AWS で実現するセキュリティ・オートメーション

Size: px

Start display at page:

Download "AWS で実現するセキュリティ・オートメーション"

ともみひろなが
5 years ago
Views:

で実現するセキュリティオートメーション桐山隼人セキュリティソリューションアーキテクトアマゾンウェブサービスジャパン株式会社

2 自己紹介氏名桐山隼人役割セキュリティソリューションアーキテクト関心事 Security *by* the Cloud Security Automation Cloud SOC/CSIRT IoT

3 本セッションのポイントオートメーションは戦略策定の礎セキュリティオートメーションを前提に設計されたサービスセキュリティ戦略基盤となるクラウド環境

4 オートメーションは戦略策定の礎何のためのオートメーションなのか?

5 オートメーションとは自動化のこと (Wikipedia)

6 オートメーションとは自動化のこと (Wikipedia) ある機構や機器が人手の介入を要することなく自動的に制御動作連携すること (IT 用語辞典 )

7 自動化によって得られる効率化コスト削減生産性向上スピード向上人為ミス削減

8 効率化だけではない価値セールスフォースオートメーション営業プロセスの効率化報告作業の省力化顧客情報データの共有営業活動の革新分析による案件確度判断見込み客への集中

9 効率化だけではない価値セールスフォースオートメーション営業プロセスの効率化報告作業の省力化顧客情報データの共有営業活動の革新分析による案件確度判断見込み客への集中マーケティングオートメーションマーケティングの効率化リード獲得漏れ防止ナーチャリング手段確立マーケティング活動の革新案件化率の高いリードの判別案件化に至るリソース最適化

10 効率化だけではない価値セールスフォースオートメーション営業プロセスの効率化報告作業の省力化顧客情報データの共有営業活動の革新分析による案件確度判断見込み客への集中マーケティングオートメーションマーケティングの効率化リード獲得漏れ防止ナーチャリング手段確立マーケティング活動の革新案件化率の高いリードの判別案件化に至るリソース最適化やることとやらないことを決められる = 戦略

11 オートメーションがもたらすもの多種多様なデータ集約可視化と効果測定オートメーション分析による意思決定このプロセスを継続することで良い戦略が策定できる

12 セキュリティオートメーションを前提に設計されたサービス何を自動化すべきなのか?

13 セキュリティ対策の分類対策主体による分類人による対策組織による対策技術による対策対策対象による分類サーバー対策ネットワーク対策クライアント対策対策場所による分類入口対策内部対策出口対策

14 セキュリティ対策の分類対策主体による分類人による対策組織による対策技術による対策対策対象による分類サーバー対策ネットワーク対策クライアント対策対策場所による分類入口対策内部対策出口対策などがあるがオートメーションを意識したプロセス継続性を表現できる分類な何か?

15 適応型セキュリティアーキテクチャ Gartner s Adaptive Security Architecture 予測事前のリスク分析システムの要塞化隔離防御攻撃の予測攻撃の抑制定常状態の把握回復 / 修復継続的監視と分析問題の阻止問題の検出設計 / モデル変更リスクの検証と優先付け対応調査 / フォレンジック問題の抑制検知

16 防御の考慮点 Gartner s Adaptive Security Architecture 予測事前のリスク分析システムの要塞化隔離防御攻撃の予測攻撃の抑制定常状態の把握調査 / フォレンジック継続的監視と分析問題の抑制問題の阻止回復 / 修復問題の検出従来セキュリティ対策と言われていたもの設計 / モデル変更リスクの検証と優先付け標的型攻撃の台頭で100% 防御は不可能対応検知

17 検知の考慮点 Gartner s Adaptive Security Architecture 高い検知精度事前のリスク分析 ( 誤検知検知漏れが少ないシステムの要塞化隔離 ) 予測各種イベントを相関分析したインシデント特定攻撃の予測攻撃の抑制重要なインシデントの判別優先順位づけ定常状態の把握問題の阻止回復 / 修復継続的監視と分析問題の検出防御設計 / モデル変更リスクの検証と優先付け対応調査 / フォレンジック問題の抑制検知

18 対応の考慮点 Gartner s Adaptive Security Architecture 一次対応の早さ予測事前のリスク分析 = 損害額の最小化事後調査を意識したログ設計回復 / 修復攻撃の予測定常状態の把握システムの要塞化隔離攻撃の抑制恒久的な対応は仕組み化して事故の再発防止継続的監視と分析問題の阻止問題の検出防御設計 / モデル変更リスクの検証と優先付け対応調査 / フォレンジック問題の抑制検知

19 予測の考慮点 Gartner s Adaptive Security Architecture 予測事前のリスク分析システムの要塞化隔離防御攻撃の予測攻撃の抑制定常状態の把握回復 / 修復異常に気付くための定常状態の把握調査 / フォレンジック継続的監視と分析問題の抑制問題の阻止問題の検出設計 / モデル変更リスクの検証と優先付け次の防御策を選択するためのリスク分析対応検知

20 継続的監視と分析の考慮点 Gartner s Adaptive Security Architecture 予測事前のリスク分析システムの要塞化隔離防御攻撃の予測攻撃の抑制定常状態の把握回復 / 修復継続的監視と分析問題の阻止問題の検出設計 / モデル変更リスクの検証と優先付け調査 / フォレンジック対応問題の抑制検知このサイクルを素早く回し変化に適応させる

21 サービスのマッピング予測 NACL SG 防御 Inspector 3 rd Party Data Feed Config CloudFront WAF CloudWatch CloudTrail SNS Lambda VPC flow logs 3 rd Party IDS 対応 CloudFormation EBS Auto Scaling 3 rd Party SIEM 検知

22 不正通信を起点とした入口対策フロー例予測 NACL SG 防御 Inspector 3 rd Party Data Feed Config CloudFront WAF CloudWatch CloudTrail SNS Lambda VPC flow logs 3 rd Party IDS 対応 CloudFormation EBS Auto Scaling 3 rd Party SIEM 検知

23 IPブラックリストを WAFに自動反映ユーザー送信元IPに基づき通信許可攻撃者 IPレピュテーションに基づきブロック CloudFront WAF WAF セキュリティオートメーション Elastic Load Balancing EC2 Web servers RDS Database

24 IPブラックリストを WAFに自動反映ユーザー送信元IPに基づき通信許可 CloudFront Elastic Load Balancing EC2 Web servers RDS Database ①定期実行攻撃者 IPレピュテーションに基づきブロック WAF Lambda WAF セキュリティオートメーション CloudWatch

25 IPブラックリストを WAFに自動反映ユーザー送信元IPに基づき通信許可 CloudFront Elastic Load Balancing EC2 Web servers RDS Database ①定期実行攻撃者 IPレピュテーションに基づきブロック WAF Lambda 3rd party レピュテーションリスト WAF セキュリティオートメーション CloudWatch ②SpamhausのDROPリストなどをダウンロード

26 IPブラックリストを WAFに自動反映ユーザー送信元IPに基づき通信許可 CloudFront Elastic Load Balancing EC2 Web servers RDS Database ①定期実行攻撃者 IPレピュテーションに基づきブロック WAF ③ WAF IPセットを更新 Lambda 3rd party レピュテーションリスト WAF セキュリティオートメーション CloudWatch ②SpamhausのDROPリストなどをダウンロード

27 IPブラックリストを WAFに自動反映ユーザー送信元IPに基づき通信許可 CloudFront Elastic Load Balancing ④ WAF によるブラックIP からの通信をブロック攻撃者 IPレピュテーションに基づきブロック WAF ③ WAF IPセットを更新 Lambda 3rd party レピュテーションリスト WAF セキュリティオートメーション EC2 Web servers RDS Database ①定期実行 CloudWatch ②SpamhausのDROPリストなどをダウンロード

28 スケールアウトによる問題の抑制と通知 Auto Scaling グループアベイラビリティーゾーン 1a CloudFront Elastic Load Balancing EC2 インスタンスアベイラビリティーゾーン 1b

29 スケールアウトによる問題の抑制と通知 Auto Scaling グループアベイラビリティーゾーン 1a CloudFront Elastic Load Balancing 1 非ブラック IP からの大量トラフィック EC2 インスタンスアベイラビリティーゾーン 1b

30 スケールアウトによる問題の抑制と通知 Auto Scaling グループ 2 スケールアウトによる自動トラフィック分散アベイラビリティーゾーン 1a CloudFront Elastic Load Balancing 1 非ブラック IP からの大量トラフィック EC2 インスタンスアベイラビリティーゾーン 1b

31 スケールアウトによる問題の抑制と通知 Auto Scaling グループ 2 スケールアウトによる自動トラフィック分散 3 スケーリングイベントの通知 SNS アベイラビリティーゾーン 1a CloudFront Elastic Load Balancing 1 非ブラック IP からの大量トラフィック EC2 インスタンスアベイラビリティーゾーン 1b

32 スケールアウトによる問題の抑制と通知 Auto Scaling グループ 2 スケールアウトによる自動トラフィック分散 3 スケーリングイベントの通知 SNS アベイラビリティーゾーン 1a CloudFront 1 非ブラック IP からの大量トラフィック Elastic Load Balancing EC2 インスタンスアベイラビリティーゾーン 1b Lambda 4 任意アクション実行

33 高リスク端末に対する内部対策フロー例予測 NACL SG 防御 Inspector 3 rd Party Data Feed Config CloudFront WAF CloudWatch CloudTrail SNS Lambda VPC flow logs 3 rd Party IDS 対応 CloudFormation EBS Auto Scaling 3 rd Party SIEM 検知

34 端末自動隔離とバックアップ Lambda Inspector EC2 インスタンス EBS Security Group Network ACL

35 端末自動隔離とバックアップ Lambda 1 セキュリティ評価の実行 Inspector EC2 インスタンス EBS Security Group Network ACL

36 端末自動隔離とバックアップ Lambda 1 セキュリティ評価の実行 Inspector 2 脆弱性診断 EC2 インスタンス EBS Security Group Network ACL

37 端末自動隔離とバックアップ Lambda 1 セキュリティ評価の実行 Inspector 2 脆弱性診断 EC2 インスタンス EBS Security Group SNS Network ACL 3 診断結果通知

38 端末自動隔離とバックアップ Lambda 1 セキュリティ評価の実行 Inspector 2 脆弱性診断 EC2 インスタンス EBS Security Group SNS Lambda 3 診断結果通知 Network ACL 4 NACL/SG のポートブロックによる端末隔離

39 端末自動隔離とバックアップ 5 ブロックログが VPC Flow Logs に表示 Lambda 1 セキュリティ評価の実行 VPC Flow Logs Inspector 2 脆弱性診断 EC2 インスタンス EBS Security Group SNS Lambda 3 診断結果通知 Network ACL 4 NACL/SG のポートブロックによる端末隔離

40 端末自動隔離とバックアップ 5 ブロックログが VPC Flow Logs に表示 Lambda 1 セキュリティ評価の実行 VPC Flow Logs 6バックアップ取得 Inspector 2 脆弱性診断 EC2 インスタンス EBS snapshot Security Group SNS Lambda 3 診断結果通知 Network ACL 4 NACL/SG のポートブロックによる端末隔離

EC2 インスタンス EBS snapshot SNS Lambda 3 診断結果通知 Security

41 端末自動隔離とバックアップ 5 ブロックログが VPC Flow Logs に表示 Lambda 1 セキュリティ評価の実行 VPC Flow Logs 6 バックアップ取得 Inspector 2 脆弱性診断 EC2 インスタンス EBS snapshot SNS Lambda 3 診断結果通知 Security Group Network ACL 4 NACL/SG のポートブロックによる端末隔離 CloudTrail 7 バックアップログ保存

42 セキュリティ戦略基盤となるクラウド環境セキュリティオートメーションはどこに向かうのか?

43 オートメーションがもたらすもの ( 再掲 ) 多種多様なデータ集約可視化と効果測定オートメーション分析による意思決定このプロセスを継続することで良い戦略が策定できる

44 データ集約インフラ全体のログ取得が可能 CloudTrail S3のアクセスログ CF/WAFのアクセスログ VPC Flow Logs NACL ELBのアクセスログ NACL API操作のログ CloudWatch Logs OS等のログ NACL NACL Agent APP CloudFront WAF 社内システム Jump APP インターネットログトラフィック VGW SG SG SG SG Public Subnet Private Subnet Private Subnet Private Subnet CGW Subnet

45 CloudTrail のよる監査ログ取得対象サービス分析 Athena Cloud Search EMR Data Pipeline Kinesis Firehose Kinesis Streams QuickSight アプリケーションサービス API Gateway Elastic Transcoder Elasticsearch Service Simple Workflow Service Step Functions 人工知能 Machine Learning Polly ビジネス生産性 WorkDocs コンピューティング Application Auto Scaling Auto Scaling EC2 Container Registry EC2 Container Service Elastic Beanstalk Elastic Compute Cloud Elastic Load Balancing Lambda Lightsail データベース DynamoDB ElastiCache Redshift Relational Database Service デスクトップ WorkSpaces 開発者ツール CodeBuild CodeCommit CodeDeploy CodePipeline ゲーム開発 GameLift モノのインターネット IoT 管理ツール Application Directory Service CloudFormation CloudTrail CloudWatch CloudWatch Events CloudWatch Logs Config Managed Services OpsWorks OpsWorks for Chef Automate Organizations Service Catalog メッセージング Simple Service Simple Notification Service Simple Queue Service 移行 Database Migration Service Server Migration Service モバイルサービス Cognito Device Farm ネットワーキング & 配信 CloudFront 最新情報はデータ集約 Direct Connect Route 53 Virtual Private Cloud セキュリティとアイデンティティ Certificate Manager Cloud Directory CloudHSM Directory Service Identity and Access Management Inspector Key Management Service Security Token Service WAF ストレージ Elastic Block Store Elastic File System Glacier Simple Storage Service Storage Gateway サポート Personal Health Dashboard Support その他ソフトウェア & サービス Marketplace

46 セキュリティダッシュボード可視化 VPC Flow Logs/ Elasticsearch Service/Kibana によるセキュリティグループの可視化通信回数と通信量宛先ポート許可 or 遮断通信 IP アドレスプロトコル How to Optimize and Visualize Your Security Groups

47 セキュリティダッシュボード可視化 VPC Flow Logs/ Elasticsearch Service/Kibana によるセキュリティグループの可視化通信回数と通信量ドリルダウンによる詳細解析宛先ポート許可 or 遮断プロトコル個別の通信ログレコード参照通信 IP アドレス How to Optimize and Visualize Your Security Groups

48 Domain Generation Algorithms 意思決定課題 Domain Generation Algorithms(DGA) によるドメイン名からの通信をブロックしたい CloudFront のログの例 #Version: 1.0 #Fields: date time x-edge-location sc-bytes c-ip cs-method cs(host) cs-uri-stem sc-status cs(referer) cs(user-agent) cs-uri-query cs(cookie) x- edge-result-type x-edge-request-id x-host-header cs-protocol cs-bytes time-taken x-forwarded-for ssl-protocol ssl-cipher x-edge-response-resulttype cs-protocol-version :13:11 FRA GET d111111abcdef8.cloudfront.net /view/my/file.html Mozilla/4.0%20(compatible;%20MSIE%205.0b1;%20Mac_PowerPC) - zip=98101 RefreshHit MRVMF7KydIvxMWfJIglgwHQwZsbG2IhRJ07sn9AkKUFSHS9EXAMPLE== d111111abcdef8.cloudfront.net http RefreshHit HTTP/ :13:12 LAX GET d111111abcdef8.cloudfront.net /soundtrack/happy.mp Mozilla/4.0%20(compatible;%20MSIE%207.0;%20Windows%20NT%205.1) a=b&c=d zip=50158 Hit xgn7kwpvemb9dp7ctcvfqc4e-nrcoceks3qyaez--06dv7texample== d111111abcdef8.cloudfront.net http Hit HTTP/1.1 正しいドメイン名の例 :images-amazon DGA によるドメイン名の例 :30acd347397c34fc273e996b

49 WAF + Machine Learning 意思決定 Web アプリ Kinesis ユーザー CloudFront アクセスログバケットログパーサー AML 呼び出し AML バッチペイロードバケット DGA Protection 攻撃者 WAF WAF ルール更新 AML 結果 AML DGA Protection

50 リスクベースのセキュリティ戦略意思決定脅威分析リスク分析脆弱性分析情報資産分析

51 リスクベースのセキュリティ戦略意思決定脅威分析異常検知ヒューリスティック分析脅威インテリジェンスリスク分析脆弱性分析情報資産分析 Route 53 VPC Flow Logs Security Credential

52 リスクベースのセキュリティ戦略意思決定脅威分析異常検知ヒューリスティック分析脅威インテリジェンスリスク分析脆弱性分析脆弱性スキャンベンチマーク評価パッチ管理情報資産分析 Route 53 VPC Flow Logs Security Credential Inspector Trusted Advisor EC2 Systems Manager

53 リスクベースのセキュリティ戦略意思決定脅威分析異常検知ヒューリスティック分析脅威インテリジェンスリスク分析脆弱性分析脆弱性スキャンベンチマーク評価パッチ管理情報資産分析ユーザー振る舞い分析情報漏洩防止機械学習 Route 53 VPC Flow Logs Security Credential Inspector Trusted Advisor EC2 Systems Manager CloudTrail S3 Machine Learning

54 リスクベースのセキュリティ戦略意思決定脅威分析異常検知ヒューリスティック分析脅威インテリジェンスリスク分析脆弱性分析脆弱性スキャンベンチマーク評価パッチ管理情報資産分析ユーザー振る舞い分析情報漏洩防止機械学習 Route 53 VPC Flow Logs Security Credential Inspector Trusted Advisor EC2 Systems Manager CloudTrail S3 Machine Learning リスクに基づいたセキュリティ対策の意思決定

55 本セッションのポイント ( 再掲 ) オートメーションは戦略策定の礎セキュリティオートメーションを前提に設計されたサービスセキュリティ戦略基盤となるクラウド環境

56 関連セッション D2T1-5( Tech トラック 1) 2017/5/31 16:20 ~ 17:00 よくある問題を解決する ~ 5 分でそのままつかえるソリューション by ソリューションズビルダチーム D3T7-2(Dev Day トラック 1)2017/6/1 DevSecOps on - Policy in Code 13:20~14:00 D4T1-6( Tech トラック 1) 2017/6/2 17:20 ~ 18:00 環境での CSIRT ソリューション

57 ありがとうございました

58 本セッションの Feedback をお願いします受付でお配りしたアンケートに本セッションの満足度やご感想などをご記入くださいアンケートをご提出いただきました方にはもれなく素敵なオリジナルグッズをプレゼントさせていただきますアンケートは受付パミール 3F の EXPO 展示会場内にて回収させて頂きます

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション Pega Tokyo Summit 2015 クラウドが変える新しいITの常識アマゾンウェブサービスジャパン株式会社エンタープライズエバンジェリスト渥美俊英自己紹介アマゾンウェブサービスジャパン株式会社マーケティング本部エンタープライズエバンジェリスト渥美俊英企業のマネジメントの方々向けに業務システムのAWS