[レポート] マルチアカウント AWS 環境における VPC セキュリティの自動化 #NIS342 #AWSreInforce

GuardDuty の検知結果に応じて Cloud WAN における VPC のセグメント移動自動化のソリューションです(AWS サンプルあり)
特集

平木佳介

2024.06.11

こんにちは、AWS 事業本部の平木です!

フィラデルフィアで開催されている AWS re:Inforce 2024 に参加しています。

本記事は AWS re:Inforce 2024 のセッション「Build and enforce network security in multi-account AWS environments」のセッションレポートです。

セッション概要

複数の AWS アカウントで一貫したネットワークセキュリティを大規模に管理することは困難です。このコードトークでは、マルチアカウント、マルチリージョン環境全体でネットワークセキュリティを構築し、実施するためのベストプラクティスを探ります。動的で分散した環境のセキュリティを管理するための中央設計図を構築し、セキュリティイベントからネットワークの変更を自動化することで管理のオーバーヘッドを削減する方法を学びます。
(Deepl 翻訳)

前提

このセッションでは、下記 AWS Sample を用いたソリューションの解説を行っています。

前説

前説ではマルチアカウント、マルチリージョンの AWS 環境における自動化されたネットワークセキュリティの必要性について考え、以下のような課題が挙げられるといったことが話されていました。

  • セキュリティーを強化するために追加された複雑さ
  • アジリティ(敏捷性)かセキュリティ(安全性)かの厳しい決断
  • 中央可視性
  • グローバルな環境の中で、どのようにインシデントをキャッチするか

課題として、ビジネス継続性を維持しながら、複数アカウントにまたがる権限管理、監視、セキュリティインシデントの防止などが挙げられました。

提案

ネットワークセキュリティを高める上で、AWS Transit Gateway、AWS Network Firewall、AWS Cloud WAN など、ネットワークセキュリティに使用できるさまざまな AWS サービスが挙げられ、特に AWS Cloud WAN をグローバルネットワーク管理とセキュリティセグメンテーションに利用するメリットについて話されていました。

そこで AWS Cloud WAN を活用したネットワークセキュリティ自動化のソリューションの本題に入ります。

今回のアーキテクチャには、管理アカウント、セキュリティアカウント、ワークロードアカウントの 3 つの AWS アカウントが含まれいます。

AWS Cloud WAN はグローバルネットワークの管理に使用され、AWS GuardDuty がセキュリティイベントを検出し、Amazon EventBridge が AWS Lambda 関数をトリガーしてセキュリティ対応を自動化させます。
Lambda 関数は、GuardDuty が検出した Findings の重大度に基づいて、AWS Cloud WAN の異なるセキュリティセグメント間で VPC アタッチメントを移動させるといった構成となっています。

構成図は以下です。

引用: https://github.com/aws-samples/build-enforce-network-security-multi-account-environments/blob/main/images/full-architecture.png

デモ

続いて、暗号通貨マイニングや悪意のある IP 通信など、さまざまなセキュリティシナリオを想定し、実際にデモが実施されました。

まずは、CryptoCurrency:EC2/BitcoinTool.B!NDSです。

このイベントは、EC2 インスタンスから暗号通貨に関連したドメインをクエリした場合に検知されるものですが、今回のソリューションでは検知をトリガーとしてblockedに VPC のセグメントが自動的に移動されました。

移動前↓

移動後↓

続いては、UnauthorizedAccess:EC2/MaliciousIPCaller.Customです。

このイベントは、EC2 インスタンスが脅威リスト内の IP アドレスに接続した際に検知しますが、重大度としては Medium なためinspectedに移動していることが分かります。

移動後↓

このように、Lambda 関数が GuardDuty の発見に対してどのように反応するかを実演し、影響を受けた VPC のアタッチメントを AWS Cloud WAN の異なるセキュリティセグメント(blocked、inspected、share など)に移動させるソリューションについて解説されました。

終わりに

今回のセッションでは、GuardDuty の Findings の重大度に応じて VPC のセグメンテーションを切り替えるアイディアについて学習しました。

VPC の隔離を自動化することで、ネットワークにおけるセキュリティインシデントが発生した際に人の手を介さない自動化されたフォレンジックを行うことができます。

このソリューションでは、Cloud WAN を活用することで簡単に VPC 隔離を行ったりしていましたが、Transit Gateway、Network Firewall を活用した監査 VPC を用いたソリューションでも応用可能かなと思ったため今度検証してみようと感じました。

宣伝

6/17(月)19 時よりおそらくオフライン世界最速の re:Cap を開催します。

AWS re:Inforce 2024 に現地参加したメンバーによる振り返りイベントを開催しますのでぜひ足を運んでいただければと思います。

参加登録は以下、Connpass よりよろしくお願いいたします!

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

[レポート]AWS Networking Roadshow – Japanに参加してきました

とーち

2023.08.29