クラウドネイティブにセキュリティを活用する！API を連携して実装する方法

Size: px

Start display at page:

Download "クラウドネイティブにセキュリティを活用する！API を連携して実装する方法"

かずただのしろ
5 years ago
Views:

1 クラウドネイティブにセキュリティを活用する API を連携して実装する方法トレンドマイクロ株式会社セキュリティエキスパート本部プリセールスSE部シニアエンジニア岩瀬由季

2 AWS におけるセキュリティ責任共有モデルお客様システムお客様の責任範囲ログコンテンツオペレーティングシステムミドルウェアアプリケーションネットワークお客様責任範囲のセキュリティ対策をお手伝いサーバストレージデータベースネットワーク AWS の責任範囲リージョンアベイラビリティゾーンエッジロケーション AWS グローバルインフラストラクチャ 2

3 攻撃例とユーザの責任範囲 SQLインジェクション SSL関連攻撃 Poodle等アプリケーション層プレゼンテーション層セッション層 3 SYNフラッド攻撃トランスポート層 ICMPフラッド攻撃ネットワーク層 ARPスプーフィング攻撃データリンク層サーバルームへの侵入物理層ユーザ責任範囲 AWS クラウド基盤の保護

4 Trend Micro Deep Security サーバに必要なセキュリティ機能をAll in Oneで提供する多層防御に対応したホスト型のセキュリティソフトウェアです EC2 セキュリティ機能多層防御 4 内容ファイアウォール攻撃を受ける機会を軽減します侵入防御 IDS/IPS 脆弱性を突いた攻撃からサーバを保護しますセキュリティログ監視重要なセキュリティイベントを早期に発見します変更監視ファイルの改ざん等を早期に発見します不正プログラム対策ウイルス等の不正プログラムを検出します

OSやアプリケーションのコード変更なし迅速に脆弱性からの保護が可能特徴２多種類のOS/APPの脆弱性に対応

5 脆弱性を自動で検出運用が簡単なIDS/IPS セキュリティパッチを適用することなくサーバの脆弱性を保護するホスト型のIDS/IPSルールですアプリケーション層オペレーションシステム層ネットワーク層特徴１システムへの影響は最小限 OSやアプリケーションのコード変更なし迅速に脆弱性からの保護が可能特徴２多種類のOS/APPの脆弱性に対応サーバに存在する脆弱性を自動的に検出し対応する最新のルールを自動的に配信例 Windows/Linux/Apache/OpenSSL/Adobe/PHP 等脆弱性管理工数の大幅削減が可能 5

Deep Security 侵入防御 (IDS/IPS) 攻撃者 EC2 のインスタンス CVE-2016-3081

6 Deep Security 侵入防御 (IDS/IPS) 攻撃者 EC2 のインスタンス CVE CVE 攻撃ツール脆弱性攻撃コード脆弱性脆弱性必要な仮想パッチを自動適用仮想パッチによる防御 6

7 AWS 環境に FIT する 3 つの理由 All-in-One セキュリティホスト型 Auto Scaling 対応 7

8 ５つの機能で多層防御 Deep Security Agent ウイルス対策 IDS/IPS Firewall ログ監視変更監視情報未遂多層防御 8

9 GW/ ホスト型どっちがベスト?- GW 型スケールアウトを考慮した設計が必要単一障害ポイントとなりうる障害への対策のためにはインスタンス増高コスト GW IDS/IPS Web Server Web Servers APP Server S3 Bucket Availability Zone 9

10 GW/ホスト型どっちがベスト - ホスト型インスタンス増減の考慮は不要障害時の対応もインスタンス単位必要な時に必要な分のセキュリティクラウド向きの考え方 AWSのセキュリティは[ホスト型] Web Server Web Servers Availability Zone 10 APP Server S3 Bucket

11 Auto Scaling 対応 (1) Amazon Management Console と連携しインスタンス情報をリアルタイムで共有セキュリティ対策済み未対策が一目瞭然 Cloud Connecter で接続 Deep Security 管理マネージャ AWS Management Console 2016/6/2 Copyright 2015 Trend Micro Incorporated. All rights reserved. 11 インスタンス情報が Deep Securityマネージャに同期される

12 柔軟なリソースにどう対応するのか? Auto Scaling 対応 (2) 動的に増えるインスタンスを自動で保護運用管理者が都度を設定する不必要一時的な増加に関してはライセンス無料 1 1 ライセンス有効期間 (1 年 ) の中で累計 37 日間 (888 時間 ) を無償で使用することができる Auto Scaling 自動で保護 Deep Security 管理マネージャ Web Web Web 2016/6/2 Copyright 2015 Trend Micro Incorporated. All rights reserved. 12

13 AWS 環境に FIT する 3 つの理由 All-in-One セキュリティホスト型 Auto Scaling 対応 13

14 注意 :GitHub のツール類はオープンソースで無償にてご提供しているものですトレンドマイクロのサポートセンターにはお問い合わせいただけませんツールについてうまく動作しないなどのお困りごとがあった場合には直接 GitHub にコメントをしてください github.com/deep-security 14

15 DevOps Development 開発 Operations 運用 15

16 DevOps+Security DevSecOps Development 開発 16 Operations 運用 Security

17 Deep Security の DevSecOps ツール群 /cloudformation /elastic-beanstalk /chef /ansible 17 /ip-lists /aws-config-rules /aws-waf /amazon-inspector /deep-security-py Amazon SNS でのイベント通知

18 AWS CloudFormation との連携 18

19 /cloudformation Deep Security Manager Deep Security Agent Deep Security Agent Public subnet Public subnet 19

20 20

21 21

22 /cloudformation Public subnet Deep Security Manager Deep Security Agent Deep Security Agent スクリプト実行で Public subnet 簡単インストール 22

23 AWS WAF との連携 23

24 /aws-waf AWS WAFとは Webアプリケーションに対するトラフィックをフィルタし AWS上で動作するWebアプリケーションを守るサービスカスタムルールによるフィルタ 24 SQLインジェクション XSSなどのよくある攻撃への対策モニタリング

25 Deep SecurityとAWS WAF 監視対象レイヤー AWS WAF Deep Security カバー範囲 AWS カバー範囲 25 対策場所 AWS WAF AWS WAF Deep Security CloudFront Edge Location EC2 EC2

26 /aws-waf AWS WAFとは Webアプリケーションに対するトラフィックをフィルタし AWS上で動作するWebアプリケーションを守るサービスカスタムルールによるフィルタ 26 SQLインジェクション XSSなどのよくある攻撃への対策モニタリング

27 deep-security/aws-waf ②AWS WAF の SQL Injection XSS用ルールの作成適用 AWS WAF SQLインジェクション用ルール Deep Security as a Service client Amazon CloudFront Elastic Load Balancing Deep Securityで保護された instance AWS WAFにSQLインジェクション XSSのルールを作成し自動的な保護を提供 27

28 DEMO 28

29 Amazon Inspector との連携 29

for Internet Security Secure Configration Benchmarks Security

30 /amazon-inspector Amazon Inspectorとはアプリケーションのセキュリティ診断ツールビルトインのルールパッケージを選択可能 Common Vulnerabilities & Exposures Center for Internet Security Secure Configration Benchmarks Security Best Practices Runtime Behavior Analysis 診断後の対策は 30 Deep Securityにお任せ

CVE-2014-9140 CVE-2015-5312 CVE-2015-8242 Deep Security as a

31 /amazon-inspector Amazon Inspector ③攻撃をブロックアセスメント結果 Deep Securityで保護された instance CVE CVE CVE CVE CVE Deep Security as a Service ②脆弱性に対応する仮想パッチ(IPSルール)を適用 31 Amazon Inspectorのアセスメント結果に応じて仮想パッチを自動適用

32 まとめ 32

33 まとめ多層防御ホスト型柔軟な構成課金責任共有モデルクラウドのセキュリティ 33 DevSecOps 導入自動化運用

34 参考 Deep Securityのライセンス機能毎に買える柔軟なライセンス課金単位インスタンス数ライセンス名称初年度全機能 Deep Security Agent Enterprise IPS/IDS, FW Deep Security Agent Virtual Patch 変更監視ログ監視 Deep Security Agent System Security ウイルス対策のみ Deep Security Agent ウイルス対策 EC2 34 EC2 次年度以降 213, , ,000 62, ,000 53,500 98,000 49,000 全機能使っても月々 12,000/ サーバ IPS/IDSだけなら月々 7,000/サーバ 3年間お使いいただいた場合で算出しています

今すぐ Deep Securityをお試しする方法 Deep Security as a

トレンドマイクロのデータセンター Elastic Load Balancing Web APP

14:00~17:30 Web APP Deep Security Agent Deep

Agent 監視管理 DSaaS Deep Security as a Service

35 今すぐ Deep Securityをお試しする方法 Deep Security as a Service 管理サーバ不要のSaaSサービス 30日間無料トライアル中トレンドマイクロのデータセンター Elastic Load Balancing Web APP 35 まずは無料の毎月実施ハンズオンに参加日程 2016年6月14日火時間 14:00~17:30 Web APP Deep Security Agent Deep Security on AWS 無償ハンズオントレーニング Deep Security Agent 監視管理 DSaaS Deep Security as a Service (DSaaS) 検索定員 40名 7月以降の開催日程はこちらの Webサイトでご確認ください

37 ご清聴ありがとうございました注意 :GitHub のツール類はオープンソースで無償にてご提供しているものですトレンドマイクロのサポートセンターにはお問い合わせいただけませんツールについてうまく動作しないなどのお困りごとがあった場合には直接 GitHub にコメントをしてください

38 Appendix 38

39 /aws-config-rules AWS Config Rulesとは予め設定した準拠すべきルールに沿った構成変更が行われているかを評価するサービスすべてのEBSボリュームが暗号化されているか EC2インスタンスが適切にタグ付けされているか等 AWS Managed Rules Customer Managed Rules AWSにより定義提供されるベーシックなルール自分でAWS Lambdaをベースにルール作成可能 39

40 /aws-config-rules トレンドマイクロが GitHub で提供するカスタムルールすべての EC2 インスタンスで不正プログラム対策を有効にしていることすべての EC2 インスタンスにセキュリティ対策製品が導入されていることすべての EC2 インスタンスで決められたセキュリティポリシー設定が反映されていること EC2 インスタンスに導入されたセキュリティ対策製品でアラートが発令されていないこと 40

41 /aws-config-rules Config Rulesを利用して DSを利用しセキュリティを担保するポリシーを強制 41 企業がAWSの利用を社内展開する際のコンプライアンス順守を支援することが可能

Amazon SNSでのイベント通知 Deep Securityで検出したセキュリティイベントをSNS Topicとして通知 42 Amazon

クラウドを取り巻く環境とセキュリティ対策近年迅速にシステム構築運用が可能なインフラとしてパブリッククラウドが企業ユーザに普及パブリッククラウドではOS/アプリケーションレベルのセキュリティ対策はユーザ側に委ねられている場合が多い仮想化技術の特性に起因するリスクも想定されるパブリックク

クラウドを取り巻く環境とセキュリティ対策近年迅速にシステム構築運用が可能なインフラとしてパブリッククラウドが企業ユーザに普及パブリッククラウドではOS/アプリケーションレベルのセキュリティ対策はユーザ側に委ねられている場合が多い仮想化技術の特性に起因するリスクも想定されるパブリックク管理サーバ不要のサーバ向けクラウド型セキュリティサービス Trend Micro Deep Security TM as a Service (DSaaS) ご提案書トレンドマイクロ株式会社 2017/7/3 1Copyright 2014 Trend Micro Incorporated. All rights reserved. クラウドを取り巻く環境とセキュリティ対策近年迅速にシステム構築

クラウドネイティブにセキュリティを 活用する！API を連携して実装する方法

クラウドネイティブにセキュリティを活用する！API を連携して実装する方法