NW X Security JAWS勉強会 #1 #secjaws #nwjaws #nwsecjaws01

こんにちは、臼田です。

NW-JAWSとSecurity-JAWSの　合　同　開　催　!! の勉強会が開催されましたのでレポート致します。

NW X Security JAWS勉強会　#1 | compass

セッションレポート

L1&L2 日本一AWSに近い場所。独自に進化を遂げたエクイニクス・ジャパンの現状（仮）

エクイニクス・ジャパン　グローバル・ソリューション・アーキテクト　内田 武志さん

エクイニクスとは

• AWSダイレクトコネクトロケーションがある
• お客様同士をつなぐことを得意としている

L1の話

• Direct Connectロケーションの構成
  • DX Locationはお客様とつながる部分RouterとAWSのRouterがある
  • 今日はその間の話
• L1での接続(AWS 東京リージョンの場合)
  • Direct Connectロケーションでの相互接続
    • 方式は3つ
    • Cross Connect
    • Campus Cross Conect
    • Metro Connect
  • LOA-CFAに従い、Equinixエンジニアがラック間を配線
    • Cross Connect, Campus Cross Conectは約24時間で開通
    • Metro Connectは10営業日ほどで開通
  • ルータ等のネットワーク機器への接続
  • TY2の中にケージに入ったAWSの設備がある
  • お客様用とAWS用のパッチパネル間をEquinixで接続する
  • TY2はプレミアムロケーションで通常は利用できない(空きがない)
    • PeeringDBで利用しているプロバイダが確認できる
  • TY6/7/8を作ってTY2と接続できるようにした(けっこう空きが多い！)
  • TY6/7/8とTY2は直接光ファイバーでつながる
  • 都内全拠点からDWDMでμs単位で接続可能
    • DWDM(高密度波長分割多重)
    • 800Gbps出せるらしい
    • セキュリティが高い、速い、低遅延
    • 複数拠点経由しても光信号のままパススルーが可能
• DXの地理的な冗長化
  • 大阪のOS1でも同じような構成がある

L2の話

• AWS Direct Connectは1Gと10Gしか価格がない
• DX Hosted Connectionというメニューを提供している
  • 50Mbpsからバラ売りできる
  • 月額$21.6から
• Equinix Cloud Exchangeで様々なクラウドと相互接続出来る環境も提供
• スポットでDX使いたい場合にも安く利用できる
• ポータルベースで利用できる

まとめ

• 物理に対する細やかなノウハウがある
• 「生のDirect Connect」を活かすために、極力シンプルに、パフォーマンスを落とさずにやっている
• クラウドを利用しやすいように提供している

感想

長年物理をやられている経験から、信頼がおけて高品質の理由もわかる内容でした。

Direct Connectの切り売りサービスはちょっと利用したいクラウドに最適のプランになっているので、利用してみたくなりますね！

L3&L4　AWSにおけるIPv6対応状況

アマゾンウェブサービスジャパン　荒木 靖宏さん

アップデート

• VPCでCIDRの編集ができるようになった！

[新機能] VPCのCIDRが拡張可能になりました！IPアドレス範囲を追加可能です！

IPv6の現状

• 中国以外全てIPv6対応している
• AWSサービス内でも対応しているものが増えてきている
  • 基本的なサービスに対応
  • ALBも対応している

歴史の話

• Working Backwardsの考え方で対応している
  • お客様が必要なものから
  • 対応した順番に紹介
• 最初にCLBで対応
  • EC2-Classic向けだった
  • デュアルスタックとし、IPv6はオプトインとして実装
  • 2011/05にIPv6サポートした
    • World IPv6 dayに向けて対応
• 次にAWS IoTで対応
  • 生まれたときからIPv6対応
  • IoTではデバイス数が膨大になることが予想されるため
• S3で対応
  • ちっとも大騒ぎにならなかった
  • IPv6で使うと速いよ！
  • 日本国内のIPv6なら特に速い！
• CloudFrontで対応
• AWS WAFも対応
  • ほぼ生まれたときから対応
  • WAFはCloudFrontとALBで対応している
  • ただし、ブラックリストに書けるIPアドレスの数は少ないので注意
• Amazon Route53でも対応
  • IPv6でのクエリに対応したのは遅かった
  • IPv4に追加なので、堅牢性が更に上がっているのでは
• ALB対応
  • CLBよりも殆どの場合速くて安い
  • これからのメインストリームなので、皆さんそろそろCLBは卒業しよう
• VPC対応
  • Direct Connectで接続できる
  • ルーティングはBGPのみ
  • IPv4がデフォルト、IPv6はオプトイン
  • マネジメントコンソールで一覧に出すことも出来る(チェック入れる)
  • IPv6グローバルユニキャストアドレス(GUA)
    • IPv6を有効にしたVPCではGUAを利用する
    • 1:1NATは存在しない
  • Egress-only Internet Gateway
    • IPv6インターネットアクセスのために仮想デバイスを導入
    • セキュアにIPv6を利用できる
  • セキュリティグループ、ルートテーブル、NACL
    • IPv4と同じように利用できる
  • CIDRブロックサイズは56bit固定
    • 空間が広すぎるので絞っている

セキュリティの話

• VPC Flow Logsを利用しよう
• 安く利用できる(S3のログは自己管理してね)
• kibanaに食わせるといいよ！

まとめ

• AWSのIPv6はほぼ全世界で使える
• 一般的なWebサービスの構成などはIPv4/v6のデュアルスタックで構築可能だからやってみよう！

感想

昨今ではIPv6利用して自宅のネット環境が早くなったりしている話もありますし、AWSではIPv6の利用に十分耐える構成が可能なので、どんどんIPv6対応サービスが作られるといいですね！

L5&L6&L7　AWS WAF の話とSecurity Automation の紹介

アマゾンウェブサービスジャパン　桐山 隼人さん

AWS WAFの話

• 良いところ
  • 脅威からの保護
  • API連係
  • 簡単にデプロイ
    • WAFとして重要
  • トラフィック可視化
    • Cloud Watchなどとも連携できる
  • 従量課金制
    • 従来のWAFとは違う
• 最近のアップデート
  • HIPAA準拠
  • レートベースルール
  • OWASP Top10対応
  • AWS WAF Security Automation
• レートベースルール
  • アプリ層のDDoS攻撃、総当たりのログインなどから防御
  • 5分間で一定以上のリクエストがあるとブロック
• OWASP Top10脆弱性対策ホワイトペーパー
  • 推奨するWeb ACLとルールを含むCloudFormationテンプレートもある！

Security Automationの話

• 何をAutomationするのか
  • Deploy
  • Analyze
  • Protect
• Deploy
  • AWS WAFのルールをCloudFormationから選択式で選んで利用できる
• Analysis
  • ハニーポッド
    • コンテンツスクレイパーやBotの誘い寄せ
  • アクセスログの解析
    • DDoSなど疑わしい攻撃の送信元を特定
  • IPリスト解析
    • IPブラックリストからSpammerやBotnets検知
• Protection
  • 一般的なWAFのルールを追加してくれる

More Automation

• 手が空いたセキュリティエンジニアは何をしよう？
• Domain Generation Algorithms
  • DGAとは
    • 機械的にドメインを大量に生成する不正行為
• DGAによるドメイン名からの通信をブロックしたい
• リファラーからDGAを利用していることを特定するため機械学習を使おう
• AWSでPoCをやってみたらまあまあいい結果になった！

まとめ

• どんどんオートメーションしよう！
• https://aws.amazon.com/jp/about-aws/events/webinars/も見よう！

感想

セキュリティの辛みはいっぱいあるので自動化することで助かることがいっぱいあります！

様々な機能がありますが、まずはWAFのWeb ACLルールの適用だけでも使ってみてほしいです！

L7+：AWSユーザー向けサイバーリスク保険の概要および活用方法

東京海上日動火災保険 上田 哲也さん

• 保険を出しているのは、営業妨害ではないですよ！
• 保険会社もAWSが安全であるというお墨付き
• http://www.kaijoshoji.co.jp/cloudtotalassist_for_aws_user/

保険の概要

• 万が一AWSに障害が発生した場合
  • ユーザシステムでも障害が発生し、第三者にも損害が出る
  • AWS利用企業が被る損害を保険で負担
• 2種類ある
  • 損害賠償責任に関する補償
    • 第三者からの請求に対応
  • 自社にかかる対応費用に関する補償
    • 障害時の社内での費用に対応
• 事故例
• Q&A
  • 事故発生の原因についてはユーザが証明する(AWSが証明してくれない)
• 購入方法
  • 個別契約
  • パートナー経由
• 活用方法
  • リスク移転として利用
    • リスクの発生可能性が低いが、発生時の影響度が大きいものは移転が有効
  • 社内調整時に活用する
    • 法務セクションや経営層等がクラウドについて不安を抱えており稟議が通りづらいとき
    • 保険を使って社内調整をスムーズにできる
• 活用方法(パートナー編)
  • 付加価値として既存サービスに組み込む
    • 無料で保険をプレゼントする場合には保険の法律に違反しない
  • プロジェクトごとに個別付保する
    • 全体的ではなく一部で利用も可能
    • 東京海上日動の方が詳細を説明する必要がある
• 「AWS 保険」ので検索！

番外編

• プロジェクトリスク保険
  • 自社の業務ミス等によって発生する損害についてはプロジェクトリスク保険でカバーできる！
  • チームスピリット社のアプリケーションを利用して保険料をプロジェクト予算に組み込める！
  • https://japan.cnet.com/release/30198149/

感想

規模感が大きくなると、リスク移転として保険を検討することは大切ですね。

規模感がそこまで大きくないけど利用されたい場合には、弊社も含め保険を利用できるパートナーさんを利用されると良いと思います！

L0：絶対に覚えておきたい物理的標的型攻撃対策１０＋３のコツ

Works Mobile Japan 伊藤 成幸さん

メモと感想

• みんなで立ちながら話を聞きました
• 金曜日の夜のレイヤー0での酔っぱらいによる標的型攻撃に対する知識が付きました
• 護身術を利用して無事に家に帰る事が大切ですね
• 相手を倒したらすぐに110番
• 護身術
  • 重心と構え
    • 足を前後に開き、膝を曲げて重心を低くしよう
    • 押されたりしても倒れないようにする
    • 手は顔を守る
    • 顔は大事なので手でガード
  • 腕を掴まれたら
    • 手をパーにする
    • 手を開くと腕が太くなるので、振りほどきやすくなる
    • 引っ張られて重心を持っていかれないように気をつける
  • 小手返し
    • 振りほどけないときや、相手を倒したいときに使おう
  • 胸ぐらを掴まれたら、首返し
    • まずは顔を守りつつ首返し
    • 相手の背が高い場合には倒せないので注意
  • 後ろから抱きつかれたら
    • 片足を相手の後ろに抜いて相手の足を引っ掛けて倒す
• モノ
  • いざという時に対処するために護身グッズもあるといい
  • ブザー
  • 催涙スプレー
    • 護身用に持っていても大丈夫らしい
  • ライト
    • Amazonで売っている
    • 夜道で相手に当てると目がくらむ

さいごに

ネットワークの様々なレイヤ(一部ネットワークではない気もしますが)で濃い話が聞けました！

各レイヤーのセキュリティについてAWSがしっかり取り組んでいることが伺えましたが、これからより高いレイヤーのサービスも増えてくると思います。

AWS WAFを始め、セキュリティ系のサービスのアップデートは特に注目していきたいですね！