必見の記事

AWS運用担当者のためのセキュリティ入門

2017.12.22

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

はじめに

AWSの運用構築をまかされたインフラエンジニアのかたに向けて、セキュリティで考えるべき視点と代表的なソリューションをご紹介します。

AWSでのセキュリティを考える前に、私達自身のセキュリティを考えてみましょう。 "外出前に鍵をかける"、"ひとけのない道はなるべく通らない"など最低限やっておくべき対策があります。 たくさんのお金をかけてボディガードを雇っても、鍵をあけて外出しては意味がありません。

AWSのセキュリティ対策も同様です。 追加のコストを払ってセキュリティソリューションを導入する前に、最低限やっておくべき対策があります。 特に代表的なものをご紹介します。

出所が不明なAMIは使わない

EC2の作成元となるAMI(マシーンイメージ)は誰でも公開できます。 中には悪意のあるソフトウェアが含まれるAMIも含まれます。 AWSや信頼できるベンダーが提供するAMIを使いましょう。

セキュリティグループを適切に設定する

セキュリティグループは"ファイアウォール"に相当する機能です。 セキュリティグループを適切に設定しておけば、不必要な通信をEC2に到達する前に遮断できます。

セキュリティソリューション

AWSに限らずITシステムには様々な脅威があります。 Webサイトなどの公開サーバーには、世界中から悪意のある通信が送信されます。 アンチウイルスソフトを導入しマルウェアから保護したり、OS/ミドルウェア/アプリケーションの脆弱性に対応することが必要です。 様々な脅威から保護したり、異常を検知するソリューションをAWSやパートナーが提供しています。一部をご説明します。

ソリューションの概要

DDoS保護

DDoSは攻撃者に乗っ取られたボットネットと呼ばれるパソコンやサーバから、不正な通信を送信したり、大量のアクセスを行う攻撃です。 攻撃を受けたWebサイトは、正当なユーザーが繋げなかったり、繋げにくい状況になります。

AWS Shield

DDoSに対する保護を提供します。 L3、L4レベルのDDoSに対応するAWS Shield Standardと、L7レベルの高度なDDoSに対応するAWS Shield Advancedがあります。 Standardは無償で自動適用されます。申し込みや有効化は不要です。Advancedは有償で有効化が必要です。

公式ページ: AWS Shield AWS クラウド マネージド型の DDoS 保護

フートシールド

クラスメソッドが提供するサービスです。 AWS Shield Advanceをエンタープライズサポート契約の費用負担なしで提供します。 本来英語で現地とのやりとりが発生するAWS DDoS レスポンスチーム (DRT) への連絡を、サポートします。

公式ページ: フートシリーズ(運用保守)

AWS WAF

マネージドなWAFサービスです。 L7レベルのDDoS保護を提供します。 レートベースルールにより、大量のリクエストを送信するクライアントの接続を遮断します。

公式ページ: AWS WAF – Web アプリケーションファイアウォール

ポートスキャン対策

悪意のあるユーザーは、攻撃前にポートスキャンを行い情報収集します。

セキュリティグループ

セキュリティグループはファイアウォールに相当する機能です。 必要なポートのみ許可することで、外部からのポートスキャンを遮断します。 既にAWS環境をご利用の方は、SSHやリモートデスクトップなどのポートが不必要に許可されていないか確認してみてください。 特定のオフィスからしか利用しないようなWebサーバーであれば、HTTPの許可をその拠点IPからのみ許可するといった対応を行います。

アプリケーション脆弱性対策(WAF)

Webアプリケーションの保護にWAFを利用できます。 なるべく最新のアプリケーションを使いつつ、WAFで保護すると良いでしょう。 AWSでWAFを導入する理由と最適な選択をあわせてご覧ください。

AWS WAF

マネージドなWAFサービスです。 SQLインジェクションやクロスサイトスクリプティング(XSS)等のWebアプリケーションに対する攻撃に対応できます。 ルールを自由に定義できるほか、パートナーが提供するマネージドルールを利用できます。

公式ページ: AWS WAF – Web アプリケーションファイアウォール

Imperva Incapsula

Impervaが提供するクラウド型WAFです。 bot検知と動的な攻撃学習機能によってWebアプリケーションへの自動攻撃を検知し、セキュリティリスクを防ぎます。

公式ページ: Imperva Incapsula

不正通信監視

Amazon GuardDuty

AWS内の不審なアクティビティを検知するセキュリティモニタリングサービスです。 VPCフローログ、DNSログを監視し、不審な通信が行われていないか確認します。 EC2がマルウェアに感染した際の不審なアクティビティに気がつく事ができます。

公式ページ: Amazon GuardDuty

脆弱性診断(外部)

脆弱性のあるOS、ミドルウェア、アプリケーションは外部からの攻撃が成立しやすいです。 インターネットからWebアプリケーションに接続し、悪意のあるユーザからの外部攻撃に対応出来るか確認します。

フートスキャン

クラスメソッドが提供するサービスです。 F-Secure RADARを利用した脆弱性スキャンを行います。 外部からシステムにアクセスし、アプリケーション、OS、ミドルウェアに脆弱性がないか確認します。

公式ページ: フートシリーズ(運用保守)

アンチマルウェア

EC2もご利用のPCと同様にアンチマルウェアソフトの導入をお勧めします。 AWS Security Best Practicesでは、マルウェア対策としてアンチウイルス/アンチスパムソフトウェアがあげられています。

Trend Micro Deep Security

Trend Microが提供するIDS/IPS、アンチマルウェア、変更監視などの機能をもつ総合セキュリティ製品です。 複数の機能で防御(多層防御)します。保護対象にエージェントをインストールして利用します。

公式ページ: 総合サーバセキュリティ Trend Micro Deep Security

Sophos Endpoint Protection

ソフォスが提供するアンチマルウェアソフトです。

公式ページ: Endpoint Protection

F-Secure LINUX SECURITY

エフセキュアが提供するアンチマルウェアソフトです。

公式ページ: F-Secure LINUX SECURITY

ホスト型IDS/IPS

AWS Security Best Practicesでは、マルウェア対策としてホストベースのIDSソフトウェアがあげられています。 IDS/IPSはシステムの重要な変更を検知し通知したり、OSやミドルウェアの脆弱性をついた攻撃を遮断します。

Trend Micro Deep Security

Trend Microが提供するIDS/IPS、アンチマルウェア、変更監視などの機能をもつ統合セキュリティ製品です。 複数の機能で防御(多層防御)します。保護対象にエージェントをインストールして利用します。

公式ページ: 総合サーバセキュリティ Trend Micro Deep Security

フートセキュリティ

クラスメソッドが提供するサービスです。 Trend Micro Deep Securityを利用した24/365のセキュリティ監視を行います。

公式ページ: フートセキュリティ

脆弱性診断(内部)

脆弱性のあるOS、ミドルウェア、アプリケーションは外部からの攻撃が成立しやすいです。 エージェントをEC2にインストールし、システムに脆弱性がないか確認します。

Amazon Inspector(脆弱性診断)

EC2にエージェントをインストールし、脆弱性が含まれるか確認します。

公式ページ: Amazon Inspector

ロギング/監視

AWS APIの実行の記録と監視は、AWSサービスで対応できます。

AWS CloudTrail

CloudTrailはAWS APIの実行ログを記録します。 意図しないEC2が起動された場合などに、実行ユーザーやIPアドレスが含まれるログを確認できます。

公式ページ: AWS CloudTrail

Amazon GuardDuty

AWS内の不審なアクティビティを検知するセキュリティモニタリングサービスです。 AWSの認証情報が漏洩した時に気がつく事ができます。

公式ページ: Amazon GuardDuty

変更管理、監査

AWSリソースの変更管理を行なったり、監査に役立てるサービスを紹介します。

AWS Config

AWSの構成変更を記録し、変更履歴をグラフィカルな画面確認出来ます。 セキュリティグループなどのAWSリソースについて、変更をタイムラインに沿って確認できます。 EC2に専用のエージェントをインストールしておけば、OSレベルの変更についても記録できます。

公式ページ: AWS Config

AWS Config Rules

AWSの設定がルール通りに設定されているか確認します。 EC2に専用のエージェントをインストールしておけば、指定したソフトウェアがインストールされているか確認できます。

公式ページ: AWS Config

insightwatch

クラスメソッドが提供する無料のプロダクトです。AWSの設定がCISベンチマークの基準を満たしているかチェックします。insightwatchはCISからプロダクト認定を受けています。以下のページの「セキュリティチェックを始める」というボタンを押してはじめます。

公式ページ:AWS環境のセキュリティ監査サービス インサイトウォッチ(insightwatch)

サインアップの手順やチェックするAWSアカウントの登録など手順は以下はこちら

おわりに

最低限やっておくべき対策と、セキュリティソリューションを紹介しました。 セキュリティは私達が普段行なっていることと照らし合わせると考えやすいです。 私たちは、"外出前に鍵をかける"、"ひとけのない道はなるべく通らない"などの基本的な対策を行なった上で、"ホームセキュリティを契約する"、"ボディガードを雇う"といった追加の対策を行なっています。 AWSも基本的な対策と追加の対策をあわせて実施ください。