「APN AWS Top Engineersが語る AWSの最新セキュリティ」というタイトルでAPN AWS Top Engineersが語るAWSの最新セキュリティ対策に登壇しました
こんにちは、臼田です。
みなさん、AWSのセキュリティ対策してますか?(挨拶
今回は2022/10/17に行われたAPN AWS Top Engineersが語るAWSの最新セキュリティ対策にて登壇した内容の解説ブログです。
資料
解説
今回のセッションのテーマは、新しくAWSからリリースされたAmazon GuardDutyのMalware Protection機能がどのようにサードパーティのマルウェア対策と共存するのか、というものです。
詳しくはこの後の内容や資料を見ていただければと思いますが、結論として既存のマルウェア対策が置き換わるような機能ではなく、これまで以上にカバレッジを広げたりするものです。
この内容ではAWSにおけるセキュリティ対策のほんの一部しか話しませんので、セキュリティ全般については下記もご参照ください。
1. Amazon GuardDutyと新機能Malware Protectionの動作
まずAmazon GuardDuty自体の簡単な説明から。
GuardDutyは脅威検知のサービスで、ポチッと有効化しておくだけで、CloudTrail / VPC Flow Logs / DNS Logsなど様々なAWS上のログを自動収集して、自動で解析し、脅威を検知してアラートにつなげることができるサービスです。
様々な脅威に対応することができるため、今では全AWSアカウントで有効化必須のサービスです。詳細は下記もご確認ください。
そして先日、GuardDutyの新たな機能としてMalware Protectionがリリースされました。下記で詳細を解説しています。
この機能ではEC2やコンテナなどがマルウェアに感染した際にその具体的なファイルやパスなどを特定することができるもので、名前としてはProtectionですが動作としては検知の機能です。
実際に検知した画面は下記のような感じで、これまで実際に脅威を検出した場合も、VPC側などEC2インスタンスの外側でしか動作をしていませんでしたが、今回初めてEC2の内部まで確認して詳細を出すことができるようになりました。素晴らしいですね。
この動作としては、はじめに既存のGuardDutyの検知があり、それをトリガーとしてMalware Protectionの機能が動作する形です。
2. Cloud One Workload Securityの役割
Cloud One Workload SecurityはTrend Microから提供されているマルウェア対策のソリューションです。昔からDeep Securityという名称で利用されています。略してC1WSと表現します。
C1WSはクラウド上に管理マネージャーが存在し、従来よくある、インストール型のセキュリティソリューションの管理用サーバーを自分で管理しなければいけない問題を解決しています。気軽に管理できるということですね。
昔からAWSを利用する際には責任共有モデルを意識し、OS上の保護はユーザーの責任であったことから、OS上を保護する製品としてDeep Securityが重宝されていました。
C1WSとなった今でも機能は変わらず、下記のように様々な保護を多層的に適用できます。
- 侵入防御(IDS/IPS)
- 不正プログラム対策(マルウェア対策)
- 変更監視
- セキュリティログ監視
- アプリケーションコントロール
- などなど
AWSやAWSの機能でカバーできない範囲を保護してくれます。
また、C1WSはAWSとの親和性が高いです。
長い実績があること、ホスト型のセキュリティのためスケーラビリティが確保しやすいこと、AutoScalingで増減するEC2をIAM Roleを利用して自動認識したり、一番大きいのは台数に合わせた柔軟なライセンス体系を利用できることがあります。
3.現実的な対策範囲
GuardDutyとC1WSはカバレッジが違いますがマルウェア対策部分で重複するところがあるため、どのように使い分ければいいかを考えていきます。
いろんな考え方ができますが、ここではWebアプリケーションが侵害されるケースを想定してみます。例えば下記のようなフローで侵害が進みます。
この図はhttps://success.trendmicro.com/dcx/s/solution/000283514から引用、一部改変しています。
従来GuardDutyではこの図の最後のフロー、右下のC&Cサーバーへの情報送信の段階で検知されることが想定され、これが実行から30分以内に行われます。
これだけでも十分嬉しい機能ではありますが、検知のみでブロックすることができないなど、もっと保護したいところでもあります。しかし、ボタン一発でAWS全体にこの検知機能が適用されていることや、これ以外のIAMやS3の侵害なども検知できることからGuardDutyが足りていないというわけではありません。役割のスコープが違うということです。
一方でC1WSはこのケースに置いて始めから動作が違います。最初の脆弱性を攻撃する動きがブロックされます。
もちろん、脆弱性を利用する攻撃も一筋縄で対策できるわけではありませんから、万が一抜けられる可能性もあります。しかしC1WSでは権限昇格やバックドアを仕込むなど他の動きも多層防御の機能郡の中で対処していきます。これが非常に強いメリットですね。
流れている通信も止められますし、プロセスも止められます。こういったところは引き続き、GuardDutyが手を出せない領域になります。
ではどのようにこれらの仕組みの導入を検討していけばいいでしょうか?
上記の機能の違いを見ていただくと、「じゃあ全部のEC2にC1WSを導入すればいいか?」となると思います。できるならそれがベストです!
しかしながら金銭的なコストが課題になってくると思います。これをどのように考えていけばいいか。
ここではその判断方法の1つとしてリスクベースの判断方法を例示します。各EC2インスタンスに対して下記観点を当てはめると参考になります。
- 機微な情報を扱うか?(機密性)
- システムの重要度は高いか?(可用性)
- インターネットから近いか?(攻撃難易度)
これらによってリスクのレベルが変わります。例えば外部から遠ければ攻撃されるリスクは下がりますから、コストと照らし合わせて、どこまでC1WSを導入するか考えやすいでしょう。コストもセキュリティで守るべきものの1つですから一緒に考えていきましょう。
とはいえ、C1WSを導入しないのであれば逆に何もしない、ということでもありません。そこはGuardDutyに頼るといいでしょう。GuardDutyがアカウント全体にまたがり検知機能を展開できますから、万が一C1WSを導入していないEC2インスタンスが侵害されても、気づかずに何ヶ月も放置するような状況にはなりません。
また、コストを守る方法としてはC1WSの中でも選択肢があります。従来のセキュリティソリューションによくある問題としてライセンスが年間のもので、見積もった最大のEC2インスタンスの台数分事前に購入しておかないと保護できない、などの問題がありました。
C1WSではSPPOという利用形態があり、AWSのMarketplaceと連携して従量課金でライセンスを利用できます。詳しくは下記をご確認ください。
AWSと親和性の高い仕組みのため、よりコストエフェクティブに導入を検討できるでしょう。
まとめ
- GuardDutyとCloud One Workload Securityはカバレッジが違うのでどちらも活用する
- AWS全体のセキュリティとしてGuardDuty
- EC2上はCloud One Workload Security
- コストを意識してSPPOを活用する
うまく使い分けて快適なAWSセキュリティライフを!