awsをフルに活用しながら あんしんできる セキュア...
TRANSCRIPT
2013/6/5
トレンドマイクロ株式会社
エンタープライズマーケティング部
福井 順一
AWSをフルに活用しながら あんしんできる セキュアなクラウド利用法とは?
6/25/2013 1 Confidential | Copyright 2013 Trend Micro Inc.
Agenda
•考慮する -攻撃手法の動向と求められる対策とは?
•Integrated Defense-in-depth for AWS
•AWSで使えるセキュリティテクノロジーを掘り下げる
•セキュリティ3分クッキング
•ユースケースはこうだ!!
•まとめ
6/25/2013 2 Confidential | Copyright 2013 Trend Micro Inc.
考慮する –攻撃手法の動向と求められる対策とは?
6/25/2013 3 Confidential | Copyright 2013 Trend Micro Inc.
まず気にしなければいけないことは
Instances Auto Scaling Elastic Load Balancer
Amazonのメリットを極力損なわないように
Bucket with Objects
6/25/2013 4 Confidential | Copyright 2013 Trend Micro Inc.
被害者が加害者に! 続発するWebサーバ改ざん被害
Copyright 2013 Trend Micro Inc. 5
ITmediaの記事
トレンドマイクロブログ
なにを改ざんされて、どこに被害がでたのか?
Copyright 2013 Trend Micro Inc. 6
なんだこれ?
トレンドマイクロのWebサイトが
…
被害者のはずが 加害者になってしまう
被害例をもう少し具体的に
Copyright 2013 Trend Micro Inc. 7
/etc/httpd/conf/ /usr/lib/httpd/modules/ /var/log/httpd/ /var/www/
←設定ファイル(.conf) ←拡張モジュール
←Apache関連のログ ←公開用コンテンツ
etc...
mod_xxx.so
①不正なモジュールを拡張モジュール置き場に
置く
②設定ファイルにそのモジュールをロードするように追記す
る
③Apacheを再起動すればモジュールが有効になる
httpd.conf ...
LoadModule modules/mod_xxx.so ...
不正モジュール自体は 既知のものであれば 不正プログラムとして 検出・駆除が可能
どのような対応が必要?
6/25/2013 8 Confidential | Copyright 2013 Trend Micro Inc.
「結果」から 「原因」をたどり 「層」を強化する!
AWS上での展開方法とは?
Integrated Defense in Depth for AWS
6/25/2013 9 Confidential | Copyright 2013 Trend Micro Inc.
GW,Host型どっちがベスト?- GW型
Data Volume S3 Bucket EBS Snapshot
Web
Server
APP
Server
DB
Server
Trend.AWS.com
Security Group
GW
IDS/IPS
1. スケールアウトを考慮した設計が必要
2. 単一障害ポイントとなりうる
3. “2”の対策⇒インスタンス増⇒費用がかさむ
Availability Zone
GW
Web
Server
6/25/2013 10 Confidential | Copyright 2013 Trend Micro Inc.
GW,Host型どっちがベスト?- Host型
Data Volume S3 Bucket EBS Snapshot
Web
Server
APP
Server
DB
Server
Trend.AWS.com
Security Group
NIDS/
NIPS
1. インスタンスの増減に対して考慮が不要
2. 障害時の影響もインスタンス単位である
3. 必要な時に必要なだけ = クラウド向き
Availability Zone
Web
Server
6/25/2013 11 Confidential | Copyright 2013 Trend Micro Inc.
ホスト型の方が AWS上のセキュリティ対策に向いてる?
何が使えるんだ??
AWSで使えるセキュリティ テクノロジーを掘り下げる
6/25/2013 12 Confidential | Copyright 2013 Trend Micro Inc.
6/25/2013 13 Confidential | Copyright 2012 Trend Micro Inc.
マルウェア対策 Web
Application Firewall
ネットワーク型IDS/IPS
ホスト型IDS
概要 マルウェア、ボットネットやスパイウェアなどを検出する
ウェブアプリケーションの脆弱性を悪用した攻撃などからウェブアプリケーションを保護する、攻撃による影響を軽減させる対策
不審な通信を検知し、不正通のセッションの遮断、防御する
変更・改ざん検知
効果
悪意のあるプログラム(ウイルス)からシステムを防御し、システムやアプリケーション、データの破損を防ぐ
脆弱性を悪用した攻撃からウェブアプリケーションを防御する 脆弱性を悪用した攻撃を検出する 複数のウェブアプリケーションへの攻撃をまとめて防御する
不審な通信、悪意のあるトラフィックを遮断することで、システムへの攻撃を防ぐ
システムファイル、データファイル、レジストリへの変更を監視し、通知を行わせることで不正に改ざんされた情報を早期に知ることができる
検出方法 定義されたルール(パターン)とマッチングさせる
検出するパターンを独自で作成
攻撃を定義した検出パターン(ブラックリスト)
監視対象と設定したものに対してハッシュ値をもとに比較、監視をし変更を検出する
検出対象 ファイル HTTP/HTTPSのみ ネットワーク層~アプリケーション層
ファイル、レジストリ
AWS上で多層防御を実現するには?
6/25/2013 14 Confidential | Copyright 2012 Trend Micro Inc.
マルウェア対策
今更、、、説明は要りませんよね。。
6/25/2013 15 Confidential | Copyright 2012 Trend Micro Inc.
WAF(Web Application Firewall)
SaaS型WAF(DNS変更)
DNSの設定変更し、通信をSaaS WAFを迂回させる形でWebアプリケーションの脆弱性を検知、ブロックさせる仕組み。
ネットワーク型WAF(リバプロ、ブリッジ)
従来からあるGWタイプ。現在は、AMI化されMarket Placeでも展開されているものもあり
代表的なツール
代表的なツール
6/25/2013 16 Confidential | Copyright 2012 Trend Micro Inc.
WAF(Web Application Firewall)
ホストWAF(インストールタイプ)
ソフトウェアタイプで提供され、保護対象のサーバにインストールする形で利用する。
代表的なツール
ネットワーク型IDS/IPS
17
ネットワーク型IDS/IPS
既知の脆弱性を突く攻撃コードを検出する為のシグネチャを搭載し、 マッチングを掛ける事で検出、防御する 代表的なツール
6/25/2013 17 Confidential | Copyright 2013 Trend Micro Inc.
ファイル、ディレクトリ、 プロセス、i-node, etc…
ホスト型IDS
整合性監視(Integrity Monitoring)
代表的なツール
ベースの情報取得
Base line (Hash)
Change
ベースラインとの比較
新たなベースを生成
6/25/2013 18 Confidential | Copyright 2013 Trend Micro Inc.
ホスト型IDS
ログ監視・監査(Log & Audit Monitoring)
代表的なツール
6/25/2013 19 Confidential | Copyright 2013 Trend Micro Inc.
攻撃ステップとマッピングしてみる
本当に役に立つのか??
6/25/2013 20 Confidential | Copyright 2013 Trend Micro Inc.
攻撃ステップとマッピングしてみる
Reconnaissance
Information Gathering
- Google Hacking - SNS(Facebook, Twitter, LinkdIn etc..) - HP, WHOIS etc...
Scanning and
Enumeration
- Port Scan - Banner Grabbing - Network Mapping
Maintaining Access
- Backdoor - Tunneling
- Rootkit - Disable Auditing - Clearing Logs
Covering Tracks
マルウェア対策
WAF
ホスト型IDS
ネットワーク型IDS/IPS
Gaining Access
- Exploit, Brute Force - XSS, SQL Injection - Man in The Middle - DOS, Buffer Overflow
6/25/2013 21 Confidential | Copyright 2013 Trend Micro Inc.
効果的な対策を行うには 各攻撃フェーズに対し、
網羅的な対策を行う事が必要。
ツールに置き換えてみる
6/25/2013 22 Confidential | Copyright 2013 Trend Micro Inc.
Reconnaissance
Information Gathering
- Google Hacking - SNS(Facebook, Twitter, LinkdIn etc..) - HP, WHOIS etc...
Scanning and
Enumeration
- Port Scan - Banner Grabbing - Network Mapping
Maintaining Access
- Backdoor - Tunneling
- Rootkit - Disable Auditing - Clearing Logs
Covering Tracks
マルウェア対策
WAF
ホスト型IDS
ネットワーク型IDS/IPS
Gaining Access
- Exploit, Brute Force - XSS, SQL Injection - Man in The Middle - DOS, Buffer Overflow
網羅性があるツールはないか?
Trend Micro Deep Securityなら
All in One
で対策を実現出来ます。
ログ 監視
ウイルス 対策
OS、ミドルウェア、Webアプリケー ションの脆弱性を狙った攻撃を検出・
防御
httpリクエストを監視し、BOTの感染などによる不正
な通信を監視、防御
OS内の不正な変更行為を検出。 監視対象はディレクトリ、ファイル、プロセス、サービス、レジストリなど
様々
ログエントリーから不審な振舞いを検出し、管理者に通知
不正プログラムの侵入・配置を検出し、隔離・削除
ホスト型
変更 監視
IDS/IPS 仮想パッチ
Firewall
Web Reputation
6/25/2013 23 Confidential | Copyright 2013 Trend Micro Inc.
セキュリティ機能 内容
①ファイアウォール 攻撃を受ける機会を軽減します。
②仮想パッチ 脆弱性を突いた攻撃からサーバを保護します。
③セキュリティログ監視 重要なセキュリティイベントを早期に発見します。
④改ざん検知 ファイル等の改ざんを早期に発見します。
⑤ウイルス対策 マルウェアの攻撃から保護します。
多層防御
EC2
Deep Securityとは? サーバに必要な対策のAll in Oneソリューション
ホストベースでのNWアイソレーションを実現
あれ?
6/25/2013 24 Confidential | Copyright 2013 Trend Micro Inc.
あれ?ちょっと待てよ。 冒頭にAWSのメリットを最大限に活かすって言ってたよね。
Auto Scaleとかしても
管理大丈夫なの??
Auto Scalingにも対応しています
•動的に増えるインスタンスに自動でエージェントをインストール
•適切なセキュリティポリシーで保護することができる
•運用管理者が都度を設定する必要がなくなる
25
Deep Security
管理マネージャ
インスタンスA インスタンス
Aコピー インスタンス
Aコピー
自動登録・設定配信
Auto Scaling
Amazon Management ConsoleとDeep Securityの管理サーバが連携
インスタンス情報の変更をリアルタイムで可視化 セキュリティポリシーのシームレス化が可能
AWS Management
Console
管理サーバがAMCと連携
6/25/2013 26 Confidential | Copyright 2013 Trend Micro Inc.
セキュリティ3分クッキング
3分間でできるインストール
6/25/2013 27 Confidential | Copyright 2012 Trend Micro Inc.
実際にAWSで使われてます
ユースケースはこうだ!!
6/25/2013 28 Confidential | Copyright 2013 Trend Micro Inc.
AWS環境でのDeep Security導入事例
事例概要 ソーシャルアプリの提供基盤をAWSで構築しサービスを提供する。 その基盤を保護するソリューションを検討していた
課題 公開サーバにはIDS/IPSの使用が求められており、オンプレミスと同等の
セキュリティレベルを実現する必要があった
ソリューション ホスト型総合サーバセキュリティ製品である Deep Security をご提案
選ばれた理由 AWSのメリットを損なわず、既存の対策と同レベルのセキュリティを実現出来る
唯一のソリューションであった。また、システムへの証跡の監視も行える事で、
IDS/IPSのみならず、All In Oneでセキュリティ対策が可能なソリューションで
あった
-オートスケールへの製品対応
-ネットワーク型IDS/IPSと違い、ネットワーク上のボトルネックをつくらない
トレンドマイクロプロフェッショナルサービスで設計/構築支援を提供し、
短期間でのサービス立ち上げを実現することが出来たこと
利用した製品機能 ホスト型IDS/IPS
セキュリティログ監視
株式会社リクルートライフスタイル様
6/25/2013 29 Confidential | Copyright 2013 Trend Micro Inc.
大手SNS系サービス提供会社様
課題・要件 過去にハッキング・改ざん被害を経験
AWSで利用可能な効果的なセキュリティ対策製品が見つからない(WAF, IDS/IPS)
ソリューション ALL in Oneによるセキュリティ対策で、管理・運用コストを最小化しながら、効果的なセキュリティ対策をご提案
選ばれた理由・ 効果
WAF(Web Application Firewall)だけにとどまらない、多層的なセキュリティが実装できる
ホスト型でAWSのメリットを損なわない対策ができる
WAF専用の製品2社と比較したが、WAFの機能だけでも遜色がなく、費用対効果が高いと判断
ご使用されている機能
Firewall, ネットワーク型IDS/IPS, WAF
ホスト型IDS/IPS(変更監視、ログ監視)
6/25/2013 30 Confidential | Copyright 2013 Trend Micro Inc.
まとめ
AWSのメリットを最大限に活かす
セキュリティ対策がネックで、AWSを活かせないと本末転倒
使うツールがどこで役に立つか(どういった攻撃に有効なのか)を正しく理解しないと、結果的に本来必要なセキュリティ対策の抜けが起きる
適材適所のセキュリティ対策を
一部分だけを守っても意味がない。多層的な対策でよりセキュアなシステムを
6/25/2013 31 Confidential | Copyright 2013 Trend Micro Inc.
ご清聴 ありがとうございました。
6/25/2013 32 Confidential | Copyright 2013 Trend Micro Inc.