[レポート]クラウドネイティブにセキュリティを活用する！APIを連携して実装する方法 #AWSSummit

こんにちは、城内です。
今回は、 AWS Summit Tokyo 2016の6/3(金) P3C1520セッションのレポートです。

セッション情報

• セッション名：【トレンドマイクロ様登壇】クラウドネイティブにセキュリティを活用する！API を連携して実装する方法
• スピーカー：岩瀬 由季氏（トレンドマイクロ株式会社　セキュリティエキスパート本部 プリセールスSE部 エンタープライズパートナーSE課 シニアエンジニア）

セッション内容

AWSの責任共有モデル

• 物理、データリンク→AWS
• ネットワーク、トランスポート、セッション、プレゼンテーション、アプリケーション→ユーザ

Deep Securiryの概要

• All in Oneのホスト型セキュリティソフト
• IDS/IPS
• セキュリティパッチを適用することなくサーバの脆弱性を保護する（パケットフィルタリング）

仮想パッチ

• システムへの影響は最小限
• 多種類のOS/APPの脆弱性に対応（TrendMicroからIPSルールを配信）

推奨設定でチューニングが自動化

• 推奨検知を行い、自動でチューニング
  • IPSの仮想パッチで脆弱性をブロック

管理面でのメリット

5つの機能で多層防御

• IDS/IPS、ウィルス対策、F/W、ログ監視、変更監視

Gateway/ホスト型のどっち？

Gateway型のデメリットとして、IDS/IPSのインスタンスがSPOFやボトルネックになりがち。
→ホスト型であればGW型のデメリットを受けない
→ホスト型をお薦め

AutoScalingへの対応

• AutoScalingの状況をDeep Securityマネージャへ同期可能
• インスタンス増加の際の設定不要
• 一時的な増加に関してはライセンス無料

Deep Security構築、運用の自動化

DevSecOps(DevOps+Security)

自動化ツールをGitHubで提供している。

導入ツール

• AWS CloudFormation
  • Deep Securityマネージャの構築
• AWS Elastic Beanstalk
• Chef
• Ansible

運用ツール

• AWS Config Rules
• Amazon Inspector
  • 診断後の対策をDeep Securityで対応
  • Inspectorでアセスメント
  • 脆弱性に対する仮想パッチを適用
• AWS WAF
  • ルールセットを自動的に生成
  • 推奨検索でSQLインジェクションを検知
  • Deep Securityの管理コンソールから設定を入れる

まとめ

• 責任共有モデル
• クラウドのセキュリティ
  • 多層防御
  • ホスト型
  • 柔軟な構成・課金
• DevSecOps
  • 導入ツール
  • 運用ツール

DSaaS(Trend Micro Deep Security as a Service)

• 管理サーバ不要
• 30日間のトライアルが可能

感想

セキュリティ製品はオンプレのイメージが強かったので、勝手に自動化など縁がないものかと思い込んでいたのですが、いまどきはAPI連携が当たり前の時代なんですね。

とても勉強になりました！

資料リンク

• AWS Summit Tokyo 2016 セッション資料・動画一覧 | AWS