[レポート]マイクロサービスにおける効果的なセキュリティ対策 – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2021で行われた以下の講演のレポートです。

マイクロサービスにおける効果的なセキュリティ対策

モノリシックなアプリケーションのマイクロサービス化を進めるにあたり、コンテナを活用するケースが主流となってきました。コンテナ環境においては、既存の脅威への対応だけでなく、新たなリスクへの対策など、多層的な防御が必要となってきます。コンテナ環境を活用したシステムにおいて、実際に PCIDSS/PCI3DS を取得した経験を踏まえて、効果的なセキュリティ対策についてご紹介します。

GMO ペイメントゲートウェイ株式会社 システム本部 常務執行役員 CTO　三谷 隆 氏

レポート

• マイクロサービスで必須になっているコンテナについて実践してきたことを紹介
• 会社紹介
  • キャッシュレス、Fintechの先進企業
  • 内製にこだわっている
  • オンプレミスとクラウドをハイブリットに利用している
• ワークロード特性
  • 年間33億件の決済トランザクションを処理
  • 決済に必要な情報を取り扱う
  • PCI DSS, PCI 3DSは必須要件
  • 常にハッカーの評劇に
  • 万が一侵入された場合でも被害を最小限にする
• AWS活用の心配事
  • 提供スピードの心配
  • 費用面の心配
  • セキュリティの心配
  • スキル面の心配
• 実際どうだったか
  • クラウドは4-5年やってきた
  • 外部委託してもスピードは上がらない
    • 小さくても内製開発に挑戦する必要がある
    • 今度払い byGMOでは開発期間が3ヶ月
  • 単純なクラウド移行はコスト増
    • 流動的な需要に合わせたデザインとSavings Planの活用
    • オンプレ比30%低減
  • PCI DSS準拠のマネージドサービスを活用できた
  • やってみたいメンバーはどの会社にもいる
    • 研修コースを学んでもらい即戦力に
    • モチベーションアップして大活躍
    • やってみたい、わくわく感を大切に
• これまでの活用と将来像
  • そのまま使える便利なサービスを活用
  • 開発やテストPoC活用
  • 本番環境に活用
  • 決済システムにて本格的に活用 ←いまここ
  • 決済におけるストレス、フラストレーションのない世界へ
• 新サービスも準備中
  • クラウドネイティブな決済APIを開発中
  • AWS利用中のお客様はPrivateLinkでセキュアで低レイテンシー接続も可能
• 数字で見るマイクロサービス
  • 77%がマイクロサービスは開発チームにメリットをもたらす
  • 68%はマイクロサービスを採用する価値がある
  • 66%が人材確保が用意と回答
  • コスト削減よりも対顧客や開発のメリットがある
  • 今後2年でマイクロサービス化をすすめる
    • 56%が新規採用
    • 78%が投資を増やす
    • 59%のアプリがマイクロサービスを利用
• 障壁やリスクについて
  • 採用しない理由
    • 革新的なペースについていけない
    • モノリシックなアプリケーションからの変換が複雑
    • 学習コスト
    • セキュリティ
• 12 Factor App
  • モダンWebアプリ開発のベストプラクティス
  • マイクロサービス採用で3つに適用
  • 残り9つはコンテナ実装で対応
  • コンテナ最強に見える
• コンテナのセキュリティ面の課題
  • CFCNの調査
    • 32%は最大の課題がセキュリティ
  • 68%でDocker hub上で脆弱性のあるイメージ
• コンテナセキュリティ対策
  • 実践した話
  • NIST SP800-190
  • コンテナセキュリティの指針
  • IPAの翻訳したものもある
  • 5つのカテゴリ、23のリスクが定義されている
  • マネージドサービス利用で3つのカテゴリをカバー
  • コンテナイメージスキャンでイメージについて対策
  • コンテナランタイム対策でコンテナ自体の対策
  • モニタリングと運営で全体にまたがる対策
• マネージドサービス利用
  • Kubernetesは3ヶ月更新、サポート機関は9-12ヶ月
  • 変更への追随
  • 各種ソフトウェアの組み合わせた必要
  • 稼働確認・更新時の変更への対応
  • 企業で1つのオーケストレーターを使うことはできない
  • 複数のオーケストレーター環境を複数バージョンで管理運用
  • 積極的にマネージドサービスを利用することに
    • ECR
    • ECS
    • Fargate
• コンテナイメージスキャン
  • 静的スキャン
    • Push時や定期的なスキャン
    • Clairで脆弱性
    • Dagdaでウイルス、マルウェア
    • 本番適用の前に承認や全体チェックを挟んだ
• コンテナランタイム対策
  • ReadOnlyコンテナを使う
    • 動的スキャンより手軽
    • 書き込みを防止してリスクを回避
    • シンプル
  • もしくは動的スキャン
    • Falcoなどを利用する
    • マルウェアやバックドア対策
  • コンテナってウイルス対策いるの？って聞かれる
    • コンテナでも変わらず必要なので要注意
  • アウトバウンド通信制限(FQDNベースフィルタリング)による出口対策
    • IPなどでは昨今難しいのでProxyコンテナを建ててフィルタリング
• モニタリング・運営
  • ログモニタリング
    • クラウドとオンプレ両方で活用している
    • クラウドの設定不備はSecurity HubのPCI DSSテンプレートを活用
    • 変更操作の監視はTrail/Config/CloudWatchなどからEventBridgeを経由で通知
    • オンプレはZabbixやFilebeats
    • チャットやメール・電話で連絡
      • オペレーターの手運用から脱却した
    • ログは全部S3に集めてSageMakerやSIEMで不正検知や相関分析
  • 運営の体制が必要
    • SREチームがCCoEを兼務
      • 詳しい横串エンジニア集団に
    • クラウド管理・運営にはテクノロジー理解が不可欠
      • CCoEメンバー以外もスキルの底上げが重要
      • 毎年6-7名をAWSの研修コース(15日間)に派遣
      • 企業は人なり
• まとめ
  • マイクロサービスにおけるセキュリティ対策
    • マネージドサービス利用でスコープを減らす
    • イメージ/コンテナの脆弱性をテクノロジーを使って排除
    • ツールをフル活用してモニタリングする
    • 新しいスキルを学び成長しながら運営していく

感想

ワクワクしながら仕事出来る環境は重要ですね。

PrivateLinkを使ったサービス提供も素晴らしいですね。

マイクロサービスの実践は非常に参考になる内容でした。真似していきたいですね。