[レポート]AWSの革新とCrowdStrikeのセキュリティ (sponsored by CrowdStrike) #PRT275 #reinvent

クラウドの進化とともに、クラウドネイティブなマイクロサービスのワークロードはセキュリティにおいて複雑さを増しています。AWS責任共有モデルの上で顧客が守るべきセキュリティ課題を CrowdStrike の Protection Products ではどのように守っていくのかを re:Invent 2022 のパートナーセッションで公開
2022.11.30

セッション

スピーカー:Rob Solomon、Sam Herath セッションレベル:200 - Intermediate カテゴリ:ハイブリッド、セキュリティ

はじめに

AWSの年に一度の祭典 re:Invent 2022に参加しております。 現地オフラインで Innovate with AWS and secure with CrowdStrike (sponsored by CrowdStrike) というセッションに参加してきました。

セッションの概要は以下となります。

概要

過去2年間で、クラウド採用への移行が加速しました。この急速な変化により、最新のサイバー脅威から IT 資産を保護することの重要性が増しています。 AWS と CrowdStrike は協力して、クラウドジャーニーのどこにいてもソリューションを提供しています。リフトアンドシフト方式を使用した VMware ベースのワークロードの移行から、マイクロサービスとコンテナを使用したインフラストラクチャの完全な最新化まで、AWS と CrowdStrike には、インフラストラクチャの革新と保護を支援するソリューションがあります。このセッションに参加して、AWS と CrowdStrike がどのように連携してクラウドの変革をより迅速かつ安全にするかを学びましょう。このプレゼンテーションは、AWS パートナーである CrowdStrike によって提供されます。

内容

  • クラウドは世の中に浸透して、現在ではマイクロサービスや IaaC を利用する機会が多くなっている

  • ビジネスは高速で成長しようとするため、新しいAWSアカウントを作成してアジャイルに開発を進めている
  • クラウド上の脅威として考えているもの
    • 設定ミス
    • サプライチェーン
    • SolarWinds の例をとるとアップグレードモジュールに侵入し、効果的に攻撃が成立した

  • AWS責任共有モデルでそれぞれのセキュリティの責任について明確化されている
  • 攻撃アクターを知ることで脅威から守ることが可能でCrowdStrikeはその分野で得意としている

  • 軽量なセンサーエージェントによりワークロードを保護
  • CrowdStrike Security Cloud へ安定したストリームのテレメトリ送信
  • CrowdStrike の脅威ハンター、セキュリティ研究者、Incident Responderチームからのインテリジェンスサービス
  • Endpoint Security や Cloud Security による脆弱性検出、パッチ管理、ID保護のサービスが提供される

  • CrowdStrike は AWS上にデプロイされている
  • 1兆以上のイベントを処理
  • 180の攻撃者グループをトラック
  • 1分間に1億3500万の攻撃の指標を決定
  • 15億個のコンテナを保護

  • エージェントベースの保護はカーネルレベルの可視性を提供
  • プラスしてエージェントレスのAPIやイベントドリブンのインフラストラクチャから得られる可視性
  • ミスコンフィグレーションの確認やAWS CloudTrailによる全てのアクティビティをチェック
  • シフトレフトの一環として、レジストリイメージのスキャンが可能

  • マルチアカウント戦略上の AWS Control Tower と EventBridge を利用した Falcon Horizon との統合
  • AWS Control Tower の管理下で新しくアカウントが作られた場合でも、EventBridge がそれを Falcon Horizon に通知して、自動的にスキャンして脅威グラフを分析
  • GuardDutyやガバナンス情報を Falcon Horizon に統合

  • CrowdStrike の脅威情報はAWSサービスにフィードされており、GuardDuty検知サービスの情報源となっている

  • Amazon ECR コンテナイメージをFalcon Workload Security でスキャンすることで Shift Left を実現する

  • Amazon ECR コンテナイメージをFalcon Workload Security でスキャンすることで Shift Left を実現する
  • AWS CodePipeline の中に Falcon CWP を連携させることができる
  • Dockerのベースイメージだけでなくソフトウェアの構成イメージも評価可能

  • ECR のイメージスキャンの結果
  • CVS の高いものから優先度をつける運用が可能
  • ソフトウェアの構成情報も分かる

  • Workload Protection のエージェントは AWS System Manager を使って展開

  • EC2タイプのEKSではHelmなどを使って配布することができます。ECSでもEC2タイプは同様
  • Fargateはサイドカーとしてセンサーコンテナを立ち上げて保護する

  • Falcon コンソールのメインとなるランディングページでは最新の検出を表示

  • さらに詳細ビューをドリルダウン
  • プロセスの可視化を表示

  • プロセスの詳細を表示

  • プロセスがどのタイミングでどうなったかを確認
  • プロセスのコンテキストが脅威と判断されたため強制終了させられている

  • PrivateLink を使って、インターネットを通さず、Cloud上のCrowdStrikeとデータ通信が可能

  • Security Hub との統合では、CrowdStrike の検出結果をプッシュすることができる

  • S3オブジェクトを Falcon X Sandbox for analysis にラムダ関数でつないで不正なオブジェクトを削除
  • Security Hub にも連携する仕組みを統合

まとめ

CrowdStrike による AWS Workload Security のアプローチについて概要を理解することができました。
このセッションで印象に残ったのはなんと言っても CrowdStrike の持つ脅威インテリジェンスを使って、Shift Left や Runtime時の防御を行っていくことができる点が魅力的だと感じました。また、検知情報のUIもプロセスの動作などの詳細まで追うことができ非常に強力なツールだと感じました。