PowerPoint Presentation

Size: px

Start display at page:

Download "PowerPoint Presentation"

ゆきこうだ
5 years ago
Views:

Security Deep Dive Tomomi Takada, Akihiro Umegai July 14,2014 Session #TA-03 2014 Amazon.com, Inc. and its affiliates.

1 Security Deep Dive Tomomi Takada, Akihiro Umegai July 14,2014 Session #TA Amazon.com, Inc. and its affiliates. All rights reserved. May not be copied, modified, or distributed in whole or in part without the express consent of Amazon.com, Inc.

2 Security at Scale

3 Security at Scale?

4 Availability Zone A Security at Scale SecurityGroup1 NAT SecurityGroup2 SecurityGroup3 SecurityGroup4 Web EC2 EC2 EC2 Web EC2 Web DB EC2 EC2 App Bastion Log Router

5 Security at Scale Region US-WEST (N. California) GOV CLOUD EU-WEST (Ireland) ASIA PAC (Tokyo) US-EAST (Virginia) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) ASIA PAC (Singapore) ASIA PAC (Sydney)

6 Security at Scale Region US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) US-EAST (Virginia) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) ASIA PAC (Singapore) ASIA PAC (Sydney)

7 Security at Scale Region US-WEST (N. California) EU-WEST (Ireland) ASIA PAC (Tokyo) ガバナンスコンプライアンスセキュリティ US-EAST (Virginia) US-WEST (Oregon) SOUTH AMERICA (Sao Paulo) ASIA PAC (Singapore) ASIA PAC (Sydney)

8 Security at Scale: Governance in AWS リソース管理セキュリティ管理パフォーマンス管理物理アクセス IT アセットコスト論理アクセス IT リソースの保護イベント監視レジリエンシーログ取得管理各 IT ガバナンスの共通の主要な項目

9 AWS Built-in Security feature お客様固有のガバナンス / コンプライアンス / セキュリティ要件 volume bucket AWS CloudTrail VPN connection encrypted data security group role IAM route table permissions VPC subnet MFA token AWS Compliance Report/certificate

10 責任共有モデル Security IN the Cloud SOC1 SOC2 Security OF the Cloud AWS の統制 AWSサービス仮想化レイヤーコンピュートインフラストレージインフラネットワークインフラ論理的セキュリティ物理的セキュリティ AWS グローバルインフラ

11 Auditing Security Checklist ベーシックオペレーションチェックリスト開発者 / システムアーキテクトお客様が該当のアプリケーションに使用する特定の AWS のサービスとその特徴を評価できるようにするための支援内容エンタープライズオペレーションチェックリスト大規模環境に従事するシステムアーキテクトエンタープライズのお客様が運用上のストラテジーやクラウドへのマイグレーションをする場合に考慮すべきキーとなる項目を特定するための支援内容セキュリティ監査チェックリストリスク / コンプライアンス / 外部監査人お客様が業界固有のあるいは AICPA, NIST, ISO, PCI などの要件上必要とされるセキュリティ統制を評価するための支援内容

Auditing Security Checklist 資産の設定と管理資産のセキュリティ安定性

オペレーティングシステムやアプリケーションのセキュリティ上の脆弱性を踏まえた管理していますか?

ネットワークの設定と管理セキュリティログと監視セキュリティインシデント対応 AWS 環境上のリソースに関連して

12 Auditing Security Checklist 資産の設定と管理資産のセキュリティ安定性および整合性を保護するためオペレーティングシステムやアプリケーションのセキュリティ上の脆弱性を踏まえた管理していますか? 論理アクセス制御 AWS 環境上でユーザーとそのパーミッションがどのように設定されているか理解していますか? AWS アカウントに関連付けられている認証情報を安全に管理していますか? データの暗号化データがシステム上のどこに保存されどのように保護されているか理解していますか? ネットワークの設定と管理セキュリティログと監視セキュリティインシデント対応 AWS 環境上のリソースに関連してネットワークアーキテクチャを理解していますか? AWS 環境上のシステムにおいて適切なロギングとモニタリングが実施されていますか? インシデント管理計画とプロセスに AWS 環境内のシステムは含まれていますか? 障害復旧障害復旧施策 (DR, BCP) に AWS 環境上のシステムは含まれていますか?

13 Auditing Security Checklist 資産の設定と管理資産のセキュリティ安定性および整合性を保護するためオペレーティングシステムやアプリケーションのセキュリティ上の脆弱性を踏まえた管理していますか? 論理アクセス制御 AWS 環境上でユーザーとそのパーミッションがどのように設定されているか理解していますか? AWS アカウントに関連付けられている認証情報を安全に管理していますか? データの暗号化データがシステム上のどこに保存されどのように保護されているか理解していますか? ネットワークの設定と管理セキュリティログと監視セキュリティインシデント対応 AWS 環境上のリソースに関連してネットワークアーキテクチャを理解していますか? AWS 環境上のシステムにおいて適切なロギングとモニタリングが実施されていますか? インシデント管理計画とプロセスに AWS 環境内のシステムは含まれていますか? 障害復旧障害復旧施策 (DR, BCP) に AWS 環境上のシステムは含まれていますか?

14 セキュリティログと監視ログ要件の整理 AWS上のリソースの整理ログ要件適用の範囲の検討個別の主要なログ設定の確認各AWSのサービスオプションの使用各AWSパートナーソリューションの使用

15 ログ要件の整理コンプライアンス要件組織固有のポリシー業務上の処理手順等を考慮し該当環境のログ要件を決定ログ要件のシナリオ例 - 特権的あるいは強い管理者権限をもった個人によるすべての活動 - 不正あるいは誤りによる論理的アクセスの試み - 不正あるいは誤りによるシステムリソースの変更 - 不正あるいは誤りによるデータ資産へのアクセスや操作 - 監査証跡へのアクセスなどすべての操作 - Firewall 等セキュリティ上重要なコンポーネントへの全ての操作

16 AWS 上の資産の整理 AWS 上のアセットのインベントリーを整理しログ取得の観点から該当するどの AWS 上のアセットにログ要件を適用するのかを決定重要リソースについては変更追加修正削除等のどのようなログエントリーを取得するのか考慮ログエントリーの例 - ユーザー ID - イベントの種類 - 日付と時刻 = タイムスタンプ - 成功失敗などの兆候 - イベントの発生元 - 影響の受けるデータシステムコンポーネント各種リソース

17 ログ要件適用の範囲の検討整理したログ要件と AWS 上の資産インベントリーから関連する AWS 上のシステムにおいてログが有効かされているか漏れがないかどうかを確認するログ要件の適用範囲の例 - OS レベルのログ - ミドルウェアレベルのログ - アプリケーションレベルのログ - AWS サービス単位のログ - ログの集中管理 - ログの分析対象

18 セキュリティログと監視ログ要件の整理 AWS上のリソースの整理ログ要件適用の範囲の検討個別の主要なログ設定の確認各AWSのサービスオプションの使用各AWSパートナーソリューションの使用

19 Security at Scale: Logging in AWS US-WEST (N. California) US-WEST (N. California) Region EU-WEST (Ireland) ASIA PAC (Tokyo) US-EAST (Virginia) US-WEST (Oregon) ASIA PAC (Sydney) ASIA PAC (Singapore) SOUTH AMERICA (Sao Paulo)

20 AWS CloudTrail AWS CloudTrail は AWS アカウントで利用された API Call を記録しログに保存するサービスです記録される情報には以下のようなものが含まれます API を呼び出した身元 (Who) API を呼び出した時間 (When) API 呼び出し元の Source IP(Where) 呼び出された API(What) API の対象となる AWS リソース (What)

21 ClouduTrail Logging CloudTrailはアカウントで利用された API CallのログをS3に保存します通常 15分内に呼び出されたAPI callのイベントをS3に届けますログファイルは大よそ5分毎に保管されますログの分析には様々なパートナー企業がソリューションを提供しています

対応サービス対応サービス (7/17 現在 ): Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Block Store (Amazon EBS) AWS Elastic Load Balancing (AWS ELB) Amazon EMR Amazon Redshift Amazon Relational Database

22 対応サービス対応サービス (7/17 現在 ): Amazon Elastic Compute Cloud (Amazon EC2) Amazon Elastic Block Store (Amazon EBS) AWS Elastic Load Balancing (AWS ELB) Amazon EMR Amazon Redshift Amazon Relational Database Service (Amazon RDS) Amazon Virtual Private Cloud (Amazon VPC) / Direct Connect AWS Identity and Access Management (AWS IAM) AWS Security Token Service (AWS STS) AWS CloudFormation AWS OpsWorks AWS Elastic BeansTalk Amazon CloudFront Amazon Kinesis AWS CloudWatch Amazon Simple Workflow AWS CloudTrail

23 対応リージョン対応リージョン 7/17現在 : 米国東部 (北バージニア) 米国西部 (北カリフォルニア) 米国西部 (オレゴン) アジア太平洋 (シドニー) EU (アイルランド) アジア太平洋 (東京) - New! アジア太平洋 (シンガポール) - New! 南米 (サンパウロ) - New!

24 ユースケースセキュリティ調査リソース変更トラッキングトラブルシューティングコンプライアンス監査

25 ユースケースコンプライアンス対応 CloudTrail による API Call の履歴は企業の内部ポリシーや規制基準におけるコンプライアンス対応をより容易にします SANS Top20 クリティカルコントロール 12: 管理権限のコントロールされた使用クリティカルコントロール 14: 監査ログの保守モニタリングおよび分析クリティカルコントロール 16: アカウントのモニタリングおよびコントロール PCI DSS 要件 10 : ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

26 ログファイルのアクセスコントロール監査証跡ファイルを不正な変更から保護する監査証跡の表示を業務上の必要がある人物のみに制限する CloudTrail の監査ログに対する権限のないアクセスの防止監査ログへのアクセスは Read-Only を基本に IAM による権限管理 S3 のバケットポリシーの利用ログを保管している S3 のバケットに対して MFA の有効化 MFA Delete for AWS Root アカウント IAM ポリシーによる API の MFA Protection

27 ログ生成及び設定ミスの際のアラートログに対してファイル整合性監視または変更検出ソフトウェアを使用して既存のログデータを変更すると警告が生成されるようにする監査証跡ファイルを不正な変更から保護する CloudTrail の監査ログの設定ミスに関する通知管理コンソール上で設定ミスに関する即時通知 CloudTrail の監査ログ生成の通知 S3 にログを記録する毎に Notification の送付が可能ログの生成に関するイベントについてほぼリアルタイムに対応可能 S3 のログ機能の有効化

28 AWS リソース及びログに対する変更管理システムレベルオブジェクトの作成および削除変更できないよう監査証跡をセキュリティで保護するシステムレベルオブジェクトの作成及び削除を含むシステムコンポーネントの変更に関するログの取得管理コンソールコマンドライン 3rd party 等 API コールされる全ての変更が対象全てのリージョンで CloudTrail の利用サポートされている AWS サービスの確認変更や失敗に関するログの改ざん防止デフォルトで CloudTrail のログは S3 のサーバーサイド暗号化を利用 IAM と MFA による S3 のバケットに対する read-only アクセスの強制

29 ログファイルの保管監査証跡ファイルを変更が困難な一元管理ログサーバまたは媒体に即座にバックアップする監査証跡の履歴を少なくとも 1 年間保持する保管期間少なくとも 1 年間のログの保存組織が必要とする期間のログの保存 S3 の LifeCycle 機能を用いた保持期間とアーカイブの設定保管場所複数の Region のログを一つの Bucket に集めることが可能複数のアカウントのログを一つの Bucket にあつめることも可能保管場所の信頼性 S3 に保管 % の堅牢性 99.99% の可用性

30 ログデータからのレポート生成少なくとも日に一度すべてのシステムコンポーネントのログを確認する新たに発見されたセキュリティの脆弱性を特定しリスクのランク分けを割り当てるためのプロセスを確立する CloudTrail の監査ログの網羅性 AWS アカウント IAM ユーザー IAM ロールを含む全ての呼び出しもと CloudTrail の監査ログ自体も含む全てのリソース CloudTrail の監査ログ生成の頻度ほぼリアルタイムにログを生成約 15 分内に S3 に送付 CloudTrail の開始及び停止自体のログも取得 AWS の内部時刻サービスによるログの時刻表示監査ログに求められる詳細なイベントの記録

31 ログの集約とアクセスコントロールの例ログ解析 Services supported by CloudTrail IAMとMFAによるログの保護 Read-only MFA Delete MFA API Protection Services supported by CloudTrail Account バージョニングアーカイビング Bucket foo in account Bucketポリシーによるログの集約複数リージョン複数アカウント arn:aws:s3:::foo/kbjinc /AWSLogs/ /*, arn:aws:s3:::foo/kbjinc /AWSLogs/ /* Services supported by CloudTrail Account

32 CloudTrailのログフォーマット {"eventversion":"1.01", "useridentity":{ "type":"root", "principalid": XXXXX ", "arn":"arn:aws:iam::xxxxx663284:root", "accountid": XXXXX663284", "username": XXXXX", "invokedby":"autoscaling.amazonaws.com }, "eventtime":" t09:53:33z", "eventsource":"ec2.amazonaws.com", "eventname":"runinstances", "awsregion":"ap-northeast-1", "sourceipaddress":"autoscaling.amazonaws.com", "useragent":"autoscaling.amazonaws.com",... 監査証跡となる以下の項目を網羅ユーザID イベントのタイプ日付と時刻成功または失敗の表示イベントの起点影響を受けたデータシステムコンポーネントリソースの識別子もしくは名前

33 主要な重要イベントシステムコンポーネントの生成と削除ネットワークアクセスコントロールの変更アカウントパーミッションの変更認証の成功と失敗重要情報へのアクセスや変更に関するイベント

34 イベント発生の例 1) 未承認の EC2 の作成 2) 意図しないセキュリティグループの変更 EC2 3) 重要機能への権限のないアクセス

35 未承認の EC2 の作成 {"eventversion":"1.01", "useridentity":{ "type":"iamuser", "principalid":"aidai4tlyibok753hlq6q", "arn":"arn:aws:iam::xxxxxxx3284:user/iamtest", "accountid": XXXXXXX3284", "accesskeyid": XXXXXXXXSOMJ3PFIJA", "username":"iamtest", "sessioncontext":{"attributes":{"mfaauthenticated":"false","creationdate":" t23:05:34z"}}, "invokedby":"signin.amazonaws.com"}, "eventtime":" t23:07:08z", "eventsource":"ec2.amazonaws.com", "eventname":"runinstances", "awsregion":"ap-northeast-1", "sourceipaddress":"signin.amazonaws.com", "useragent":"signin.amazonaws.com", "requestparameters":{ } API をコールした Identity の確認 type/username の確認システムコンポーネントの生成と削除 eventname の利用 Run* Create* Launch* による検索 Delete* Terminate* による検索

36 セキュリティグループの変更 {"eventversion":"1.01", "useridentity":{ "eventsource":"ec2.amazonaws.com", "eventname":"authorizesecuritygroupingress", "awsregion":"ap-northeast-1", "sourceipaddress":"signin.amazonaws.com", "useragent":"signin.amazonaws.com", "requestparameters":{ "groupid":"sg-636b8d0c", "ippermissions":{ "items":[{ "ipprotocol":"tcp", "fromport":22, "toport":22, "groups":{}, アクセスコントロールの変更 eventname の利用 AuthorizeSecurityGroup* による検索 CreateNetworkAclEntry* による検索特に注意すべき事項 /0 のような Parameter fromport :0, toport :65535 } ] "ipranges":{"items":[{"cidrip":" /0"}]}}

37 権限のないアクセス CloudTrail の設定変更 {"eventversion":"1.01", "eventtime":" t23:09:46z", "eventsource":"cloudtrail.amazonaws.com", "eventname":"describetrails", "awsregion":"ap-northeast-1", "sourceipaddress":"signin.amazonaws.com", "useragent":"signin.amazonaws.com", "errorcode":"accessdenied", "errormessage":"user: arn:aws:iam::xxxxxx663284:user/iamtest is not authorized to perform: cloudtrail:describetrails", "requestparameters":null, "responseelements":null, "requestid":"1d0521cb-0c75-11e dbd9a270b160", "eventid":"fd c-4154-bfc2-468a2f59658f"}, 認証の失敗によるエラーの抽出 errorcode の利用 Unauthorized* による検索 AccessDenied による検索

38 権限のないアクセス IAM の設定変更 {"eventversion":"1.01", "useridentity":{ "eventtime":" t23:09:53z", "eventsource":"iam.amazonaws.com", "eventname":"listaccountaliases", "awsregion":"us-east-1", "sourceipaddress":"signin.amazonaws.com", "useragent":"signin.amazonaws.com", "errorcode":"accessdenied", "errormessage":"user: arn:aws:iam:: :user/iamtest is not authorized to perform: iam:listaccountaliases", "requestparameters":null,"responseelements":null, "requestid":"20df00b9-0c75-11e4-a5b4-c9bb5d6be211", "eventid":"964edea9-9d1a fb-4362cd90640e"}, 認証の失敗によるエラーの抽出 errorcode の利用 Unauthorized* による検索 AccessDenied による検索

39 CloudTrail, AWS Solution Partner

40 Conclusion AWS ではスケーラブルな環境においてお客様固有のセキュリティ要件を満たすための多くの機能が提供されていますセキュリティログと監視においてはログの要件と保護すべき AWS 上のリソースの整理が重要 CloudTrail は東京リージョンを含む AWS のグローバルインフラストラクチャーで AWS の API ログの透過的に取得する機能 CloudTrail の監査ログの適切な保管には組織の権限分掌と情報に対するアクセスコントロール暗号化機能を利用

41 Reference

Leveraging Cloud Computing to launch Python apps

Leveraging Cloud Computing to launch Python apps (Twitter: @KenTamagawa) v 1.1 - July 21st, 2011 (Ken Tamagawa) Twitter: @KenTamagawa 2011 8 6 Japan Innovation Leaders Summit IT IT AWS 90% AWS 90% アーキテクチャ設計 Intro }7 Intro 1 2 3 4 5 6 7 Intro 1 2 3 4