NW X Security JAWS勉強会#2レポート #nwsecjaws02 #jawsug

こんにちは、臼田です。

伝説のNW-JAWSとSecurity-JAWSのコラボ勉強会がまさかの第2回が開催されましたのでレポート致します。

NW X Security JAWS勉強会#2 - connpass

動画

レポート

@ken5scalさん L1-2: Nitro Enclavesについて

• AWS Nitro Enclaves
  • イメージしやすいのは出島
  • ストレージなし、ネットワークなし、インタラクティブなし、メタデータなし、DNSなし、NTPなし
• Nitroまで踏み込むと大変なので今回は触れない
• ユースケース
  • 気密性が高い情報を処理
  • サービスの真正性を確かめる
• 詳しい話はあとで、まずは動かしてみよう
  • EC2の中でParentからvsockというものを使ってNitro Enclavesにアクセスする
  • Parentからは直接アクセスできない秘匿情報を処理
  • kmstool-enclaveを使う
  • vsock-proxyを立ててアクセスする
  • 秘匿された情報をenclaveに投げると複合されて返ってくる
• だから何？
  • 暗号化されたファイルを送って複合するっていうのは１つのインスタンスの中では当たり前では？
  • Attestationが重要
  • Attestationとは
    • 契約における証明書
    • 権威の裏付けが必要
    • その契約を受け取った側が本物かチェックする
    • 署名だけではなく真正であるか確認
    • 例えばCIの中で走るコードは本当に自分が作ったものか？
  • 機密情報を扱うのがちゃんと隔離されて安全が物理的に保証されたワークロードだけ使われていることが証明できる
  • イベントがきちんと記録される
  • Enclaveには証明情報を持たせる
    • その証明情報を元にしたIAM Policyを記述可能
    • PCR0, PCR1などという名前
    • 現時点ではKMSの一部APIのみ対応
    • ConditionでAttestationの値を条件に指定できる
    • そのうちS3やSecrets ManagerやDBでもサポートされるのでは？
    • enclaveが動くEC2インスタンスそのもの(Parent)からKMSのリクエストを投げても拒否される
      • EC2がマルウェアに乗っ取られたとしても秘匿情報の復号はEnclaveでしかできない
      • 例えばMeltdown/Spectreから保護できる
• この仕組自体、別にAWS独自ではない
  • Oracle/Alibaba/Azure/Googleでも同じようにやっている
  • クライアントサイドでは結構昔からある
  • Measured Bootなど
  • Microsoftのデバイスハイジーンなどを言っている
  • クライアントサイドだけでなくサーバーサイドにもその流れが来ている
  • 垂直統合の流れにもなっているのでは
• よくわからん
  • 結局KMSポリシーに依拠するのでは？
    • KMSポリシーが毀損されると良くない
    • SSRFでここもやられるのでは
  • 起動ログに「Spectre ***」みたいに書いてあるので、この対策がやりたかった雰囲気を感じる

感想

Nitro EnclavesでMeltdown/Spectreの対策がされることは用途の一つとして想定されているものだと思いますね。

AWSレイヤーはしっかりと守っていかないところは変わらないですね！

アマゾン ウェブサービス ジャパン 株式会社 菊池 之裕さん L3-4: Transit Gatewayあれこれ

• 持ち帰ってほしいこと
  • Transit Gatewayの忘れがちなアップデート
  • VPNのアップデート
  • Multicast IGMP
  • Appliance mode
  • Transit Gateway Connect
• Transit Gatewayのおさらい
  • 仮想的なルータ・ゲートウェイとしてVPNやAWSアカウント、オンプレミスを単一ゲートウェイで制御
  • 色んなものとつながったりする
• VPNアップデート
  • VPNの経路が増えました
    • お客様機器からTGWへの経路が100から1,000に
    • TGWからお客様機器への経路が1,000から5,000に
    • 東京・大阪どちらも使える
    • 使い方が2つある
      • TGWとの組み合わせのみ
      • VGWへのVPN接続は適用外
  • Accelerated VPN
    • Global Acceleratorの仕組みを活用して転送
    • 遠くからのVPN接続がより安定する
• Transit Gateway Multicast
  • IPv4/v6対応
  • マネージド
  • 外部アプリと統合可能
  • ダイナミックIGMPメンバシップ
    • オンプレで動いていたものをそのまま持ってこれるようい
• Transit Gateway Appliance mode
  • GWLB / Network Firewallリリース時にしれっと追加された
  • アタッチメントに適用
  • 同じAZを通る対象通信になる
  • TGWの送信は同じAZを通りたがる
  • 標準では戻りも同一AZのENIを経由する
  • Appliance VPCを経由して戻るようにする場合にうまくいかなくなる
  • Appliance modeを有効化すると解決できる
    • CLIのみ
    • 行きと帰りが同じ経路を通る
    • Appliance modeの場合ハッシュによってAZ1-1間でもAppliance VPC側がAZ2になるみたいなこともあるので注意
• Transit Gateway Connect SD-WAN
  • SD-WANとTGW間でBGPできる
  • TGW Connect アタッチメントというものができた
  • GRE張るやつ
  • TGWにCIDRブロックを持てるように
  • ECMPをサポート
  • ASパスとASNが一致する必要がある
• BGPv4
  • EBGP/IBGPサポート
  • v6サポート
  • BGPアドレッシング
    • fd00::/8の範囲の/125を設定
    • 169.254.0.0/16の範囲の/29を設定
      • 予約ブロックがあるので注意
      • 169.254.0.0/29とかは予約されている
• ルーティング
  • 仮想アプライアンスでSD-WANを受けて、TGWアタッチメントでTGWとつなぐ

感想

ネットワーク周りもいろいろアップデートありますね！

TGWを使うと複雑なネットワークの制御は楽になるので、ガンガン使っていきましょう！

クラウドストライク株式会社 八木下 利勝さん L5-7: AWSとCROWDSTRIKEの連携について

• AWS Network Firewallとの連携についての話
• CrowdStrikeは2011年創業
  • FALCONという製品を展開している
  • お客様の情報漏えいを止めることがコーポレートミッション
• EDR + 人 + 脅威インテリジェンス + サービスの連携をしている
  • 世界中のissueを集約して相関分析・可視化するThreat Graph
  • 高度な脅威ハンティングも行っている
  • Threat GraphはSIEMなどと連携ができる
  • 侵害の調査もやっている
  • CSPM(Cloudのセキュリティ管理)もある
  • EDRの会社と思われがちだがいろいろやっている
• AWS Network Firewallとの連携
  • 2020年11月にローンチパートなとして発表
  • Falconプラットフォームとの連携
  • 脅威インテリジェンスとデプロイメントの自動化
  • ネットワークからエンドポイントまでを保護
  • Network FirewallはVPCに簡単にセットアップできるネットワーク保護機能
    • Vantaの柔軟なルールエンジン
    • きめ細かい制御を行うファイアウォールルールの定義が可能
• メリット
  • AWS上の既知の悪意のあるドメインへのアクセスを迅速にブロック、インシデントレスポンスを加速
  • Falconで管理されているホストやネットワーク全体でプロアクティブに脅威ハンティング
• CrowdStrikeの脅威インテリジェンスは実はGuardDutyとも連携している
• 具体的な連携の機能
  • ダイナミックポリシー作成
  • インシデントレスポンスの効率化
  • プロアクティブな脅威ハンティング
• アーキテクチャ
  • EC2にFalcon sensorを入れる
  • Falcon Platformに情報転送
  • Security EventをSecurity Hubに転送
  • LambdaでNetwork Firewallにルール適用
• 連携シナリオ
  • CloudFormationでテンプレート提供
  • シナリオ1: アラート後にドメインをブロックリストに追加
    • エージェントがドメインに関する疑わしいイベントを検知
    • Security Hubにその情報が流れる
    • EventBridge -> Lambdaを経由してFWルール追加
  • シナリオ2: CrowdStrikeドメインベースのIOAに基づく脅威ハンティング
    • 管理者がフィルターを作ってFQLという文字列にする
    • FQLをLambdaの環境変数に追加
    • Lambdaの定期実行によりFWルールに追加
• 前提条件
  • CrowdStrikeのサブスクリプション
    • Falcon Prevent
    • Falcon X
  • AWS
    • 現状のテンプレートはバージニア/オレゴン/アイルランドに対応

感想

もともとEDRなどで活用できているCrowdStrikeの機能をNetwork Firewallと連携できるのはいいですね。

Network Firewallはルールの管理が大変なので、それが自動化できるのはメリットだと思います。

アマゾン ウェブサービス ジャパン 株式会社 松本 照吾さん L7+: 監査の観点から見るクラウドの世界

• 最近のトピック
  • AWSはISMAPに登録した
  • 大阪リージョン対応時に地震災害対応のホワイトペーパーをAWS Artifactから提供
  • FISC「金融機関等におけるクラウド導入・運用に関する解説書(試行版)」発行に寄せて
• 監査はどんなお仕事か
  • 目的に即して範囲を決める
  • 基準に従い事実を集める
  • 事実に基づく意見(結論)を提示する
• 「監査人て友だちがいるの？」彼女は笑った。
  • 本に書いてあった
  • 監査人にいい印象を持っていない事が多い
  • 監査人はほんとに現場をわかっているのか？
    • こんなことあるかも
    • 言われんでもわかっている
    • 無責任な助言、提言
    • 行っている事自体、おかしい
  • ルールを分かっている人とゲームを分かっている人で差がある
    • クラウドの監査はゲーム(クラウド)を理解してもらえていない背景があるのでは
• 伝統的な監査やセキュリティの限界
  • サンプリング
  • 業務を止めない
  • 乏しい人的資源
  • お金じゃぶじゃぶにかけられるわけではない
• 現在の情報セキュリティ監査の課題
  • 拡張していくインフラ
  • 複雑な構成要素
• マニュアル監査による限界
  • PCIでは構成要素の確認ができてないケースがとても増えた
  • インベントリをみる監査が対応していない
  • マニュアルなチェックもまだまだ多い
• セキュリティのイベントであるre:Inforceでエクセルのシートを使ったらだめだと言った
• AWS自身がどうやってコンプライアンスを維持しているかというセッションをした
  • 自動化をどんどん進めている
• Audit Managerによる効率的な証跡収集ができるように
  • 監査人の仕事はこれを見て意見・結論を言うこと
  • 集めるのは誰でもできるから機械にやってもらおう
• Cloud Audit Academy
  • 監査人にクラウドを教えるコンテンツ
• 更に大事なのはPolicy makingにおけるデザイン
  • 監査人はものさしがある
  • ものさしが狂っていたら良い意見を出せない
  • Security By Cloudによるちょっと違ったPDCA
    • Principle based
    • Data Oriented
    • Continuous Monitoring
    • Auditable and Actionable
• re:Inforceがまた開催されるので是非登録を！

感想

監査がクラウドに追いついていく必要があるところはすごくそうですね。

スプレッドシートから脱却しましょう！

元海上自衛官 伊藤 成幸さん L0: 物理的標的型攻撃に対する生存戦略

一見AWSと関係ないように見えるけど、実はAWSと関係があった！？

詳しくは(動画で)君の目で確かめてくれ！

さいごに

さすが伝説のNW X Security JAWS勉強会ですね。すごかったです。

幅広いレイヤーの話が聞けました。是非動画も確認してください。