devsecops時代のcloud security awsとトレンドマイクロでどう … ·...
TRANSCRIPT
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
姜 貴日(かん きいり)トレンドマイクロ株式会社
セキュリティエキスパート本部パートナービジネスSE 部
シニアセールスエンジニア
桐山 隼人アマゾン ウェブ サービス ジャパン株式会
社
技術統括本部 レディネスソリューション本部
シニアセキュリティソリューションアーキテクト
DevSecOps時代のCloud Security!
AWSとトレンドマイクロでどう実現するのか?
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Agenda
1.DevSecOpsとは?
2.AWSで実現するDevSecOps
3.トレンドマイクロで補完するDevSecOps
4.AWS FinTechリファレンスアーキテクチャ日本語版
トレンドマイクロ拡張版のご紹介
5.まとめ
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
自己紹介 – 姜貴日(かん きいり)
トレンドマイクロ株式会社 パートナービジネスSE本部
シニアセールスエンジニア
主にクラウドと「Deep Security」をベースとした
提案・導入支援・啓蒙活動などを行う
TrendMicroDirection 2017 AWS Summit Tokyo 2017 Security re:Cap 2017 VMware vExpert 2015 - 2018
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
自己紹介 – 桐山隼人
外資系IT会社の開発研究所にて開発エンジニア、セキュリティベンダーにて技術営業の後、現職。
CISSP, CISA, ITIL, PMP, MBA, セキュリティ関連特許多数。顧客支援に加えて、クラウドセキュリティに関するセミナー登壇・記事寄稿など行う @hkiriyam1
RSA Conference 2017 APJ「Cloud Security Strategy」Session Speaker
AWS Startup Security Talks「セキュリティ意識が低いCEOはあり得ない」(ITpro)
AWS Summit Tokyo 2017「AWSで実現するセキュリティ・オートメーション」(マイナビニュース)
「IoTビジネスとセキュリティを3段階と4要素で理解する」寄稿
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
1.DevSecOpsとは?
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps モデル
開発者 顧客
releasetestbuild
plan monitor
デリバリーパイプライン
フィードバックループ
Security
DevOpsとは、顧客との相互やりとりを素早く効率的に行うソフトウェア開発運用の在り方
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps モデルの導入に必要なもの
組織文化Culture
手法Practices
ツールTools
3つの要素が全て揃うことでDevOpsの導入が現実に
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps の組織文化 (Culture)
DevOps組織は全体のライフサイクルに責任を持つ
サイロ化されていた開発と運用のチーム間障壁の除去
開発者の生産性と運用者の信頼性を共に最適化
頻繁なコミュニケーションで顧客に提供するサービス品質を向上
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps の手法 (Practices)
継続的インテグレーション 継続的デリバリー マイクロサービス
コードとしてのインフラストラクチャ
モニタリングとロギングコミュニケーションと
共同作業
素早く効率的に顧客にサービスを届けるための6つの手法
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps のツール (Tools) 1
継続的インテグレーション/継続的デリバリー(CI/CD) マイクロサービス
DevOpsの手法を適切に実行するためのツール群
AWS CodePipelineソフトウェアリリースのワークフロー
AWS CodeBuildコードのビルドとテスト
AWS CodeDeployデプロイ自動化
AWS CodeStar
統合CI/CDプロジェクト
AWS CodeCommitバージョン管理
Amazon Elastic Container ServiceDockerプラットフォーム運用
AWS Lambdaサーバーレスコンピューティング
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps のツール (Tools) 2
コードとしてのインフラストラクチャ モニタリングとロギング
DevOpsの手法を適切に実行するためのツール群
AWS CloudFormationテンプレートによるプロビジョニング
AWS Systems Manager
設定管理
AWS Configコードとしてのポリシー
Amazon CloudWatchクラウドのモニタリング
AWS CloudTrailAPI使用状況の追跡
AWS X-Ray分散アプリケーションの分析とデバッグ
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevSecOps の実現に向けて
DEV OPS
ビジネス目標達成のライフサイクルにセキュリティを組み込む
どの段階にどのようなセキュリティをどう適用すべきか?
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevSecOps ライフサイクルのセキュリティ脅威モデリング
コードレビュー
静的コード解析
クレデンシャル漏えい防止
ビルドサーバー保護
成果物検証
コンプライアンス検証
脆弱性診断構成管理
セキュリティポリシー検証
不正侵入検知
監査ログ取得
インシデントレスポンス
監査検証
リソース保護
DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
2.AWSで実現するDevSecOps
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevSecOps を実現する AWS サービス
AWS CodeCommit
AWS CodeBuild
AWS CodeDeploy
AWS CodePipeline
AWSConfig
AWSCloudFormation
AWSCloudTrail
Amazon Macie
AWSLambda
Amazon CloudWatch
Amazon GuardDuty
AWS CodeStar
AWSSystems Manager
Amazon ECS
DEV OPS
Amazon Inspector
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
1. CI/CD パイプライン
CodePipeline開発運用チーム S3
Push/Pull
https://aws.amazon.com/jp/blogs/devops/implementing-devsecops-using-aws-codepipeline/
パイプライン管理とセキュリティチェック DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
1. CI/CD パイプライン
CodePipeline
ソース段階
静的コード解析Lambda 関数
開発運用チーム S3
Push/Pull
https://aws.amazon.com/jp/blogs/devops/implementing-devsecops-using-aws-codepipeline/
パイプライン管理とセキュリティチェック DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
1. CI/CD パイプライン
CodePipeline
ソース段階 テスト段階
静的コード解析Lambda 関数
スタック妥当性検証
Lambda 関数
スタックの作成
スタックの削除
開発運用チーム S3
Push/Pull
https://aws.amazon.com/jp/blogs/devops/implementing-devsecops-using-aws-codepipeline/
パイプライン管理とセキュリティチェック DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
1. CI/CD パイプライン
CodePipeline
ソース段階 テスト段階 本番段階
静的コード解析Lambda 関数
スタック妥当性検証
Lambda 関数
スタックの作成
スタックの削除
変更セットの作成
変更セットの実行
開発運用チーム S3
Push/Pull
https://aws.amazon.com/jp/blogs/devops/implementing-devsecops-using-aws-codepipeline/
パイプライン管理とセキュリティチェック DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
2. デプロイ時の自動構成
セキュリティ評価とソフトウェア更新
https://aws.amazon.com/jp/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/
AWS CodeDeploy
デプロイ
開発運用チーム
DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
2. デプロイ時の自動構成
セキュリティ評価とソフトウェア更新
https://aws.amazon.com/jp/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/
AWS CodeDeploy
Amazon Inspector
Amazon CloudWatch Event
デプロイ
通知 トリガー
脆弱性診断
一部に脆弱性発見
開発運用チーム
DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
2. デプロイ時の自動構成
セキュリティ評価とソフトウェア更新
https://aws.amazon.com/jp/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/
AWS CodeDeploy
Amazon Inspector
AmazonSNS Topic
AWS Systems ManagerRun Command
Amazon CloudWatch Event
デプロイ
通知 トリガー 通知 トリガー
脆弱性診断 アップデート実行
一部に脆弱性発見
>aws ssm send-command--instance-ids “xxxxxxxx”-–parameters
‘{“commands”:[“yum update”]}’
開発運用チーム
DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
2. デプロイ時の自動構成
セキュリティ評価とソフトウェア更新
https://aws.amazon.com/jp/blogs/security/how-to-remediate-amazon-inspector-security-findings-automatically/
AWS CodeDeploy
Amazon Inspector
AmazonSNS Topic
AWS Systems ManagerRun Command
Amazon CloudWatch Event
デプロイ
通知 トリガー 通知 トリガー
脆弱性診断 アップデート実行
パッチ適用完了
>aws ssm send-command--instance-ids “xxxxxxxx”-–parameters
‘{“commands”:[“yum update”]}’
開発運用チーム
AWS Systems ManagerInventory
データ定期収集
DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
3. ワークロード監視と評価
脅威検知とセキュリティ設計
AmazonGuardDuty
GuardDutyによるFindings
運用 時の脅威 監視
1. 悪意のあるスキャン例) 総当たり攻撃・ポートスキャン
2. インスタンスへの脅威例) C&Cサーバーとの通信
3. アカウントへの脅威例) 不正なAPI呼び出し
DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
3. ワークロード監視と評価
脅威検知とセキュリティ設計
AmazonGuardDuty
GuardDutyによるFindings
開発時のセキュリティ設計への反映
評価と計画運用 時の脅威 監視
1. 悪意のあるスキャン例) 総当たり攻撃・ポートスキャン
2. インスタンスへの脅威例) C&Cサーバーとの通信
3. アカウントへの脅威例) 不正なAPI呼び出し
DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
3. ワークロード監視と評価
脅威検知とセキュリティ設計
AmazonGuardDuty
GuardDutyによるFindings
開発時のセキュリティ設計への反映
AWS WAF
AWSCloudFormation
IAM
評価と計画運用 時の脅威 監視
1. 悪意のあるスキャン例) 総当たり攻撃・ポートスキャン
2. インスタンスへの脅威例) C&Cサーバーとの通信
3. アカウントへの脅威例) 不正なAPI呼び出し
1. ネットワーク保護
2. インフラ再構成
3. クレデンシャル管理
DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
3.トレンドマイクロで補完するDevSecOps
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS×セキュリティ 「責任共有モデル」
AWS
クラウドのセキュリティに対する責任
SECURITY ‘OF’THE CLOUD
お客様
クラウド内のセキュリティに
対する責任SECURITY ‘IN’THE CLOUD
お客様のデータ
プラットフォーム、アプリケーション、IDとアクセス管理
オペレーティングシステム、ネットワークとファイアウォール構成
クライアント側データ暗号化
とデータ整合性認証
サーバー側暗号化(ファイルシステムやデータ)
ネットワークトラフィック保護
(暗号化、整合性、アイデンティティ)
ハードウェア/AWSグローバルインフラストラクチャー
ソフトウェア
リージョンアベイラビリティ
ゾーンエッジロケーション
コンピュート ストレージ データベース ネットワーキング
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWSの機能・サービスで完結する?
ファイアウォール ユーザー認証
セキュリティ診断 アクセス制御
データ暗号化
施設
サーバネットワーク
法規制対応 物理冗長性
ストレージ
ハイパーバイザー
IAM Amazon Inspector
AWS KMS AWS WAF AWSConfig
AWS Direct Connect
Amazon VPC
security group
Amazon CloudFront
セキュリティ診断
インシデント・レスポンス
アンチマルウェア IPS/IDS,WAF
フォレンジック
フォレンジック
snapshot
AWS Trusted Advisor
AWS Shield
<AWSが責任を持つ範囲>
<AWSの機能でセキュリティを保てる範囲>
AWSが対策を実施している範囲
AWSのセキュリティ機能を使って対策する範囲
AWS以外のサービスを
利用する範囲
<AWS以外のサービスを利用する範囲>
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Trend Micro Deep Securityとは
Deep Security Manager
Deep SecurityAgent
物理環境 仮想環境
Deep SecurityVirtual appliance
クラウド環境
Deep SecurityAgent
サーバを多層防御する総合サーバセキュリティ対策製品
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
パブリッククラウド
VDI
ハイブリッド環境
物理サーバ
コンテナ
仮想サーバ
製品コンセプト: 進化する環境を保護する101010
Serverless
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps環境でのSecurityツールの考え方
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps環境でのSecurityツールの考え方
全体
• DevOpsチェーンへのSecurityツールの親和性– セキュリティがDevOpsの促進を妨げてはいけない。
• コードの信頼性
• コンプライアンスの検討
Dev
• アプリケーションの信頼性
• モニタリング、ログ分析
• アクションの自動化
Ops
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps環境でのDeep Security
ユースケース1
CI/CD Pipelineへの実装
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.corporate
data center AWSAWS
既存の CI/CD Pipelineを邪魔しないSecurity実装
Commit Trigger
Deploy Application
AWS
CodeBuild
Build
Test
Code Build Test DeployPlan Configure Monitor
AWS
CodeCommit
AWS
CodePipeline
Developer
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.corporate
data center AWSAWS
Developer
既存の CI/CD Pipelineを邪魔しないSecurity実装
Commit Trigger
Deploy Application
AWS
CodeBuild
Build
Test
Security Product
Code Build Test DeployPlan Configure Monitor
AWS
CodeCommit
AWS
CodePipeline
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.corporate
data center AWSAWS
Developer
既存の CI/CD Pipelineを邪魔しないSecurity実装
Commit Trigger
Deploy Application
Maintenance Mode ONMaintenance Mode OFF
Code Build Test DeployPlan Configure Monitor
AWS
CodeCommit
AWS
CodePipeline
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps環境でのSecurityツールの考え方
全体
• DevOpsチェーンへのSecurityツールの親和性– セキュリティがDevOpsの促進を妨げてはいけない。
• コードの信頼性
• コンプライアンスの検討
Dev
• アプリケーションの信頼性
• モニタリング、ログ分析
• アクションの自動化
Ops DEV OPS
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevOps環境でのDeep Security
ユースケース2
Container環境へのセキュリティ対策
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Pipeline View of Building Container Services
AWS
CodeCommit
AWS
CodeBuild
Amazon ECR containers
Amazon ECS
Dockerfile
1. Commit 2. Start CI 3. Build / Test 4. Push Image
5. Run Deploy
6. Deploy
Container
Code Build Test DeployPlan Configure Monitor
AWS
CodePipeline
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Vulnerability Image on Docker Hub
https://blog.acolyer.org/2017/04/03/a-study-of-security-vulnerabilities-on-docker-hub
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Example of Supply Chain Attacks
https://www.theregister.co.uk/2017/09/15/pretend_python_packages_prey_on_poor_typing/https://arstechnica.com/information-technology/2017/09/backdoor-malware-planted-in-legitimate-software-updates-to-ccleaner/
pip install reqeusts (requests)pip install urlib3 (urllib3)pip install crypt (crypto)
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Pipeline View
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Pipeline View
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Pipeline View
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS
CodeCommit
AWS
CodeBuild
Amazon
ECR
containers
Amazon ECS6. Run Deploy
7. Deploy
Container
Code Build Test DeployPlan Configure Monitor
6. No! Reject Deploy5. Check Image
Deep Security Smart Check
Pipeline View of Building Container Services
Smart Checkついての詳細は「[email protected]」へご連絡ください
AWS
CodePipeline
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
4.AWS FinTechリファレンスアーキテクチャ日本語版
トレンドマイクロ拡張版のご紹介
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS FinTechリファレンスアーキテクチャ概要
FISC関連基準PCI DSS
ISO 27001
要求事項を整理、検討
要求事項を機能で実装
AWS FinTech リファレンス・テンプレート 日本版
AWS FinTech リファレンス・ガイド日本版
新サービスの追加や新しいガイドライン発行などに合わせて、継続して更新、対応予定
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS FinTechリファレンスアーキテクチャ構成
FinTechリファレンスアーキテクチャ
FinTechリファレンスガイド FinTechリファレンステンプレート
検討事項と対応内容のマッピング表
構成図AWS CloudFormation
テンプレート
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
AWS Tag
FRA_WebServer
AWS Tag
FRA_AppServerAWS Lambda
AmazonCloudWatch
AWSCloudFormation
② 定期実行されるAWSLambda Function が「FRA_***」のAWS Tagが付与されているインスタンスを検査
③もしDeep Security がインストールされていない場合はAWSLambdaにてインストールを実施(Auto Scalingにも対応)
④Deep Security にて常に保護されている状態を提供
(プロセスが故意に落とされた場合にも対応)
Run Command
①AWS CloudFormationにてDeep Security拡張版テンプレートを展開
ガイドの項番22、24に該当
これらのテンプレートはフリーツール扱いとなります。ご提供については「[email protected]」へご連絡ください
Deep Securityで守られている状態を常に提供
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
②感染したインスタンスを自動隔離、自動復旧
自動化ソリューション①Amazon SNS, AWS Lambda, Auto Scaling
① Deep Securityが「ウイルス対策」で感染を検知し、Managerにイベントがあがる
② 検出したイベントをManagerからSNSへ通知
③ SNSからLambdaを実行
④ Lambdaが感染したインスタンスを隔離
⑤ インスタンスが隔離される
⑥ インスタンスが減ったことでAuto Scalingが発動
5.
Move
3.
Run
Lambd
a
ガイドの項番30、31に該当
これらのテンプレートはフリーツール扱いとなります。ご提供については「[email protected]」へご連絡ください
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
自動化ソリューション②AWS WAF, Amazon SNS, AWS Lambda
3.RunLambda
4.Run
Lambda
① Deep Securityが「IPS/IDS」で攻撃を検知
② 検出したイベントをManagerへ通知
③ ManagerからSNSへ通知
④ SNSからLambdaを実行
⑤ LambdaがSNS通知に含まれる送信元情報「x-forwarded-for」のIPをAWS WAFのIPブロックリストへ反映する
⑥ 以降の攻撃はAWS WAFにてブロック一定時間が経過すると、ブロックリストのIPアドレスは自動削除される
①AWS WAFを使った攻撃元の自動遮断
ガイドの項番11、12、54に該当
これらのテンプレートはフリーツール扱いとなります。ご提供については「[email protected]」へご連絡ください
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevSecOps に欠かせない自動化
1. 価値実現の早さ
2. 品質改善・コスト低減
3. 測定・可視化・分析AWSとトレンドマイクロが考えるセキュリティオートメーションの真価http://ascii.jp/elem/000/001/548/1548391/
何のための自動化か?なぜ自動化が重要なのか?
NRIはなぜセキュリティオートメーションを自ら試すのか?http://weekly.ascii.jp/elem/000/000/414/414977/
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
まとめ
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
DevSecOps実現にAWSを選ぶ理由
DevOps環境にDeep Securityを選ぶ理由
1. AWSとの親和性が強い製品(クラウドの利点を損なわない)
2. DevOpsの考えを考慮した製品設計
3. 市場の変化と共に進化していく製品
Drive Your DevSecOps with Deep Security & AWS!!
1. まずは、組織文化 + 手法 + ツールの3要素が重要
2. ツールが揃っているのでDevOpsライフサイクルを即実行可能
3. セキュリティサービスを組み合わせる事でDevSecOpsも容易に実現
© 2018, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Thank you!!