Security-JAWS 第8回レポート #secjaws #secjaws08

こんにちは、臼田です。

Security JAWS 第8回が開催されましたのでレポート致します。

Security JAWS 【第8回】 勉強会 2018年2月23日(金) - Security-JAWS | Doorkeeper

レポート

Session1:Amazon Web Service Japan 桐山 隼人さん, 塚田 朗弘さん 「 AWS FinTech リファレンス•アーキテクチャーで大手金融機関ばりのセキュリティを実現しよう」

サンプルケースで雰囲気をつかむ AWS FinTech リファレンス•アーキテクチャー[日本語版]

•  FinTechの現在の方向性
  • クラウドのほうがセキュアなのはわかっています
  • どうやってやっていくかを考えるためにFinTechリファレンスアーキテクチャを作った
• こっちにもあるのでダウンロードしてね
• ガイドとCloudFormationテンプレートがあるので、FISCやPCI-DSS等を網羅的に考慮したセキュリティの要求項目群に、FinTech企業がAWSでどのように対応するのか、実際に利用できるテンプレートが紐付いていてきっちり実現できます

サンプルケース

• AWSがサンプルケースについて情報を提供している
• いっぱいあるよ！Excel内に情報量が多いよ！
• こちらから取得することができます。
• 以下どんなのがあるかの軽い説明(内容は割愛、気になったら上記URLから資料請求して下さい！)
• サンプルケース1: システムモニタリング
• サンプルケース2: システムへの管理アクセス認証
• サンプルケース3: インシデントレスポンス
• ...
• サンプルケース6: 操作履歴の取得と証跡管理
• サンプルケース7: ソフトウェア開発時の品質確保
• サンプルケース8: システムクロックの同期
• サンプルケース9: 顧客対応窓口の用意
  • Amazon Connectで従量課金のサポートセンターが作れる！
• サンプルケース10: API提供時のセキュリティ
  • API GatewayとCognitoでOAuth2で認証できる
  • ログも自動的に取れる
• まだCloudFormationテンプレートにかかれていないものもあるのでアップデートしていく
• フィードバックをバンバン下さい！

Amazon GuardDuty「みんなでクラウドセキュリティの見張り役になろう」

[slideshare id=89790738&doc=securityjawsguardduty20180223-180306131003]

お知らせ

• AWSセキュリティ認定試験
  • Security - Specialty exam
  • Betaの今なら50%オフ！
  • 更に、落ちてもお得な特典があるようです…

感想

FinTechリファレンスアーキテクチャはものすごい対策なので、気になる方は資料請求しましょう！

新しいセキュリティの認定試験は今のうちにトライしたいですね！

Session2:CloudNative Inc. 吉田 浩和さん「踏み台環境におけるAmazon Maice活用の提案」

• 踏み台と聞いて何を連想するか
  • ○ンダムのやつ
• 踏み台サーバ/ 要塞サーバの要件
  • 誰がログインできるか
  • 環境への唯一の通り道
• やらないと怖い
  • 性悪説に立つとインタラクティブなログイン操作はアンセキュア
  • 業務効率と直結するので利便性と天秤になる
• 打鍵ログの取得/分析は不可避
• できればやりたくないなーと思っていていいのか
• 参考になるのが20 CIS
  • 幾つか例を挙げる
  • 6: ログを取って監査
  • 13: データプロテクション
• つまり、ログを取るだけでは意味がない
• 監視/分析をする必要がある
• ここでAmazon Macieの出番
  • 機械学習でS3内の機密データを自動的に検出、分類、保護するセキュリティサービス
  • 設定は簡単なのでとりあえずやってみよう！
• 打鍵ログをMacieで分析してみる
  • 利用しているコマンドの利用率が見れたりする
• case1: logs/linux_syslog
  • ログのリスク分析をしてくれる
  • ドリルダウンで詳細を見れる
• PII Priority / moderate
• Macieが出してくれる値はその場で使えるわけではなく、普段から取っておいて値が過剰に増えないかを見る必要がある
• 評価タイミングはS3にPutされた時
• S3の情報漏えいは殆どが設定ミス
• Mecieに機密情報を読ませて大丈夫なのか
  • Third Party Authentication
  • AWSの取得している認証をベースに信頼する

感想

ある程度ログの分析はMecieにまかせてしまってもいいかもしれませんね。

まずはやってみよう！

Session3:ヴイエムウェア株式会社 大久 光崇さん 「VMware Cloud on AWS ご紹介 - セキュリティ風味」

[slideshare id=88882212&doc=vmc-jawug-security-20180223-180225095833]

• VMware Cloud on AWS
  • AWSベアメタル上で実行されるVMware SDDC
  • AWSのマネジメントコンソールからリクエストするわけではない
  • VMwareが販売、運用、サポートを提供
  • AWS上にあるので、AWSサービスとの連係が速い
• AWS上でVMwareを展開できるので、フレキシブルに利用できる
• SDDCができるまで
  • VMwareのアカウントでVPCを作成
  • i3インスタンスを起動する
  • EBSにはVMのイメージが入っている
  • vSANを組む
  • vCenter, NSX, GW等を構築
  • VPCのサブネットではないネットワークが内部に作成されるので、IPアドレスはより柔軟に利用できる
  • 管理計VMとワークロードVMが別れている
    • お客様は管理系VMはさわれない
• アクセスモデル
  • AWSは物理リソースを管理
  • VMwareはハイパーバイザー及び管理コンポーネントを管理
    • パッチ適用、アップデート適用等
  • カスタマーはワークロードVMを管理
  • カスタマーアクセスはvCenter経由
• インターネット/ L3VPN接続
  • カスタマーDCとVMware Cloud on AWSでIPSec VPNを張って接続
• L2VPN
  • IPSec VPN張る
  • そのままライブマイグレーションできる
  • IPアドレス変えなくていい！
• ネイティブのAWSサービスの耐えの最適化された接続
  • ENIをVMware Cloud on AWSであてることができて直接接続できる
  • ENIからAWS環境に出て、そこからインターネットに出ることも可能
  • Dx経由でオンプレに行くことも可能
• DirectConnectでの接続
  • Private VIFを利用してAWS VGWからVMware Cloud on AWSに入ってこれる(プレビュー)
• 3/7に何かがおこります…
• VMware Cloud on AWS東京リージョンは2018Q4予定
• 今はライブマイグレーションする時にSANとかでストレージを共有する必要がない！
• まとめ
  • AWSで直接EC2を利用するのと比べていいところは、オンプレからライブマイグレーション出来てそのまま持っていけること

感想

VMwareを既存で利用していると、AWSに移行したり、AWSのサービスの恩恵を受けるのが大変でしたが、VMware Cloud on AWSを利用すればそのままライブマイグレーションで持っていけてAWSのサービスとの連係も出来るので、特にオンプレミスにVMwareの資産がある方にメリットが出そうですね。

今後のリリースにも期待です！

Session4:Splunk Services Japan 横田 聡さん「事例に学ぶ、Splunk×AWSセキュリティモニタリングの具体策」

Splunkで何ができるの？

• セキュリティのユースケース: 横串サーチ
  • CnC通信のURLをProxyログと突合調査し影響端末とユーザーを特定
  • 複数のログを突合することにより精度が上がる
• セキュリティのユースケース: 原因調査
  • 親プロセスとこプロセスの相関性を可視化しマルウェア感染原因を特定
  • WindowsのセキュリティイベントのDestIPを確認
  • プロセス番号を押すと、親プロセスが出てきて、元のマルウェアを発見できる
  • Microsoftのsysmonのログでこれが調査できる
• セキュリティのユースケース: アノマリ検知
  • Proxy通信ログから通常と異なる量のアクセス量の場合、アノマリ検知
  • 通常と異なる値(いつもより多い通信量)をグラフで可視化して一目瞭然

2017年AWS関連セキュリティ事件・事故

• AWSアクセスキーを悪用された事故
  • OneLogin社のAWSアクセスキーを使った侵害
• S3の公開権限不備の事故例
  • 沢山あった
• なぜS3バケット名は特定されたのか
  • バケット名は推測が用意な名前を使いがち
  • 例: backup-srv1-apac-tokyo-1
  • 推測が可能
  • 推奨対策
    • アクセス制御の強化
    • CloudTrailを使い操作ログの取得
    • データ暗号化(資産の重要度に応じて)
    • もちろん、gitにアクセスキー/ シークレットキーを載せないように

Splunkで実現AWS環境のセキュリティ強化

• リスクシナリオに基づく対策を
• CloudTrailで監視できるイベントは色々ある
  • ポリシー違反や変更をSplunkで可視化
• 様々な企業が利用している
  • アカウントのアクティビティのリアルタイム監視
  • アカウントの定期監査
  • などなど
• SplunkはAWSとパートナー連携している
  • KinesisからSplunkに投げられる
• AWS運用管理"最初の一歩"
  • Splunkが用意しているAppがあるので、まずはこれを利用してみよう
• デモ
  • CloudTrailからSNS等でSplunkへ通知、S3を確認する
  • Appを入れてログをとっておくといろいろできる
  • サブネットとインスタンスのトポロジーやセキュリティグループとのトポロジー等を自動的に作成してくれる
  • IAMのアクティビティを確認できる
• まとめ
  • CloudTrail等のログをSplunkに入れるだけでいろいろ整理してくれる
  • Splunk Cloudを無償で利用できるのでとりあえず試してみよう！

Session5:Secret Guest

こちらは公開されません。

さいごに

セキュリティは大切ですね…

ここだけの情報も、たまにはありますから、来場されていない方もぜひ次回のSecurity-JAWSには参加して下さい！

とりあえずはコミュニティに参加しましょう！