[レポート]クラウドネイティブにセキュリティを活用する!APIを連携して実装する方法 #AWSSummit

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、城内です。
今回は、 AWS Summit Tokyo 2016の6/3(金) P3C1520セッションのレポートです。

セッション情報

  • セッション名:【トレンドマイクロ様登壇】クラウドネイティブにセキュリティを活用する!API を連携して実装する方法
  • スピーカー:岩瀬 由季氏(トレンドマイクロ株式会社 セキュリティエキスパート本部 プリセールスSE部 エンタープライズパートナーSE課 シニアエンジニア)

セッション内容

AWSの責任共有モデル

  • 物理、データリンク→AWS
  • ネットワーク、トランスポート、セッション、プレゼンテーション、アプリケーション→ユーザ

Deep Securiryの概要

  • All in Oneのホスト型セキュリティソフト
  • IDS/IPS
  • セキュリティパッチを適用することなくサーバの脆弱性を保護する(パケットフィルタリング)

仮想パッチ

  • システムへの影響は最小限
  • 多種類のOS/APPの脆弱性に対応(TrendMicroからIPSルールを配信)

推奨設定でチューニングが自動化

  • 推奨検知を行い、自動でチューニング
    • IPSの仮想パッチで脆弱性をブロック

管理面でのメリット

5つの機能で多層防御
  • IDS/IPS、ウィルス対策、F/W、ログ監視、変更監視
Gateway/ホスト型のどっち?

Gateway型のデメリットとして、IDS/IPSのインスタンスがSPOFやボトルネックになりがち。
→ホスト型であればGW型のデメリットを受けない
→ホスト型をお薦め

AutoScalingへの対応
  • AutoScalingの状況をDeep Securityマネージャへ同期可能
  • インスタンス増加の際の設定不要
  • 一時的な増加に関してはライセンス無料

Deep Security構築、運用の自動化

DevSecOps(DevOps+Security)

自動化ツールをGitHubで提供している。

導入ツール

  • AWS CloudFormation
    • Deep Securityマネージャの構築
  • AWS Elastic Beanstalk
  • Chef
  • Ansible

運用ツール

  • AWS Config Rules
  • Amazon Inspector
    • 診断後の対策をDeep Securityで対応
    • Inspectorでアセスメント
    • 脆弱性に対する仮想パッチを適用
  • AWS WAF
    • ルールセットを自動的に生成
    • 推奨検索でSQLインジェクションを検知
    • Deep Securityの管理コンソールから設定を入れる

まとめ

  • 責任共有モデル
  • クラウドのセキュリティ
    • 多層防御
    • ホスト型
    • 柔軟な構成・課金
  • DevSecOps
    • 導入ツール
    • 運用ツール

DSaaS(Trend Micro Deep Security as a Service)

  • 管理サーバ不要
  • 30日間のトライアルが可能

感想

セキュリティ製品はオンプレのイメージが強かったので、勝手に自動化など縁がないものかと思い込んでいたのですが、いまどきはAPI連携が当たり前の時代なんですね。

とても勉強になりました!

資料リンク