awsをフルに活用しながらあんしんできるセキュア...

2013/6/5

トレンドマイクロ株式会社

エンタープライズマーケティング部

福井順一

AWSをフルに活用しながらあんしんできるセキュアなクラウド利用法とは？

6/25/2013 1 Confidential | Copyright 2013 Trend Micro Inc.

Agenda

•考慮する -攻撃手法の動向と求められる対策とは？

•Integrated Defense-in-depth for AWS

•AWSで使えるセキュリティテクノロジーを掘り下げる

•セキュリティ3分クッキング

•ユースケースはこうだ！！

•まとめ


考慮する –攻撃手法の動向と求められる対策とは？


まず気にしなければいけないことは

Instances Auto Scaling Elastic Load Balancer

Amazonのメリットを極力損なわないように

Bucket with Objects


被害者が加害者に！続発するWebサーバ改ざん被害

Copyright 2013 Trend Micro Inc. 5

ITmediaの記事

トレンドマイクロブログ

なにを改ざんされて、どこに被害がでたのか？


なんだこれ？

トレンドマイクロのWebサイトが

…

被害者のはずが加害者になってしまう

被害例をもう少し具体的に


/etc/httpd/conf/ /usr/lib/httpd/modules/ /var/log/httpd/ /var/www/

←設定ファイル（.conf） ←拡張モジュール

←Apache関連のログ ←公開用コンテンツ

etc...

mod_xxx.so

①不正なモジュールを拡張モジュール置き場に

置く

②設定ファイルにそのモジュールをロードするように追記す

る

③Apacheを再起動すればモジュールが有効になる

httpd.conf ...

LoadModule modules/mod_xxx.so ...

不正モジュール自体は既知のものであれば不正プログラムとして検出･駆除が可能

どのような対応が必要？


「結果」から「原因」をたどり「層」を強化する！

AWS上での展開方法とは？

Integrated Defense in Depth for AWS


GW,Host型どっちがベスト？- GW型

Data Volume S3 Bucket EBS Snapshot

Web

Server

APP

Server

DB

Server

Trend.AWS.com

Security Group

GW

IDS/IPS

1. スケールアウトを考慮した設計が必要

2. 単一障害ポイントとなりうる

3. “2”の対策⇒インスタンス増⇒費用がかさむ

Availability Zone

GW

Web

Server


GW,Host型どっちがベスト？- Host型

Data Volume S3 Bucket EBS Snapshot

Web

Server

APP

Server

DB

Server

Trend.AWS.com

Security Group

NIDS/

NIPS

1. インスタンスの増減に対して考慮が不要

2. 障害時の影響もインスタンス単位である

3. 必要な時に必要なだけ = クラウド向き

Availability Zone

Web

Server


ホスト型の方が AWS上のセキュリティ対策に向いてる？

何が使えるんだ？？

AWSで使えるセキュリティテクノロジーを掘り下げる



マルウェア対策 Web

Application Firewall

ネットワーク型IDS/IPS

ホスト型IDS

概要マルウェア、ボットネットやスパイウェアなどを検出する

ウェブアプリケーションの脆弱性を悪用した攻撃などからウェブアプリケーションを保護する、攻撃による影響を軽減させる対策

不審な通信を検知し、不正通のセッションの遮断、防御する

変更・改ざん検知

効果

悪意のあるプログラム（ウイルス）からシステムを防御し、システムやアプリケーション、データの破損を防ぐ

脆弱性を悪用した攻撃からウェブアプリケーションを防御する脆弱性を悪用した攻撃を検出する複数のウェブアプリケーションへの攻撃をまとめて防御する

不審な通信、悪意のあるトラフィックを遮断することで、システムへの攻撃を防ぐ

システムファイル、データファイル、レジストリへの変更を監視し、通知を行わせることで不正に改ざんされた情報を早期に知ることができる

検出方法定義されたルール（パターン）とマッチングさせる

検出するパターンを独自で作成

攻撃を定義した検出パターン（ブラックリスト）

監視対象と設定したものに対してハッシュ値をもとに比較、監視をし変更を検出する

検出対象ファイル HTTP/HTTPSのみネットワーク層～アプリケーション層

ファイル、レジストリ

AWS上で多層防御を実現するには？


マルウェア対策

今更、、、説明は要りませんよね。。


WAF(Web Application Firewall)

SaaS型WAF(DNS変更)

DNSの設定変更し、通信をSaaS WAFを迂回させる形でWebアプリケーションの脆弱性を検知、ブロックさせる仕組み。

ネットワーク型WAF(リバプロ、ブリッジ)

従来からあるGWタイプ。現在は、AMI化されMarket Placeでも展開されているものもあり

代表的なツール



WAF(Web Application Firewall)

ホストWAF(インストールタイプ)

ソフトウェアタイプで提供され、保護対象のサーバにインストールする形で利用する。



17


既知の脆弱性を突く攻撃コードを検出する為のシグネチャを搭載し、マッチングを掛ける事で検出、防御する代表的なツール


ファイル、ディレクトリ、プロセス、i-node, etc…

ホスト型IDS

整合性監視(Integrity Monitoring)


ベースの情報取得

Base line (Hash)

Change

ベースラインとの比較

新たなベースを生成


ホスト型IDS

ログ監視・監査(Log & Audit Monitoring)



攻撃ステップとマッピングしてみる

本当に役に立つのか？？


攻撃ステップとマッピングしてみる

Reconnaissance

Information Gathering

- Google Hacking - SNS(Facebook, Twitter, LinkdIn etc..) - HP, WHOIS etc...

Scanning and

Enumeration

- Port Scan - Banner Grabbing - Network Mapping

Maintaining Access

- Backdoor - Tunneling

- Rootkit - Disable Auditing - Clearing Logs

Covering Tracks


WAF

ホスト型IDS


Gaining Access

- Exploit, Brute Force - XSS, SQL Injection - Man in The Middle - DOS, Buffer Overflow


効果的な対策を行うには各攻撃フェーズに対し、

網羅的な対策を行う事が必要。

ツールに置き換えてみる


Reconnaissance

Information Gathering

- Google Hacking - SNS(Facebook, Twitter, LinkdIn etc..) - HP, WHOIS etc...

Scanning and

Enumeration

- Port Scan - Banner Grabbing - Network Mapping

Maintaining Access

- Backdoor - Tunneling

- Rootkit - Disable Auditing - Clearing Logs

Covering Tracks


WAF

ホスト型IDS


Gaining Access

- Exploit, Brute Force - XSS, SQL Injection - Man in The Middle - DOS, Buffer Overflow

網羅性があるツールはないか？

Trend Micro Deep Securityなら

All in One

で対策を実現出来ます。

ログ監視

ウイルス対策

OS、ミドルウェア、Webアプリケーションの脆弱性を狙った攻撃を検出・

防御

httpリクエストを監視し、BOTの感染などによる不正

な通信を監視、防御

OS内の不正な変更行為を検出。監視対象はディレクトリ、ファイル、プロセス、サービス、レジストリなど

様々

ログエントリーから不審な振舞いを検出し、管理者に通知

不正プログラムの侵入・配置を検出し、隔離・削除

ホスト型

変更監視

IDS/IPS 仮想パッチ

Firewall

Web Reputation


セキュリティ機能内容

①ファイアウォール攻撃を受ける機会を軽減します。

②仮想パッチ脆弱性を突いた攻撃からサーバを保護します。

③セキュリティログ監視重要なセキュリティイベントを早期に発見します。

④改ざん検知ファイル等の改ざんを早期に発見します。

⑤ウイルス対策マルウェアの攻撃から保護します。

多層防御

EC2

Deep Securityとは？サーバに必要な対策のAll in Oneソリューション

ホストベースでのNWアイソレーションを実現

あれ？


あれ？ちょっと待てよ。冒頭にAWSのメリットを最大限に活かすって言ってたよね。

Auto Scaleとかしても

管理大丈夫なの？？

Auto Scalingにも対応しています

•動的に増えるインスタンスに自動でエージェントをインストール

•適切なセキュリティポリシーで保護することができる

•運用管理者が都度を設定する必要がなくなる

25

Deep Security

管理マネージャ

インスタンスA インスタンス

Aコピーインスタンス

Aコピー

自動登録・設定配信

Auto Scaling

Amazon Management ConsoleとDeep Securityの管理サーバが連携

インスタンス情報の変更をリアルタイムで可視化セキュリティポリシーのシームレス化が可能

AWS Management

Console

管理サーバがAMCと連携


セキュリティ３分クッキング

３分間でできるインストール


実際にAWSで使われてます

ユースケースはこうだ！！


AWS環境でのDeep Security導入事例

事例概要ソーシャルアプリの提供基盤をAWSで構築しサービスを提供する。その基盤を保護するソリューションを検討していた

課題公開サーバにはIDS/IPSの使用が求められており、オンプレミスと同等の

セキュリティレベルを実現する必要があった

ソリューションホスト型総合サーバセキュリティ製品である Deep Security をご提案

選ばれた理由 AWSのメリットを損なわず、既存の対策と同レベルのセキュリティを実現出来る

唯一のソリューションであった。また、システムへの証跡の監視も行える事で、

IDS/IPSのみならず、All In Oneでセキュリティ対策が可能なソリューションで

あった

-オートスケールへの製品対応

-ネットワーク型IDS/IPSと違い、ネットワーク上のボトルネックをつくらない

トレンドマイクロプロフェッショナルサービスで設計/構築支援を提供し、

短期間でのサービス立ち上げを実現することが出来たこと

利用した製品機能ホスト型IDS/IPS

セキュリティログ監視

株式会社リクルートライフスタイル様


大手SNS系サービス提供会社様

課題・要件過去にハッキング・改ざん被害を経験

AWSで利用可能な効果的なセキュリティ対策製品が見つからない(WAF, IDS/IPS)

ソリューション ALL in Oneによるセキュリティ対策で、管理・運用コストを最小化しながら、効果的なセキュリティ対策をご提案

選ばれた理由・効果

WAF(Web Application Firewall)だけにとどまらない、多層的なセキュリティが実装できる

ホスト型でAWSのメリットを損なわない対策ができる

WAF専用の製品2社と比較したが、WAFの機能だけでも遜色がなく、費用対効果が高いと判断

ご使用されている機能

Firewall, ネットワーク型IDS/IPS, WAF

ホスト型IDS/IPS(変更監視、ログ監視)


まとめ

AWSのメリットを最大限に活かす

セキュリティ対策がネックで、AWSを活かせないと本末転倒

使うツールがどこで役に立つか(どういった攻撃に有効なのか)を正しく理解しないと、結果的に本来必要なセキュリティ対策の抜けが起きる

適材適所のセキュリティ対策を

一部分だけを守っても意味がない。多層的な対策でよりセキュアなシステムを


ご清聴ありがとうございました。


awsをフルに活用しながら あんしんできる セキュア...

Documents

awsをフルに活用しながらあんしんできるセキュア...