するためのISMSの設計 AWSアカウント、IAMユーザー、グループ、ロールの管理 複数のAWSアカウントを使用する場合の戦略 IAMユーザの管理 IAMグループの管理 AWS認証情報の管理 IAMロールと一時的なセキュリティ認証情報を使用した委任について Amazon EC2のIAMロール クロスアカウントアクセス IDフェデレーション Amazon EC2インスタンスへのOSレベルのアクセスの管理 データの保護 リソースへのアクセス承認 クラウドでの暗号化キーの保管と管理 データ保管時のデータの保護 Amazon S3 での保管時のデータ保護 Amazon EBS での保管時のデータ保護 Amazon RDS での保管時のデータ保護 Amazon Glacier での保管時のデータ保護 Amazon DynamoDB での保管時のデータ保護 Amazon EMR での保管時のデータ保護 データとメディアの安全な廃棄 伝送中のデータ保護 アプリケーションの管理とAWSパブリッククラウドサービスへの管理アクセス AWSサービスを管理する際の伝送中のデータの保護 Amazon S3 に伝送中のデータの保護 Amazon RDS に伝送中のデータの保護 Amazon DynamoDB に伝送中のデータの保護 Amazon EMR に伝送中のデータの保護 オペレーディングシステムとアプリケーションのセキュリティによる保護 カスタムAMIの作成 ブートストラッピング パッチの管理 パブリックAMIのセキュリティ管理 マルウェアからのシステム保護 侵害と迷惑行為の軽減 その他アプリケーションセキュリティ慣行の採用 インフラストラクチャの保護 Amazon Virtual Private Cloud (VPC)の使用 セキュリティゾーンニングとネットワークセグメンテーションの使用 ネットワークセキュリティの強化 周辺システムの保護:ユーザリポジトリ、DNS、NTP 脅威保護レイヤーの構築 セキュリティのテスト メトリクスの管理と向上 DoS&DDoS攻撃の緩和と保護 セキュリティのテスト メトリクスの管理と向上 DoS&DDoS攻撃の緩和と保護 セキュリティモニタリング、アラート、監査証跡、インシデント対応の管理 変更管理ログの使用 重要なトランザクションの管理 ログ情報の保護 障害のログ記録 まとめ 寄稿者 参考資料と参考文献

  14. 14 AWSベストプラクティスについて 弊社ブログでご紹介しています

  15. 15 AWSベストプラクティスについて 非常に有用なドキュメントではあるものの、 すべてのユーザがこれらを熟読し、 環境へ反映をおこなうことはコスト的に困難な場合も

  16. 16 TenableでAWSアセスメント Tenableでは AWSベストプラクティスに則った、 AWS環境のスキャンも行ってくれます!

  17. 17 TenableでAWSアセスメント Audit Cloud Infrastructure

  18. 18 TenableでAWSアセスメント

  19. 19 TenableでAWSアセスメント 以下のクラウド環境に対して ベストプラクティスに従っているかのスキャンが可能 ・AWS ・Azure ・Office365 ・RackSpace ・Salesforce

  20. 20 TenableでAWSアセスメント AWSでは以下からスキャンをすることが可能 ・Tenable AWS Best Practice Audit ・CIS Amazon

    Web Services Three-tier Web Architecture L1 1.0.0 ・CIS Amazon Web Services Three-tier Web Architecture L2 1.0.0 ・CIS Amazon Web Services Foundations L1 1.0.0 ・CIS Amazon Web Services Foundations L2 1.0.0 ・A custom Amazon AWS audit file

  21. 21 TenableでAWSアセスメント AWSでは以下からスキャンをすることが可能 ・Tenable AWS Best Practice Audit ・CIS Amazon

    Web Services Three-tier Web Architecture L1 1.0.0 ・CIS Amazon Web Services Three-tier Web Architecture L2 1.0.0 ・CIS Amazon Web Services Foundations L1 1.0.0 ・CIS Amazon Web Services Foundations L2 1.0.0 ・A custom Amazon AWS audit file

  22. 22 TenableでAWSアセスメント Tenable AWS Best Practice Audit Tenableが提供する以下ドキュメントの推奨内容のパッケージ ・AWSセキュリティホワイトペーパー ・AWSセキュリティベストプラクティス

    ・IAMベストプラクティス

  23. 23 TenableでAWSアセスメント 当然、やってみました

  24. 24 TenableでAWSアセスメント 準備としては2点 1)IAMユーザの作成(アクセスキー/シークレットキー) 2)Tenable.ioでのスキャンを設定

  25. 25 TenableでAWSアセスメント

  26. ・人力では困難な213のチェックが自動で ・AWSのドキュメントに則っている ・改善ポイントがわかりやすい 26 TenableでAWSアセスメント

  27. ・人力では困難な213のチェックが自動で ・AWSのドキュメントに則っている ・改善ポイントがわかりやすい 27 TenableでAWSアセスメント

  28. どうわかりやすいの?>改善ポイントがわかりやすい 28 TenableでAWSアセスメント

  29. 各項目で具体的に基準に反している内容が出力される 例) セキュリティグループのSSHのインバウンドに 0.0.0.0/0が設定されてないかのチェック 29 TenableでAWSアセスメント

  30. セキュリティグループを修正して再実行 30 TenableでAWSアセスメント

  31. チェックができて、改善に着手できました めでたし、めでたし 31 TenableでAWSアセスメント

  32. 本当ですか? 32 TenableでAWSアセスメント

  33. スキャン、今回の場合は環境のアセスメントですが、 定期的に繰り返し行うことが望ましいです Tenable.ioでは回数での課金ではありません 毎日、スキャンを実施しましょう 33 TenableでAWSアセスメント

  34. スキャン、今回の場合は環境のアセスメントですが、 定期的に繰り返し行うことが望ましいです Tenable.ioでは回数での課金ではありません 毎日、スキャンを実施しましょう よいとされる状態を維持しましょう Tenableを入れる価値の一つです 34 TenableでAWSアセスメント

  35. 組織によっては要件などからAWSのベストプラクティスに完 全に従わず、理解した上で特定の項目をスキップすることがあ ります そんな時は[.audit]ファイルをカスタムすることも可能です .auditファイルはTenableのサイトからDLできます URL:https://www.tenable.com/downloads/audit 35 おまけ

  36. 36 まとめ • AWSを利用する上でAWSベストプラクティスはよい指標 になる • 指標に従っているかを人が手で確認するのはコストが高い • コストの高い部分は自動化しましょう •

    Tenable.ioで自動化できます • 定期的なスキャンをおすすめします

  37. 37