クラウドネイティブにセキュリティを活用する API を連携して実装する方法 トレンドマイクロ株式会社 セキュリティエキスパート本部 プリセールスSE部 シニアエンジニア 岩瀬 由季
AWS におけるセキュリティ責任共有モデル お客様システム お客様の責任範囲 ログ コンテンツ オペレーティングシステムミドルウェアアプリケーション ネットワーク お客様責任範囲のセキュリティ対策をお手伝い サーバストレージデータベースネットワーク AWS の責任範囲 リージョンアベイラビリティゾーンエッジロケーション AWS グローバルインフラストラクチャ 2
攻撃例とユーザの責任範囲 SQLインジェクション SSL関連攻撃 Poodle等 アプリケーション層 プレゼンテーション層 セッション層 3 SYNフラッド攻撃 トランスポート層 ICMPフラッド攻撃 ネットワーク層 ARPスプーフィング攻撃 データリンク層 サーバルームへの侵入 物理層 ユーザ 責任範囲 AWS クラウド基盤の保護
Trend Micro Deep Security サーバに必要なセキュリティ機能をAll in Oneで提供 する 多層防御に対応したホスト型のセキュリティソフト ウェアです EC2 セキュリティ機能 多 層 防 御 4 内容 ファイアウォール 攻撃を受ける機会を軽減します 侵入防御 IDS/IPS 脆弱性を突いた攻撃からサーバを保護します セキュリティログ監視 重要なセキュリティイベントを早期に発見します 変更監視 ファイルの改ざん等を早期に発見します 不正プログラム対策 ウイルス等の不正プログラムを検出します
脆弱性を自動で検出 運用が簡単なIDS/IPS セキュリティパッチを適用することなく サーバの脆弱性を保護する ホスト型のIDS/IPSルールです アプリケーション層 オペレーション システム層 ネットワーク層 特徴1 システムへの影響は最小限 OSやアプリケーションのコード変更なし 迅速に脆弱性からの保護が可能 特徴2 多種類のOS/APPの脆弱性に対応 サーバに存在する脆弱性を自動的に検出し 対応する最新のルールを自動的に配信 例 Windows/Linux/Apache/OpenSSL/Adobe/PHP 等 脆弱性管理工数の大幅削減が可能 5
Deep Security 侵入防御 (IDS/IPS) 攻撃者 EC2 のインスタンス CVE-2016-3081 CVE-2016-4117 攻撃ツール 脆弱性攻撃コード 脆弱性 脆弱性 必要な仮想パッチを自動適用仮想パッチによる防御 6
AWS 環境に FIT する 3 つの理由 All-in-One セキュリティ ホスト型 Auto Scaling 対応 7
5つの機能で多層防御 Deep Security Agent ウイルス対策 IDS/IPS Firewall ログ監視 変更監視 情 報 未遂 多層防御 8
GW/ ホスト型どっちがベスト?- GW 型 スケールアウトを考慮した設計が必要 単一障害ポイントとなりうる 障害への対策のためには インスタンス増 高コスト GW IDS/IPS Web Server Web Servers APP Server S3 Bucket Availability Zone 9
GW/ホスト型どっちがベスト - ホスト型 インスタンス増減の考慮は不要 障害時の対応もインスタンス単位 必要な時に必要な分のセキュリティ クラウド向きの考え方 AWSのセキュリティは[ホスト型] Web Server Web Servers Availability Zone 10 APP Server S3 Bucket
Auto Scaling 対応 (1) Amazon Management Console と連携しインスタンス情報をリアルタイムで共有 セキュリティ対策済み 未対策が一目瞭然 Cloud Connecter で接続 Deep Security 管理マネージャ AWS Management Console 2016/6/2 Copyright 2015 Trend Micro Incorporated. All rights reserved. 11 インスタンス情報が Deep Securityマネージャに同期される
柔軟なリソースにどう対応するのか? Auto Scaling 対応 (2) 動的に増えるインスタンスを自動で保護 運用管理者が都度を設定する不必要 一時的な増加に関してはライセンス無料 1 1 ライセンス有効期間 (1 年 ) の中で 累計 37 日間 (888 時間 ) を無償で使用することができる Auto Scaling 自動で保護 Deep Security 管理マネージャ Web Web Web 2016/6/2 Copyright 2015 Trend Micro Incorporated. All rights reserved. 12
AWS 環境に FIT する 3 つの理由 All-in-One セキュリティ ホスト型 Auto Scaling 対応 13
注意 :GitHub のツール類はオープンソースで無償にてご提供しているものです トレンドマイクロのサポートセンターにはお問い合わせいただけません ツールについて うまく動作しないなどのお困りごとがあった場合には 直接 GitHub にコメントをしてください github.com/deep-security 14
DevOps Development 開発 Operations 運用 15
DevOps+Security DevSecOps Development 開発 16 Operations 運用 Security
Deep Security の DevSecOps ツール群 /cloudformation /elastic-beanstalk /chef /ansible 17 /ip-lists /aws-config-rules /aws-waf /amazon-inspector /deep-security-py Amazon SNS でのイベント通知
AWS CloudFormation との連携 18
/cloudformation Deep Security Manager Deep Security Agent Deep Security Agent Public subnet Public subnet 19
20
21
/cloudformation Public subnet Deep Security Manager Deep Security Agent Deep Security Agent スクリプト実行で Public subnet 簡単インストール 22
AWS WAF との連携 23
/aws-waf AWS WAFとは Webアプリケーションに対するトラフィッ クをフィルタし AWS上で動作するWebア プリケーションを守るサービス カスタムルールに よるフィルタ 24 SQLインジェクション XSSなどのよくある攻撃 への対策 モニタリング
Deep SecurityとAWS WAF 監視対象レイヤー AWS WAF Deep Security カバー範囲 AWS カバー範囲 25 対策場所 AWS WAF AWS WAF Deep Security CloudFront Edge Location EC2 EC2
/aws-waf AWS WAFとは Webアプリケーションに対するトラフィッ クをフィルタし AWS上で動作するWebア プリケーションを守るサービス カスタムルールに よるフィルタ 26 SQLインジェクション XSSなどのよくある攻撃 への対策 モニタリング
deep-security/aws-waf ②AWS WAF の SQL Injection XSS用 ルールの作成 適用 AWS WAF SQLインジェク ション用ルール Deep Security as a Service client Amazon CloudFront Elastic Load Balancing Deep Securityで 保護された instance AWS WAFにSQLインジェクション XSSのルールを 作成し 自動的な保護を提供 27
DEMO 28
Amazon Inspector との連携 29
/amazon-inspector Amazon Inspectorとは アプリケーションのセキュリティ診断ツール ビルトインのルールパッケージを選択可能 Common Vulnerabilities & Exposures Center for Internet Security Secure Configration Benchmarks Security Best Practices Runtime Behavior Analysis 診断後の対策は 30 Deep Securityにお任せ
/amazon-inspector Amazon Inspector ③攻撃を ブロック アセスメント結果 Deep Securityで 保護された instance CVE-2015-7499 CVE-2014-8176 CVE-2014-9140 CVE-2015-5312 CVE-2015-8242 Deep Security as a Service ②脆弱性に対応する仮想パッチ(IPSルール)を適用 31 Amazon Inspectorのアセスメント結果に応じて 仮想パッチを自動適用
まとめ 32
まとめ 多層防御 ホスト型 柔軟な構成 課金 責任共有モデル クラウドのセキュリティ 33 DevSecOps 導入 自動化 運用
参考 Deep Securityのライセンス 機能毎に買える柔軟なライセンス 課金単位 インスタンス数 ライセンス名称 初年度 全機能 Deep Security Agent Enterprise IPS/IDS, FW Deep Security Agent Virtual Patch 変更監視 ログ監視 Deep Security Agent System Security ウイルス対策のみ Deep Security Agent ウイルス対策 EC2 34 EC2 次年度以降 213,000 106,500 125,000 62,500 107,000 53,500 98,000 49,000 全機能使っても 月々 12,000/ サーバ IPS/IDSだけなら 月々 7,000/サーバ 3年間お使いいただいた場合で算出しています
今すぐ Deep Securityをお試しする方法 Deep Security as a Service 管理サーバ不要のSaaSサービス 30日間無料トライアル中 トレンドマイクロのデータセンター Elastic Load Balancing Web APP 35 まずは無料の 毎月実施 ハンズオンに参加 日 程 2016年6月14日 火 時 間 14:00~17:30 Web APP Deep Security Agent Deep Security on AWS 無償ハンズオントレーニング Deep Security Agent 監視 管理 DSaaS Deep Security as a Service (DSaaS) 検索 定 員 40名 7月以降の開催日程はこちらの Webサイトでご確認ください http://www.go-tm.jp/dshol
ブースにぜひお立ち寄りください! 1 トレンドマイクロのセッション会場はこちら 展示会場 2 会場を出て左手の展示会場へ 3 トレンドマイクロのブースは展示会場入ってすぐ!! 36 Copyright 2015 Trend Micro Inc.
ご清聴ありがとうございました 注意 :GitHub のツール類はオープンソースで無償にてご提供しているものです トレンドマイクロのサポートセンターにはお問い合わせいただけません ツールについて うまく動作しないなどのお困りごとがあった場合には 直接 GitHub にコメントをしてください
Appendix 38
/aws-config-rules AWS Config Rulesとは 予め設定した 準拠すべきルール に沿った 構成変更が行われているかを評価するサービス すべてのEBSボリュームが暗号化されているか EC2インスタンスが適切にタグ付けされているか 等 AWS Managed Rules Customer Managed Rules AWSにより定義 提供される ベーシックなルール 自分でAWS Lambdaをベースに ルール作成可能 39
/aws-config-rules トレンドマイクロが GitHub で提供するカスタムルール すべての EC2 インスタンスで不正プログラム対策を有効にしていること すべての EC2 インスタンスにセキュリティ対策製品が導入されていること すべての EC2 インスタンスで決められたセキュリティポリシー設定が反映されていること EC2 インスタンスに導入されたセキュリティ対策製品でアラートが発令されていないこと 40
/aws-config-rules Config Rulesを利用して DSを利用しセキュリティを担保するポリシーを強制 41 企業がAWSの利用を社内展開する際の コンプライアンス順守を支援することが可能
Amazon SNSでのイベント通知 Deep Securityで検出したセキュリティイベントをSNS Topicとして通知 42 Amazon SNSと連携することで json形式でのイベントアウトプットが可能 Copyright 2016 Trend Micro Incorporated. All rights reserved.