[レポート] re:Invent 2019 #SEC343-R 証明可能なアクセス制御でリソースへのアクセスを知る #reinvent

こんにちは。
ご機嫌いかがでしょうか。
re:Invent2019 に参加するためラスベガスへ来ています吉井 亮です。

はじめに

本記事はAWS re:Invent 2019のセッション「SEC343-R - Provable access control Know who can access your AWS resources」 のレポートです。

セッション概要

AWS Automated Reasoning Groupは、AWSのセキュリティ基盤の強化に重点を置き、お客様に独自のセキュリティ態勢を検証するためのツールを提供しています。 このセッションでは、AWSでの自動推論テクノロジーの進化と、Amazon Simple Storage Service(Amazon S3)、AWS Config、Amazon Macieなど、 それが組み込まれているサービスでどのように機能するかについて説明します。 AWSでの自動推論の今後の展望と、AWSがセキュリティとより広いクラウドスペースで解決し続ける顧客の問題について学びます。

スピーカーは以下のお二人。
Neha Rungta
Eric Brandwine

レポート

セキュリティの構築

コンピュータは (セキュリティ的に) 正しく動作していますか?
認められた人間だけがコンピュータへアクセスし、正しい操作をしていますか?
コンピュータ同士のアクセスは信頼された相手に限られていて、認められた人間だけが正しい操作していますか?

セキュリティを意識して、インターネットからのアクセスは Web サーバーに限定し
バックエンドへのアクセスは踏み台サーバーを経由して ssh を利用することは一般的です。

しかし実際には、だれかの机の下のマシンから
「一時的だよ、約束する」と言ってテンポラリのアクセス経路が作られます。
※テンポラリ = 20年

このようなことは珍しいないと思います。

これを防ぐためにクラウドでは API 操作を記録できる、
記録することをお勧めします。

自動推論

セキュリティの驚異を発見するにはどうしたらいいでしょうか?

人間が手動で驚異を探すのは楽しいかもしれません、でも遅いですね。
マシンに探させるものいいかもしれません、これでもまだ遅いですね。

自身が管理しているシステムを追跡可能な状態にしておきたいですが、
集める情報が詳細すぎるとデータが爆発します。
逆に情報が少なすぎると有意義なデータになりません。

そこで自動推論を使います。

例えば、VPC が1つなら管理は難しくありません。
しかし、ビジネスのスケールと比例するように VPC もスケールし、
数が増えヒアリングも増えていきます。
このような場合に「インターネットからアクセス可能な EC2 は?」を探せるでしょうか?

Amazon Inspector を使えば可能です。
Inspector にはネットワーク到達可能性というルールパッケージが用意されています。
このルールを使えば、インターネットからポートへアクセスする経路を発見できます。

VPC やセキュリティグループの変更を CloudWatch Events で検知して
Inspector を実行 → SNS で結果を通知といった自動化が実現可能です。

アクセスコントロール

旧来のアクセスコントロールはこのようなものでした。

  • データベースクレデンシャル
  • SSH 鍵
  • ファイルシステムパーミッション
  • ネットワーク共有ドライブ
  • などなど

AWS のアクセスコントロールは IAM です。 S3 への PUT/GET も API Gateway へのアクセスも
Lambda の実行も DynamoDB への読み書きも
IAM でコントロールします。

IAM ポリシーには
・誰が
・どのようなアクションを
・どのリソースに対して
許可/拒否するのかを記述します。

所感

今回のセッションは Inspector の紹介のみでしたが、
Amazon Macie や GuardDuty など AWS には自動推論・機械学習を使った
セキュリティ系サービスが多く存在します。
それらを組み合わせて高度に自動化されたセキュリティをシステムに導入してみてはいかがでしょうか。

参考

Specialty Learning Paths
Amazon Inspectorでネットワークアセスメント(Network Reachability)をやってみた

以上、吉井 亮 がお届けしました。