クラウドネイティブにセキュリティを活用する!...
TRANSCRIPT
クラウドネイティブにセキュリティを活用する! API を連携して実装する方法 トレンドマイクロ株式会社
セキュリティエキスパート本部 プリセールスSE部
シニアエンジニア 岩瀬 由季
2 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
AWSにおけるセキュリティ 責任共有モデル
AWS グローバル インフラストラクチャ
リージョン アベイラビリティ ゾーン エッジ ロケーション
サーバ ストレージ データベース ネットワーク
お客様システム
AWSの責任範囲
お客様の責任範囲
お客様責任範囲の セキュリティ対策をお手伝い
ログ コンテンツ
オペレーティングシステム ミドルウェア アプリケーション
ネットワーク
3 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
攻撃例とユーザの責任範囲
ユーザ 責任範囲
AWS “クラウド基盤の保護”
SQLインジェクション
ICMPフラッド攻撃
サーバルームへの侵入
ARPスプーフィング攻撃
SYNフラッド攻撃
SSL関連攻撃(Poodle等)
アプリケーション層
プレゼンテーション層
セッション層
トランスポート層
ネットワーク層
データリンク層
物理層
アプリケーション層
プレゼンテーション層
セッション層
トランスポート層
ネットワーク層
データリンク層
物理層
4 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
Trend Micro Deep Security
サーバに必要なセキュリティ機能をAll in Oneで提供 する、多層防御に対応したホスト型のセキュリティソフトウェアです。
セキュリティ機能 内容
ファイアウォール 攻撃を受ける機会を軽減します。
侵入防御(IDS/IPS) 脆弱性を突いた攻撃からサーバを保護します。
セキュリティログ監視 重要なセキュリティイベントを早期に発見します。
変更監視 ファイルの改ざん等を早期に発見します。
不正プログラム対策 ウイルス等の不正プログラムを検出します。
多層防御
EC2
5 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
脆弱性を自動で検出!運用が簡単なIDS/IPS セキュリティパッチを適用することなく、サーバの脆弱性を保護する ホスト型のIDS/IPSルールです。
アプリケーション層
オペレーション システム層
ネットワーク層
特徴1:システムへの影響は最小限 OSやアプリケーションのコード変更なし → 迅速に脆弱性からの保護が可能
特徴2:多種類のOS/APPの脆弱性に対応
サーバに存在する脆弱性を自動的に検出し、 対応する最新のルールを自動的に配信 → 脆弱性管理工数の大幅削減が可能
例:Windows/Linux/Apache/OpenSSL/Adobe/PHP 等
6 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
Deep Security 侵入防御(IDS/IPS)
攻撃ツール
EC2のインスタンス 攻撃者
脆弱性
CVE-2016-3081 CVE-2016-4117
脆弱性
必要な仮想パッチを自動適用 仮想パッチによる防御 脆弱性攻撃コード
7 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
AWS環境にFITする3つの理由
All-in-One セキュリティ
ホスト型
Auto Scaling対応
8 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
5つの機能で多層防御
ログ監視
ウイルス対策
変更監視
IDS/IPS
Firewall
Deep Security Agent
情報
未遂
多層防御
9 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
GW/ホスト型どっちがベスト?- GW型
GW IDS/IPS
Web Server
APP Server
S3 Bucket
Availability Zone
Web Servers
GW IDS/IPS
• スケールアウトを考慮した設計が必要 • 単一障害ポイントとなりうる • 障害への対策のためには・・・
インスタンス増 → 高コスト
10 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
GW/ホスト型どっちがベスト?- ホスト型
APP Server
S3 Bucket
Availability Zone
Web Server
Web Servers
• インスタンス増減の考慮は不要 • 障害時の対応もインスタンス単位 • 必要な時に必要な分のセキュリティ
→クラウド向きの考え方
AWSのセキュリティは[ホスト型]!
2016/6/2 11 Copyright © 2015 Trend Micro Incorporated. All rights reserved.
Amazon Management Consoleと連携しインスタンス情報をリアルタイムで共有 セキュリティ対策済み・未対策が一目瞭然 Cloud Connecterで接続
Auto Scaling対応(1)
AWS Management
Console インスタンス情報が Deep Securityマネージャに 同期される
Deep Security管理マネージャ
2016/6/2 12 Copyright © 2015 Trend Micro Incorporated. All rights reserved.
柔軟なリソースにどう対応するのか?
• 動的に増えるインスタンスを自動で保護
• 運用管理者が都度を設定する不必要
• 一時的な増加に関してはライセンス無料※1
Deep Security
管理マネージャ 自動で保護
※1・・・ライセンス有効期間(1年)の中で、累計37日間(888時間)を無償で使用することができる
Web
Auto Scaling
Auto Scaling対応(2)
Web Web
13 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
AWS環境にFITする3つの理由
All-in-One セキュリティ
ホスト型
Auto Scaling対応
Copyright © 2016 Trend Micro Incorporated. All rights reserved. 14
github.com/deep-security
注意:GitHubのツール類はオープンソースで無償にてご提供しているものです。トレンドマイクロのサポートセンターにはお問い合わせいただけません。 ツールについて、うまく動作しないなどのお困りごとがあった場合には、直接GitHubにコメントをしてください。
15 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
DevOps
Development 開発
Operations 運用
16 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
DevOps+Security → DevSecOps
Development 開発
Operations 運用
Security
17 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
Deep SecurityのDevSecOpsツール群
/cloudformation /elastic-beanstalk /chef /ansible
/ip-lists /aws-config-rules /aws-waf /amazon-inspector /deep-security-py Amazon SNS でのイベント通知
Copyright © 2016 Trend Micro Incorporated. All rights reserved. 18
AWS CloudFormationとの連携
19 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/cloudformation
Public subnet Public subnet
Deep Security Agent
Deep Security Agent
Deep Security Manager
20 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
21 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
22 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/cloudformation
Public subnet Public subnet
Deep Security Agent
Deep Security Agent
Deep Security Manager
スクリプト実行で 簡単インストール
Copyright © 2016 Trend Micro Incorporated. All rights reserved. 23
AWS WAFとの連携
24 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/aws-waf
AWS WAFとは?
– Webアプリケーションに対するトラフィックをフィルタし、AWS上で動作するWebアプリケーションを守るサービス
カスタムルールに よるフィルタ
SQLインジェクション、 XSSなどのよくある攻撃 への対策
モニタリング
25 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
Deep SecurityとAWS WAF
AWS WAF
Deep Security カバー範囲
監視対象レイヤー 対策場所
CloudFront Edge Location
EC2 EC2
AWS WAF
AWS WAF
Deep Security
AWS カバー範囲
26 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/aws-waf
AWS WAFとは?
– Webアプリケーションに対するトラフィックをフィルタし、AWS上で動作するWebアプリケーションを守るサービス
カスタムルールに よるフィルタ
SQLインジェクション、 XSSなどのよくある攻撃 への対策
モニタリング
27 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
deep-security/aws-waf
AWS WAFにSQLインジェクション・XSSのルールを 作成し、自動的な保護を提供
Amazon CloudFront
AWS WAF
client Deep Securityで
保護されたinstance
Deep Security as a Service
SQLインジェク ション用ルール
Elastic Load
Balancing
②AWS WAF の SQL Injection/XSS用 ルールの作成&適用
28 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
DEMO
Copyright © 2016 Trend Micro Incorporated. All rights reserved. 29
Amazon Inspectorとの連携
30 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/amazon-inspector
Amazon Inspectorとは?
–アプリケーションのセキュリティ診断ツール
–ビルトインのルールパッケージを選択可能 • Common Vulnerabilities & Exposures
• Center for Internet Security – Secure Configration Benchmarks
• Security Best Practices
• Runtime Behavior Analysis
診断後の対策は? Deep Securityにお任せ!
31 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/amazon-inspector
Amazon Inspectorのアセスメント結果に応じて、 仮想パッチを自動適用
Deep Securityで 保護されたinstance
Amazon Inspector
Deep Security as a Service
アセスメント結果 CVE-2015-7499 CVE-2014-8176 CVE-2014-9140 CVE-2015-5312 CVE-2015-8242
②脆弱性に対応する仮想パッチ(IPSルール)を適用
③攻撃を ブロック
Copyright © 2016 Trend Micro Incorporated. All rights reserved. 32
まとめ
33 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
まとめ
責任共有モデル
クラウドのセキュリティ
多層防御
ホスト型
柔軟な構成・課金
導入
運用
自動化
DevSecOps
34 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
参考:Deep Securityのライセンス • 機能毎に買える柔軟なライセンス
課金単位 ライセンス名称 初年度 次年度以降
インスタンス数 全機能 (Deep Security Agent Enterprise)
¥213,000 ¥106,500
IPS/IDS, FW (Deep Security Agent Virtual Patch)
¥125,000 ¥62,500
変更監視、ログ監視 (Deep Security Agent System Security)
¥107,000 ¥53,500
ウイルス対策のみ (Deep Security Agent ウイルス対策)
¥98,000 ¥49,000
EC2 EC2 ・・・ 全機能使っても、月々¥12,000/ サーバ
IPS/IDSだけなら、月々¥7,000/サーバ ※3年間お使いいただいた場合で算出しています。
35 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
今すぐ!Deep Securityをお試しする方法
管理サーバ不要のSaaSサービス 30日間無料トライアル中!
Deep Security as a Service
まずは無料の ハンズオンに参加!
Deep Security on AWS
無償ハンズオントレーニング
毎月実施
日 程 :2016年6月14日(火)
時 間 :14:00~17:30
定 員 :40名
http://www.go-tm.jp/dshol
7月以降の開催日程はこちらの Webサイトでご確認ください
Elastic Load Balancing
Web APP
Web APP
Deep Security Agent
Deep Security Agent 監視・管理
Deep Security as a Service
(DSaaS)
トレンドマイクロのデータセンター
DSaaS 検索
Copyright 2015 Trend Micro Inc. 36
ブースにぜひお立ち寄りください!
①トレンドマイクロのセッション会場はこちら
②会場を出て左手 の展示会場へ
展示会場
③トレンドマイクロの ブースは展示会場
入ってすぐ!!
ご清聴ありがとうございました
注意:GitHubのツール類はオープンソースで無償にてご提供しているものです。トレンドマイクロのサポートセンターにはお問い合わせいただけません。 ツールについて、うまく動作しないなどのお困りごとがあった場合には、直接GitHubにコメントをしてください。
Copyright © 2016 Trend Micro Incorporated. All rights reserved. 38
Appendix
39 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/aws-config-rules
• AWS Config Rulesとは?
– 予め設定した“準拠すべきルール”に沿った 構成変更が行われているかを評価するサービス
すべてのEBSボリュームが暗号化されているか?
EC2インスタンスが適切にタグ付けされているか? 等
AWS Managed Rules Customer Managed Rules
AWSにより定義・提供される ベーシックなルール
自分でAWS Lambdaをベースに ルール作成可能
40 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/aws-config-rules
すべてのEC2インスタンスで 不正プログラム対策を有効にしていること
すべてのEC2インスタンスに セキュリティ対策製品が導入されていること
すべてのEC2インスタンスで決められた セキュリティポリシー設定が反映されていること
EC2インスタンスに導入されたセキュリティ対策製品でアラートが発令されていないこと
トレンドマイクロがGitHubで提供するカスタムルール
41 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
/aws-config-rules
Config Rulesを利用して、DSを利用しセキュリティを担保するポリシーを強制
企業がAWSの利用を社内展開する際の、 コンプライアンス順守を支援することが可能
42 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
Amazon SNSでのイベント通知
Deep Securityで検出したセキュリティイベントをSNS Topicとして通知
Amazon SNSと連携することで、 json形式でのイベントアウトプットが可能