[レポート]インスタンスセキュリティのベストプラクティスを専門知識が無くても・工数をかけずとも実現するには? – AWS Security Forum Japan 2023 #aws #awssecurity
皆さん、こんにちは。
明るい笑顔がトレードマーク、ルイボスティーが大好きな芦沢(@ashi_ssan)です。
今回は2023年10月12日にオフラインで行われたAWS 国内最大のセキュリティイベントであるAWS Security Forum Japan 2023の下記セッションのレポートです。
インスタンスセキュリティのベストプラクティスを専門知識が無くても・工数をかけずとも実現するには?
【スピーカー】 ソニービズネットワークス株式会社 開発本部 インテグレーション部 クラウドインテグレーション課 開発グループ
濱田 一成 氏
インスタンスセキュリティのベストプラクティスとは、脅威検知・脆弱性管理・攻撃対象低減・自動保護などを、継続的に実行できていること。 それらはAWS のセキュリティサービスを組み合わせることで対応可能です。 ただし、その実現には専門知識と相当の工数はかかかります。 それらの課題を解決し、ベストプラクティスを実行するにはどうすれば良いか? ユースケースを交え解説します。
ソニービズネットワークス株式会社
開発本部 インテグレーション部 クラウドインテグレーション課 開発グループ
濱田 一成氏
アマゾン ウェブ サービス ジャパン合同会社
パートナーアライアンス統括本部 テクニカルイネーブルメント本部 パートナー ソリューションアーキテクト
田村 大地
3行まとめ
- AWSにとってセキュリティ対策は最重要で、ドキュメント、サービス共にさまざまな知見やソリューションを公開・提供している
- IAM Roleの利用、セキュリティグループ許可の最小化など重要で簡単にできる対策はすぐやろう
- EC2インスタンスのセキュリティ対策を効率化させるためのさまざまなAWSサービスを駆使しよう
セッション概要
- スピーカーについて
- 濱田さん(ソニービズネットワークス)
- システムの設計構築やサービスの企画をやっている
- AWS Ambassodar
- 田村さん(AWSJ)
- パートナービジネスの技術支援
- 濱田さん(ソニービズネットワークス)
- 中小企業のセキュリティ課題
- 抽象度の高さ
- 物理的対策
- オフィスの対策など設備の対策
- 論理的対策
- ウイルス対策、備品の管理、社員教育
- 企業の取り組みはなんでもセキュリティ対策
- 範囲が広すぎて何をしたらいいかわからない
- 物理的対策
- 学習コストの高さ
- OS、ネットワーク、アプリケーション、ミドルウェアなど技術レイヤー多岐にわたる
- セキュリティ専門人材はあまりいない
- 抽象度の高さ
- 本日のゴール
- Amazon EC2のセキュリティベストプラクティスを把握する
- セキュリティ強化に役立つサービスを理解する
- これからどこを学んでいけばいいのか?がわかるようになる
- AWSセキュリティの基本的な考え方
- 従来のセキュリティモデル(オンプレミス)
- ハードウェア〜アプリケーションまでユーザーが担保することになる
- AWSのセキュリティモデル
- 責任共有モデル
- AWSはハードウェアからソフトウェア(セキュリティオブザクラウド)、ユーザーはそれより上を確保する責任を持つ
- 責任共有モデル
- お客様とAWS双方でセキュリティを守りましょう、ということ
- 従来のセキュリティモデル(オンプレミス)
- AWSのセキュリティ(Security Of the Cloud) = AWSにとって一番大事なこと
- 第三者機関の認証
- 監査レポート(Atifact)
- クラウド内のセキュリティ(Security in the Cloud)
- AWSはAWS上のセキュリティを担保できるようなセキュリティ情報やサービス、ソリューションを提供している
- AWSのセキュリティソリューション
- NISTのCSFに準じてたくさんある(識別→防御→検知→対応→復旧)
- 本日紹介するサービス
- Amazon GuardDuty
- 脅威とは?
- 偵察、インスタンスの侵害、アカウントの侵害などがある
- VPC Flow LogsやCloudTrailログを利用してインスタンスの侵害を検知できる
- IDS/IPSで検出が難しい、アクセスキーの侵害を検出できる
- Amazon Inspector
- ソフトウェア脆弱性などを継続的にスキャンする、脆弱性管理サービス
- AWSワークロードの脆弱性管理をシンプルに実装できる
- AWS Systems Manager Patch Manager
- EC2インスタンスの役割やOSによってパッチベースラインを作成する
- パッチベースラインに応じてパッチの適用ができる
- 例えば、Windows Server 2016のセキュリティアップデートのCriticalのみを適用する、など
- OSやアプリケーションのパッチ適用を自動化できる
- Amazon GuardDuty
- APNセキュリティコンピテンシーパートナー
- セキュリティの高いコンサルティング力があるパートナーが認定されている
- ソニービズネットワークさんは認定されている4社のうちの1つ
- Amazon EC2のベストプラクティス
- セキュリティ、ストレージ、リソース管理、バックアップ復旧、ネットワークがある
- 今日はセキュリティのみについて話す
- セキュリティベストプラクティス
- AWSリソースやAPIのアクセスには一時認証情報を利用する
- 選択肢は、アクセスキーを利用する or IAM Roleだが、IAM Roleがベスプラ
- アクセスキー
- 簡単に払い出せるが、失効削除するまでずっと使えてしまう。
- 最終手段としてのみ使うべき
- IAM Role
- EC2のインスタンスメタデータに紐つける
- インスタンスがAPI実行する際に一時認証情報を自動で紐つけて実行してくれる
- 基本的にこちらを使うべき
- セキュリティグループに最小権限を適用する
- セキュリティグループ = ステートフル型のファイアウォール
- デフォルトは拒否で、必要なポートのみを許可することがベスプラ
- 利用する機会が多いポート(SSH / RDP)は広く開けないように
- 定期的にインスタンスにOSアップデート、アプリケーションのパッチ適用を行うべき
- いわゆるWindows Update、yum update
- 脆弱性に関するセキュリティアップデートももちろん含まれるので定期実行すべき
- とはいえ本番ワークロードへのパッチ適用は難しい
- ここでSSM PatchManagerの出番
- 同時実行数制御やパッチ適用プロセス(動作)のカスタマイズができる
- ライフサイクルフックを使った、パッチ適用 → DBの書き込停止 → 再起動、の自動化
- ソフトウェアの脆弱性やネットワークの意図しない公開がないかのスキャン
- プライベートNWにあるべきインスタンスが公開されていることは多い。まずは意図しない後悔を防ぐべき。
- 対策として役に立つAmazon Inspector
- 利用開始は簡単。SSMエージェントを入れて、IAMロールでInspectorの利用権限を許可するだけ
- EC2をセキュリティベストプラクティスやセキュリティ標準に照らして監視する
- AWS Security Hubを使う
- セキュリティサービスの検出結果をまとめて管理したり、AWSアカウントに対する自動セキュリティアセスメントができる
- 現在の準拠状況をセキュリティスコアで表示でき、違反項目などの一覧化が可能
- Secuirty Hubを使うことでセキュリティの改善サイクルを回すことができる
- セキュリティチェック、改善案の策定、改善、セキュリティチェック....
- AWSセキュリティベストプラクティスやPCI DSS 、CISなどさまざまなセキュリティ標準がある
- AWSリソースやAPIのアクセスには一時認証情報を利用する
- まとめ
- AWSやAPIのアクセスには、IAM Roleを使う
- セキュリティグループに対して最小権限を使う。特にSSHやRDPに気をつける。
- 定期的にパッチ適用やOSアップデートを行う。SSMを使うと楽になる。
- ソフトウェア脆弱性やネットワークの意図しない公開を防ぐ。Inspectorを利用すべき。
- AWS Security Hubを使ってセキュリティベストプラクティスの改善サイクルを回す
感想
EC2インスタンスにフォーカスしたセキュリティ対策について、初心者の方にとってもわかりやすいセッションだと思いました。
IAMアクセスキーを使わない、セキュリティグループ許可の最小化、パッチ適用の自動化など、弊社のSAが普段お客様向けに技術支援するときに意識しているところが網羅的に説明されてていいな、と思いました。
以上、芦沢(@ashi_ssan)でした。