ログから始めるクラウド運用のポイント2017/06/28 · infoscience corporation...
Post on 07-Jul-2020
2 Views
Preview:
TRANSCRIPT
Infoscience Corporationwww.infoscience.co.jp
info@logstorage.com
Tel: 03-5427-3503 Fax: 03-5427-3889
ログから始めるクラウド運用のポイント
インフォサイエンス株式会社
プロダクト事業部
2017/06/28
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
インフォサイエンス株式会社 概要
2
設立
1995年10月
代表者宮 紀雄
事業内容
•パッケージソフトウェア
「Logstorage」シリーズの開発
•データセンタ運営
•受託システム開発サービス
•包括システム運用サービス
所在地
東京都港区芝浦2丁目4番1号
インフォサイエンスビル
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログから始めるクラウド運用のポイント
1. ログ管理の目的
2. Logstorage 製品ラインナップ ご紹介
3. クラウド運用の課題
4. クラウドログ管理の課題と解決
5. 事例ご紹介
3
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
システムへの脅威
ログ管理の目的
4
様々なルールや脅威への対応のために、ログの管理が行われている
個人情報保護法
ISO27001/ISMS国際ペイメントブランド/PCI DSS
APT/標的型攻撃 内部犯行による情報漏えい サイバー犯罪捜査
金融商品取引法
マイナンバー/番号法
法令/ガイドライン
「ログ」の管理・モニタリングは、今や情報セキュリティの中心的な対策となっている
経産省/クラウドセキュリティガイドライン
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
経産省 クラウドセキュリティガイドライン
5
「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」
経済産業省から2013年改訂版が公開「このガイドラインの利活用によって,クラウド利用者がクラウドコンピューティングの利用にあった情報セキュリティ対策を実施し,クラウドコンピューティングの活用が促進されることが望まれる。」
ログに関する基準
10.10 監視システムを監視することが望ましく,また,情報セキュリティ事象を記録することが望ましい。
具体的な要件
10.10.1 監査ログ取得 10.10.4 実務管理者及び運用担当者の作業ログ
10.10.2 システム使用状況の監視 10.10.5 障害のログ取得
10.10.3 ログ情報の保護 10.10.6 クロックの同期
クラウドサービス利用者として必要とされるログ監視の要件が明記されています
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
AWSの共有責任モデル
6
AWSを利用する上でのユーザが負担すべき責任
・ユーザのデータ・アプリケーション・セキュリティグループ・OS
・アカウント管理・ネットワーク設定・OSファイアウォール
・ファシリティ・物理セキュリティ・物理インフラ
・ネットワークインフラ・仮想インフラ
ユーザが管理
AWSが管理
AWSの責任共有モデル
AWSシステムのセキュリティはユーザも責任を負う必要がある
AWSユーザが管理する必要があるポイント
各種法令/ガイドラインへの準拠の際にも注意が必要
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログから始めるクラウド運用のポイント
1. ログ管理の目的
2. Logstorage 製品ラインナップ ご紹介
3. クラウド運用の課題
4. クラウドログ管理の課題と解決
5. 事例ご紹介
7
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
Logstorage ご紹介
8
あらゆる場所・フォーマットで点在するログを管理・分析する、純国産の統合ログ管理システムです。内部統制、情報漏えい対策、サイバー攻撃対策、システム運用監視、業務効率改善など、多様な目的に対応できる、統合ログ分野でのデファクトスタンダード製品です。
出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2016(統合ログ管理市場)」
Logstorageは10年連続市場シェアNo.1導入実績 累計 2,200社!
「Logstorage」とは
Logstorage
A製品
その他
B製品
C製品
38.9%
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
Logstorage ラインナップ
9
統合ログ管理製品の決定版
日本国内のセキュリティ運用にフィットしたSIEM製品
AWSを始めとして、Microsoft Azure等の様々なパブリッククラウドのログ管理ツール
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
機能・システム構成
10
ログ収集機能
[受信機能]・Syslog / FTP(S) / 共有フォルダ / SNMP
[ログ送信・取得機能]・Agent・EventLogCollector・SecureBatchTransfer
ログ保管機能
ログ検知機能 検索・集計・レポート機能
・ポリシーに合致したログのアラート・ポリシーはストーリー的に定義可能
(シナリオ検知)
・ログの圧縮保存/高速検索・ログの高速検索用インデックス作成・ログの改ざんチェック機能・ログに対する意味(タグ)付け・ログの暗号化保存・保存期間を経過したログを自動アーカイブ
・ログの検索/集計/レポート生成・インデックスを用いた高速検索・検索結果に対する、クリック操作による絞込み・レポートの定期自動実行(HTML/PDF/CSV/TXT/XML)
<Logstorage システム構成>
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログ収集実績/連携製品
11
日本国内で利用されているソフトウェア・機器を中心に250種以上のログ収集実績
【Logstorage アライアンス製品】
LanScope Cat SecureCube / AccessCheck
CWAT InfoTrace
MylogStar IVEX Logger シリーズ
i-FILTER MaLion
VISUACT SSDB監査
PISO SKYSEA Client View
Palo Alto Networks NGFW Amazon Web Service (AWS)
Microsoft Azure
[OSシステム・イベント]・Windows
・Solaris
・AIX
・HP-UX
・Linux
・BSD
[Web/プロキシ]・Apache
・IIS
・BlueCoat
・i-FILTER
・squid
・WebSense
・WebSphere
・WebLogic
・Apache Tomcat
・Cosminexus
[アンチウィルス]・Symantec AntiVirus
・TrendMicro InterScan
・McAfee VirusScan
・HDE Anti Vuris
[複合機]・imageRunner
・Apeos
・SecurePrint!
[Lotus Domino]・Lotus Domino
・Notes AccessAnalyzer2
・Auge AccessWatcher
[クライアント操作]・LanScope Cat
・InfoTrace
・CWAT
・MylogStar
・IVEX Logger
・秘文・SeP
・QND/QOH
[メール]・MS Exchange
・sendmail
・Postfix
・qmail
・Exim[データベース]・Oracle
・SQLServer
・DB2
・PostgreSQL
・MySQL
[ネットワーク機器]・Cisco PIX/ASA
・Cisco Catalyst
・NetScreen/SSG
・PaloAlto PA
・VPN-1
・Firewall-1
・Check Point IP
・SSL-VPN
・FortiGate
・NOKIA IP
・Alteon
・SonicWall
・FortiGate
・BIG-IP
・IronPort
・ServerIron
・Proventia
[サーバアクセス]・ALogコンバータ・VISUACT
・File Server Audit
・CA Access Control
[その他]・VMware vCenter
・SAP R/3 (ERP)
・NetApp (NAS)
・ex-SG (入退室管理)
・MSIESER
・iSecurity
・Desk Net’s
・HP NonStop Server
・BOX
・Office 365
…その他
[データベース監査]・PISO
・Chakra
・SecureSphere DMG/DSG
・SSDB監査・AUDIT MASTER
・IPLocks
・Guardium
[ICカード認証]・SmartOn
・ARCACLAVIS Revo
[運用監視]・Nagios
・JP1
・Systemwalker
・OpenView
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
Logstorage X/SIEM
12
リアルタイムでの高度なログ分析を提供
ログ収集機能
[受信機能]・Syslog / 共有フォルダ
[ログ送信・取得機能]・Agent・EventLogCollector
アラート
・ユーザが自由に作成・編集可能な高度なポリシー・ポリシーに合致したログのアラート・相関分析を用いた動的かつ高度なポリシーの作成・メール、または外部コマンドの実行
検索/高度なGUI
・ログの検索・容易かつ高度な検知ポリシー作成・編集・ダッシュボードを用いた同時監視・リアルタイムモニタ
高度な連携
・脅威DBとの連携機能提供(提供元との別途ご契約が必要)
receive
Firewallルータースイッチ
Windows
ELCAgent
ファイルサーバ Linux
sensor
APIGUI
web
アラート(メール、コマンド実行)
indexer
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
Logstorage クラウド対応ラインナップ
13
Logstorage for AWS/Logstorage 連携パック for AWS
Logstorage 連携パック for Azure Activity Log
Logstorage クラウド向けログ収集モジュール
Logstorageはマルチ/ハイブリッドクラウド対応を進めています
Logstorageはパブリッククラウドサービスへの取り組みを通じて、来るマルチ/ハイブリッドクラウドへの対応を進めています。
box 監査ログ、 Office365 監査ログに対応
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログから始めるクラウド運用のポイント
1. ログ管理の目的
2. Logstorage 製品ラインナップ ご紹介
3. クラウド運用の課題
4. クラウドログ管理の課題と解決
5. 事例ご紹介
14
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
パブリッククラウド構築の可視化
15
パブリッククラウド上の操作は「見えない」
オンプレミスとパブリッククラウドの比較
オンプレミスでの作業 パブリッククラウドでの作業
H/W調達 実機を購入 API/Webでインスタンス作成
データセンター設置 データセンター搬入 同上
ネットワーク接続、設定 ケーブル結線ルーター設定の操作
API/Webで設定
ファイアウォール設置、設定 ファイアウォール設定の操作 同上
従来のシステム構築では実機の搬入や結線を実施していたが、パブリッククラウドでは全てのシステム構築過程が「API」(またはWebインターフェース)で実行されるため、作業内容がわかりづらい。
H/Wレベルの操作を把握するためには「ログ」を取得する必要がある!
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
パブリッククラウド運用の特徴
16
サービス開始後もサイジング変更が容易
オンプレミスでは機器の性能は構築が終わると変更が難しい
• サービスイン後に性能不足が発生させるのを避けるため、H/Wにかなりの安全係数を掛けて設計• → 運用後にリソース余剰が発生してもそのまま運用を継続するしか無い
パブリッククラウドでは機器の性能の変更はいつでも可能
• スモールスタートでサービスインしておき、ログやステータス情報から必要に応じて性能をスケールアップさせたインスタンスへの変更が可能
• AWSやAzureでは、原則としてインスタンスの起動時間に応じてコストが掛かる• → インスタンスのCPU負荷やメモリ使用率はコストとしては変動しない
• e.g. ログや性能情報からインスタンスのスペックを下げることも検討できる
インスタンスのログや性能をモニタリングすることが重要
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
マネージドサービス固有の問題
17
マネージドサービスの監査をどうするか?
• Amazon AWS S3、box、Office365等のマネージドサービス(直接提供OSを操作しないサービス)の状態は、仮想マシンに直接アクセスできないため、マネージドサービスから提供されているAPIを用いて利用状態を把握する必要がある。
課題
• 進化の著しいパブリッククラウドサービスが提供するAPIを用いて、ログや状態を監視する処理を作り込まなくてはならない
• 直感的にサービスの状態が把握しづらい(機器やOSの負荷が直接見えない)ため、ログや統計情報などを横断的に把握する必要がある
• →ファイルアップロード、メール流量が増加していないか?外部接続用のN/W機器や回線を増強する必要があるのではないか?
マネージドサービスのログをモニタリングすることが重要
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ハイブリッドクラウドとは?
18
ハイブリッドクラウド環境の登場
オンプレミス、プライベートクラウド、ハイブリッドクラウドの各サービスの長所、コストを勘案し、組み合わせて構築したシステムを指します。
そもそもハイブリッドクラウドとは?
ハイブリッドクラウド移行例
データベース
ファイルサーバ
メールサーバ
アプリケーションサーバ
Amazon
EC2
Amazon RDS
box(ファイル共有)
Office365 Exchange
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ハイブリッドクラウドにおける課題(1)
19
標的型攻撃対策の必要性
標的型攻撃はオンプレミス・パブリッククラウドを問わず、どの環境からも侵入され、相互に侵害が発生する可能性があります。
標的型攻撃は侵入場所を問わない
想定される攻撃例• EC2インスタンスへのマルウェア感染• DDoS踏み台化• RDSからの重要情報漏えい
• boxからのファイル漏えい、削除標的型メール攻撃でPCがマルウェア感染
標的型攻撃を境界で防ぐことが難しくなっている上に、ハイブリッドクラウド環境はシステム構成が複雑化する傾向にあります。そのような環境下でいかに侵入をいち早く検出し、被害を押さえ込むことが重要なポイントです。
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ハイブリッドクラウドにおける課題(2)
20
各種パブリッククラウドサービスのログ取得の実装、ログ内容はサービス毎に異なります。ログ取得処理を自ら開発・運用したり、フォーマット・意味付けの異なるログをレビューしていては、運用コストの増大を招きかねません。
システムは複雑化しても監査・管理は必要
AWSCloudTrail
AmazonEC2
運用担当者
オンプレミス
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ハイブリッドクラウド監視の解決策
21
ハイブリッドクラウドを統合管理することで効率的に管理する
ハイブリッドクラウドの複雑な構成をLogstorageを用いて効率的にセキュリティ対策を行うことが可能です。
AWSCloudTrail
AmazonEC2
オンプレミス
各環境からのログ収集、分析はLogstorageが実施
運用担当者はLogstoageで横断的にログやイベントの確認が可能
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログから始めるクラウド運用のポイント
1. ログ管理の目的
2. Logstorage 製品ラインナップ ご紹介
3. クラウド運用の課題
4. クラウドログ管理の課題と解決
5. 事例ご紹介
22
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
クラウドサービスのログ取得
23
パブリッククラウドのログを取得するだけでも一大事
AWSCloudTrail
S3 bucket
AWS CloudTrail のログ取得 AWS CloudWatch Logs のログ取得
Amazon CloudWatch
CloudWath Logs 内部で保持APIで取得する必要あり
API
S3バケットにファイルで出力
ログを取るだけでも、サービスによって方式が異なる
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
Logstorage クラウドラインナップ
24
Logstorage クラウドラインナップでパブリッククラウドのログ収集を容易に実現
Logstorage for AWS / Logstorage 連携パック for AWS
連携パック for
Azure Activity Log
クラウド向けログ収集モジュール
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
サービス間でのログの差異
25
ログのフォーマットはサービスでバラバラ
"Records": [{"eventVersion": "1.0","userIdentity": {
"type": "IAMUser","principalId": "EX_PRINCIPAL_ID","arn": "arn:aws:iam::123456789012:user/Alice"
AWS CloudTrail のログ
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be mybucket [06/Feb/2014:00:00:38 +0000] 192.0.2.3 79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be 3E57427F3EXAMPLE REST.GET.VERSIONING - “GET /mybucket?versioning HTTP/1.1” 200 - 113 - 7 - “-” “S3Console/0.4” - (1行)
79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be mybucket [06/Feb/2014:00:00:38 +0000] 192.0.2.3 79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be 891CE47D2EXAMPLE REST.GET.LOGGING_STATUS - “GET /mybucket?logging HTTP/1.1” 200 - 242 - 11 - “-” “S3Console/0.4” - (1行)
AWS S3 アクセスログ
ログのフォーマット、内容もサービスによってバラバラ
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
マルチクラウドではさらに・・・
26
さらにマルチクラウドでは対応すべきフォーマットが増加する
"authorization": {"action": "Microsoft.Security/register/action","scope": "/subscriptions/70435def-b7c2-45cb-9258-f2d6a1835f34"
},"caller": “user@domain.onmicrosoft.com","channels": "Opera
Azure Acticity Log
"created_at": "2017-02-02T16:50:51-08:00", "event_id": "5dfbd9a7-d022-42a9-9b9a-00818d338686", "event_type": "DOWNLOAD", "ip_address": “XXX.XXX.XXX.XXX", "type": "event",
box アクセスログ
マルチクラウド環境でのログ管理は、フォーマットの差異を吸収しないと管理者の運用コストが増大する
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログ分析によるレビュー負荷の削減
27
Logstorageのログ分析機能で可読性を向上、レビュワーの負荷を削減します
Logstorageに取り込むことで、様々なサービス/パブリッククラウドのログをレビューしやすい形式に出来る
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログの長期保管コスト
28
ログの長期間・大量保存はコストが掛かる
ログをそのままの状態で長期保管すると、ストレージに掛かるコストが増大していきます
1日にシステム全体で10GBのログが出力される場合10GB × 365(日) = 3,650 GB 必要
ログの保存期間に応じて期間は増減する例:PCIDSS 最低1年以上保存が必要
AWS EBS 上に保存する場合・・・st1(Throughput Optimized)で計算すると(4,000GBで計算)$218/月、年額で $2,616 必要になる(2017年6月現在)
より長期間保存するのであれば、コストが積み上がっていく
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログの高効率圧縮でストレージを活用する
29
独自の圧縮方式で、レスポンスを損なうこと無く効率的なストレージ運用が可能
Amazon EC2
Amazon CloudWatch
AWSCloudTrail
ログを圧縮保存することで効率的なストレージの活用が可能
Amazon EBS
ログを最大10分の1に圧縮して保存
Logstorage
圧縮した状態のままでレポート等活用可能
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
オフライン化でさらに効率的な運用
30
オフラインデータを安価なオブジェクトストレージに移動
Amazon EBS
Logstorage
オンラインログデータ(3ヶ月分)
オンライン期間を経過した古いログデータ
AmazonS3
Amazon Glacier
オンライン期間を経過したログデータは、より安価なオブジェクトストレージに移動
過去のログデータを活用したい場合は、オブジェクトストレージからリストア
オフライン運用との組み合わせで、安価なオブジェクトストレージにログデータを移動してコスト抑制
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
ログから始めるクラウド運用のポイント
1. ログ管理の目的
2. Logstorage 製品ラインナップ ご紹介
3. クラウド運用の課題
4. クラウドログ管理の課題と解決
5. 事例ご紹介
31
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
[事例1] AWS上でのルール準拠
32
ログ収集対象
ルータ 踏み台サーバ
スイッチ NATインスタンス
認証サーバ セキュリティ端末
その他、セキュリティ管理サーバ
全顧客の AWS CloudTrail ログ
全顧客の AWS Config ログ
Logstorage導入目的
各種セキュリティ認証の取得(PCI DSS / ISO27001)
SOC2 への取り組み 上記への対応を通じ、セキュリティへの取り
組みについて客観的な評価に基づく透明性の確保、高度なセキュリティ体制の実現
Logstorage導入環境
認証サーバ Logstorage
その他管理サーバ
踏み台サーバ
社内インフラVPC
ルータ VPN装置
閉塞網 Internet
セキュリティ端末
東京拠点
ルータ
東品川データセンター
Direct Connect(専用線接続)
セキュリティネットワーク
Customergateway
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
[事例1] cloudpack様 コメント
33
○SOC 2報告書
○PCI DSS認証
『Logstorageは、PCI DSSで求められるログの暗号化と改ざん検出に標準機能で対応しており、別の製品と組み合わせる必要なく対応できた』
『結果、PCI DSS認証取得において、ログに関する指摘事項は無かった』
『Logstorageを利用したログの一元管理はSOC2対応でも踏襲した。AWSを対象としたフルマネージドサービス事業で、国内で初めてSOC 2報告書を受領した。』
『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』
『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対応は助かった。』
○その他
cloudpack(アイレット株式会社)様から頂いたコメント
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
[事例2] 複数アカウントログの統合管理
34
複数のAWSアカウントのCloudTrail/Configログを統合管理
AWSCloudTrail
AWSConfig
複数のユーザアカウント 統合管理用アカウント
集約されたログを一括で検索、確認
ハンズラボ株式会社様
導入目的:• 内部統制、PCIDSS対応• エンジニア全員がAWSを利用しており、AWS上の作業の監視
• AWS上のログデータの統合的な管理
• ログの集中管理を行うことで、有事の際の迅速な対応
頂いたコメント(抜粋)・複数アカウントのログを集中管理でき、調べたい情報(検索結果)を得るスピードが格段に向上しました。「Logstorage for AWS」に含まれる有用なテンプレートも使用していますが、任意の検索条件を容易に作成することもできるので、目的に応じ活用しています。
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved.
[事例3] ハイブリッド運用
35
社内ルーター router LogGate(ログ収集サーバ)
ELBWebAPサーバ
AmazonRDS
LogGate(ログ収集サーバ)
Console(管理/GUIサーバ)
事業者データセンターAWSから一般ユーザ向けに
Webサービスを展開
凡 例Webサービスの経路ログデータの経路Logstorage検索処理
SecureCube AccessCheck でデータセンタ機器とAWS EC2への事前承認のないアクセスを排除
SecureCube AccessCheckのログも収集し、機器・EC2の
ログと突合する
AccessCheckを経由しない違反アクセスを監査
ログデータ自体はデータセンターとEC2でそれぞれ別個に保存し、検索結果だけをAWSから取得させることで、AWSからの転送コストを低減
オンプレミス、AWSの双方にSecureCube AccessCheckを用いて特権ID管理を実施、ハイブリッドクラウドでの不正アクセス監査を実現
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved. 36
Logstorage 関連資料
URL: http://www.logstorage.com/product/product_materials.html
- Logstorage ご紹介資料
- Logstorage for AWS ご紹介資料
その他、ログ活用資料掲載中。
お問い合わせ先・開発元
インフォサイエンス株式会社 プロダクト事業部
TEL 03-5427-3503 FAX 03-5427-3889
http://www.logstorage.com/ mail : info@logstorage.com
Copyright(C) 2017 Infoscience Corporation. All Rights Reserved. 37
ご清聴ありがとうございました
お手数ですが、お手元のアンケート記入にご協力お願いいたします
ログから始めるクラウド運用のポイント
2017/06/28
インフォサイエンス株式会社プロダクト事業部
サイバー・セキュリティ・コンサルティングチーム
top related