この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
本日 5/30 から 6/1 まで、東京・品川で開催されています AWS Summit Tokyo 2018。こちらで講演されたセッション「[ソフトバンク株式会社]クラウド設定はまずは見える化!クラウドセキュリティの新常識とは?」を聴講しましたのでレポートします。
今回のAWS Summitでは全セッションで撮影が禁止されているため、文字だけでお届けします。
概要
大規模・複数の IaaS 環境を、複数のコンソールで管理するのは大変です。目が行き届かず、ちょっとしたネットワーク設定ミスにより社会的責任を問われる重大なセキュリティ事故 が後を絶ちません。本講演では複数の IaaS 環境の設定を、単一の管理コンソールで見える化し、設定ミスの回避、コンプライアンス遵守を支援するソフトバンクのセキュリティ戦略商品「 Dome9 」をご紹介します。
スピーカー
- ソフトバンク株式会社 事業開発統括 クラウド・サイバー戦略本部 本部長
- Andrew Schwabecher
- Dome9 Security Inc. Co-founder & CTO
- Roy Feintuch
(※敬称略)
レポート
ソフトバンクについて
- Dome9は出資先の1つ
- ソフトバンクは世界最大のファンドを創設した
- 我々の顧客は大きなAWSの顧客であるということを学んだ
- パブリッククラウドをより安全にする必要があると考えた、それがDome9
- 日本語版をソフトバンクから購入できる
責任共有モデルについて
- 多くのユーザーをAWSのパブリッククラウドに導いた際の学び
- クラウドでアプリケーションを実行する際に、誰がどのような責任を負うのかをはっきりさせる必要がある
- ネットワークの境界、クラウドの境界
- DevOps、DevSecOpsの必要性
- Amazonの責任共有モデル
- Amazonが物理的なインフラ(コンピュータ、ストレージ)などの責任を負う
- 顧客は展開するアプリケーションコードやセキュリティ設定などの責任を負う
- クラウドに起こる95%のインシデントはお客様が起因している
- このことから、どのようなソリューションが必要かを考えた
- まずは責任共有モデルを理解することが必要
- ネットワークゲートウェイで分離することはクラウドでは機能しない
- 従来とは異なる考え方が必要
- クラウドにおいては、オンプレと異なりワークロードの変動が激しくエラスティックである
- Amazonのセキュリティグループのようなエラスティックなファイアウォールがやはり必要
プラットフォームサービスについて
- 6年前のAmazonのサービスはごく少数(Amazonの初期のサービス)
- EC2, S3, RDS, IAMがクラウドの始まり
- 現在は100を超えている
- 毎日開発、ローンチしている
- これによる課題も発生している
- これらはホスティングされたSaaSである
- →ソフトウェアをインストールできない
- ネットワークレベルではなく設定レベルの対応が必要
- クラウドネイティブなサービスが必要である
アーキテクチャについて
- これまではモノリシックなアプリケーションを作っていた
- すべての機能が1つに入っていた
- 最近のトレンドはマイクロサービス
- サービスごとに分割分離されている
- マイクロサービスによってマイクロセグメンテーションが促進する
- 最低限のセキュリティポリシーを与えることができる
- 非常に強力な境界・ポリシーでマイクロサービスを囲むことができる
- しかしアーキテクチャは非常に複雑になってしまった
- これらをスケーラブルにするためにはどうすればいいか?
DevOpsについて
- デベロッパーとオペレーターの統合を意味する
- 従来は手動のプロセスであったものを、自動的なプロセスとして扱う
- アプリケーションのデプロイ、インフラでさえも高速に行える
- 従来は半年などの時間が必要だったものが、現在は毎時間のデプロイなどを可能にしている
- 従来の低速でしか動けない企業に比べて、導入した企業は競争に勝てている
- しかし歩調を合わせることができなければ、内部のプロセスを変えることができなければ、ミスマッチが起こる
- その結果、セキュリティが迂回されてしまう(セキュリティがボトルネック化してしまう)
- ゼロからセキュリティ、コンプライアンスを考え直すことが必要
- コンプライアンスを自動化し、一緒に運用する必要がある
情報漏洩について
- 去年、多数の個人データ含む民間の企業のデータ・情報が漏洩された
- こういったインシデントのほとんどはAmazonサービスの設定ミスによるもの
- S3バケットの設定ミスなど
- いずれも未然に防ぐことができる、簡単に検知できる
- しかしS3バケットの設定ミスなどは、従来のセキュリティ技術では対応できない
クラウドネイティブの製品が必要
- 従来の製品をクラウドにマイグレーションするのではなく、クラウドの構造を深く理解した製品が必要
- IAMとは何か、ELBとは何か
- クラウドのコンピテンシーを認識できる必要がある
- 自動化されたセキュリティテスト
- 単なる自動化だけでなく、継続的な運用が必要
- 新しいセキュリティの脆弱性(S3やセキュリティグループの設定ミスなど)を自動的に検知するしくみ
- 複雑性を管理するような支援をしてくれる
- クラウドのコンソール
- アクティブな防御(プロアクティブ)
- 手作業の通知やチケットを開くといったものではなく、自動的に検知して標準状態に戻してくれる必要がある
Dome9 Securityの紹介
- SaaS platform for security and Compliance Automation in the Public cloud
- 100以上の企業が活用している
- 重要な3つのモジュールで構成されている
- ネットワークセキュリティポリシー
- Dome9 Clarity: Complete Network & Security visibility
- セキュリティグループやコンポーネントの連動などの可視化
- 従来はセキュリティグループの設定を時間をかけて確認しなければいけなかった
- VPCのフローログも可視化している
- コンプライアンスエンジンモジュール
- Dome9 Compliance Engine: Cloud Audit Better and Much Faster
- CIS benchmarkなど、Amazonのセキュリティノウハウを活用している
- 数秒でレポートを出力できる
- クエリ言語を利用して独自のガバナンスに活用できる
- 継続的な自動化スケジューリングのパターンにも活用できる
- Dome9 Compliance Engine: Cloud Audit Better and Much Faster
- IAM Safetyモジュール
- Protect Against Compromised Credentials And Identity Theft
- オンデマンドで検査できる
- 万が一クレデンシャルが漏洩しても被害を最小限にできる
- Protect Against Compromised Credentials And Identity Theft
- ネットワークセキュリティポリシー
ユースケースとまとめ
- 可視化
- 見えないものは守れない
- 自動的なコンプライアンス
- コンプライアンスのすばやい評価、管理を行う
- セキュリティ体制の強化
- セキュリティの強化および運用効率の両立
- DevSecOps
- セキュリティチームとDevOpsチームの足並みをそろえる
最後に
いかがだったでしょうか。Dome9という製品がなぜ生まれたのか、クラウドネイティブの必要性など興味深く聞くことができました。弊社もインサイトウォッチというセキュリティチェックのツールをリリースしましたので、ぜひ一度見ていただければと思います。
14
