Weitere ähnliche Inhalte
Ähnlich wie Security JAWS Amazon GuardDuty 20180223 (20)
Mehr von Hayato Kiriyama (18)
Kürzlich hochgeladen (11)
Security JAWS Amazon GuardDuty 20180223
- 1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Hayato Kiriyama
February 23, 2018
Amazon GuardDuty
「みんなでクラウドセキュリティの
見張り役になろう」
- 2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
サンプルケース – 不正アクセス/侵入検知防御
AWSの該当事項 お客様の該当事項 推奨される追加の対応事項
AWS は、ISO 27001 規格に合わせて、AWS リソースに
対する論理アクセスについて最小限の基準を示す正式
なポリシー、手続きを規定しています。
AWS SOC レポートには、AWS リソースに対するアクセ
スプロビジョニングを管理するために用意されている統
制の概要が記載されています。
詳細は、AWSウェブサイトの「アマゾンウェブサービス:
セキュリティプロセスの概要」
(https://aws.amazon.com/jp/security/security-
resources/ ⇒ AWS セキュリティプロセスのご紹介(日
本語))を参照してください。
また、AWS は、Payment Card Industry (PCI) データセ
キュリティ基準(Data Security Standard/DSS)のレベル1
に準拠しています。詳細については、AWS Artifact
(https://console.aws.amazon.com/artifact) を使用して、
PCI DSS Attestation of Compliance (AOC) と
Responsibility Summary をリクエストしてください。
AWSのお客様は、お客様が定義した要件に従って、お客様の
ネットワークトラフィックを管理する責任を有します。
ファイアウォール、ルータ等は、AWSではSecurity Group、
Route Table、NetworkACL等に該当します。お客様は、これら
のAWSリソースを適切に構成し、必要最小限のアクセスを許
可するよう設計する必要があります。
また、Amazon GuardDuty はマネージド型の
脅威検出サービスです。悪意のある操作や不正な動作を継
続的に監視し、AWS アカウントとワークロードを保護します。
アカウント侵害の可能性を示す異常な API コールや潜在的
に不正なデプロイといったアクティビティが監視の対象となり
ます。インスタンスへの侵入の可能性や攻撃者による偵察と
いった脅威も、GuardDuty によって検出されます。
必要に応じてAWS WAFを利用して、ルー
ルベースで外部からの不正アクセス・攻撃
を防御することができます。
侵入検知に明確な要件がある場合には、
サードパーティのサービスを利用して侵入
検知等の防御対策を講じることを強く推奨
します。
https://aws.amazon.com/jp/solutions/sol
ution-providers-japan/technology-
partners/
アーキテクチャダ
イアグラムの該当
箇所
AWS CloudFormation
テンプレートにおける実装の概要
AWS リソースタイプ
AWS CloudFormation
テンプレート名 (スタック)
17, 18, 19, 20, 22,
23, 26
VPC内でSecurityGroupおよびNetworkACLによってネットワークセグ
メントを分割し、パブリックサブネットを従来のDMZに見立てて利用し
ています。また、パラメータで指定された場合はAmazon GuardDutyを
有効化します。
AWS::EC2::SecurityGroup
AWS::EC2::NetworkAcl
AWS::EC2::NetworkAclEntry
AWS::GuardDuty::Detector
vpc-management
vpc-production
guardduty
- 3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
What is GuardDuty ?
• AWSアカウントを、セキュリティの観点から継続的にモ
ニタリング・分析し、セキュリティリスクを可視化・検
知するAWSマネージド・サービス
• 分析のソースには下記を利用し、メタデータの連続スト
リームを分析
• VPC Flow Logs
• AWS CloudTrail Event Logs
• DNS Logs
• 既知の悪意のあるIPアドレス、異常検出、機械学習などの
統合脅威インテリジェンスを使用して、脅威を認識
- 4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon GuardDuty - 利用可能なリージョン
東京リージョンでご利用頂けます
• Asia Pacific (ムンバイ)
• Asia Pacific (ソウル)
• Asia Pacific (シンガポール)
• Asia Pacific (シドニー)
• Asia Pacific (東京)
• Canada (セントラル)
• EU (フランクフルト)
• EU (アイルランド)
• EU (ロンドン)
• US East (北バージニア)
• US East (オハイオ)
• US West (北カリフォルニア)
• US West (オレゴン)
• South America (サンパウロ)
- 5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Setting Up Amazon GuardDuty
- 6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Setting Up Amazon GuardDuty
- 7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
What can you monitor today ?
• 検知できる内容(一部代表例)
• EC2上で発生する悪意のあるアクティビティ
• クレデンシャルを悪用したアクション
• GuardDutyが、悪意の可能性のあるアクティビティを
検知すると、Findings(結果)を生成します
• Findings Summary
• Resource Affected
• Action
• Actor
- 8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
What can you monitor today ?
- 9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Severity Levels for GuardDuty Findings
• GuardDutyが検知するFindingsには重要度(Severity)が
設定されている
• 重要度は、0.0 – 10.0 の範囲で設定
• High (重要度: 高) : Severity 7.0 – 8.9
• 例) EC2 instance / IAM user credentials 関連
• Medium (重要度: 中) : Severity 4.0 – 6.9
• 例) 大量トラフィック、通常アクティビティから外れる動き
• Low (重要度: 低) : Severity 0.1 – 3.9
• 例) リソースに影響を及ぼす前にブロックされた悪意の疑いの
あるアクティブティ
- 10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Finding Types
• Backdoor:EC2/XORDDOS
• Backdoor:EC2/Spambot
• Backdoor:EC2/C&CActivity.B!DNS
• Behavior:IAMUser/InstanceLaunchUnusual
• Behavior:EC2/NetworkPortUnusual
• Behavior:EC2/TrafficVolumeUnusual
• CryptoCurrency:EC2/BitcoinTool.A
• CryptoCurrency:EC2/BitcoinTool.B!DNS
• PenTest:IAMUser/KaliLinux
• Recon:EC2/PortProbeUnprotectedPort
• Recon:IAMUser/TorIPCaller
• Recon:IAMUser/MaliciousIPCaller.Custom
• Recon:IAMUser/MaliciousIPCaller
• Recon:EC2/Portscan
• Stealth:IAMUser/PasswordPolicyChange
• Stealth:IAMUser/CloudTrailLoggingDisabled
• Trojan:EC2/BlackholeTraffic
• Trojan:EC2/DropPoint
• Trojan:EC2/BlackholeTraffic!DNS
• Trojan:EC2/DriveBySourceTraffic!DNS
• Trojan:EC2/DropPoint!DNS
• Trojan:EC2/DGADomainRequest.B
• Trojan:EC2/DNSDataExfiltration
• UnauthorizedAccess:IAMUser/TorIPCaller
• UnauthorizedAccess:IAMUser/MaliciousIPCaller.Custom
• UnauthorizedAccess:IAMUser/ConsoleLoginSuccess.B
• UnauthorizedAccess:IAMUser/MaliciousIPCaller
• UnauthorizedAccess:IAMUser/UnusualASNCaller
• UnauthorizedAccess:EC2/TorIPCaller
• UnauthorizedAccess:EC2/MaliciousIPCaller.Custom
• UnauthorizedAccess:EC2/SSHBruteForce
• UnauthorizedAccess:EC2/RDPBruteForce
• UnauthorizedAccess:IAMUser/InstanceCredentialExfiltration
http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html#crypto3
- 11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Finding Types サンプル
CryptoCurrency:EC2/BitcoinTool.B!DNS
• EC2 インスタンスは、ビットコインに関連する既知のドメインと通
信
• AWS 環境の EC2 インスタンスがビットコインに関連する既知のド
メインと通信していることを検知・通知
ThreatPurpose ThreatFamilyName ThreatFamilyVariant: ResourceTypeAffecte
d
/ . ! Artifact
CryptoCurrency BitcoinTool B: EC2 / . ! DNS
- 12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted IP Lists and Threat Lists
• Trusted IP List : 登録されたIPリストはホワイトリストさ
れ、登録IPに対するアクティビティは、GuardDutyは
Findingsとして検知しない
• Threat List : 既知の悪意のあるIPリストを登録可能。登
録したThreat Listに基づき GuardDuty Findings として
通知
- 13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Trusted IP Lists and Threat Lists の設定
- 14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
• 感染したインスタンスの封じ込め
• 漏洩したAWSクレデンシャルの不正利用防止
例:以下のケースに対して自動的に緩和策を実施
GuardDuty CloudWatch
Events
Lambda
Amazon
GuardDuty
Amazon
CloudWatch
CloudWatch
Event
Lambda
Function
AWS Lambda
Findingsからの対応
- 15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
• GuardDutyのFindingsにより感染インスタンスが特定される
• CloudWatch Event のアラームが Lambda 関数を起動
• 該当インスタンスのタグに応じて自動アクションさせる、もしくは重要
な本番サーバーであれば手動対応するなども可能
Lambda
Lambda
Function
AWS Lambda
• Lambda 関数例:
• 該当Security Groupから該当インスタンス
を削除し、新規インスタンス追加
• EBSボリュームのスナップショット取得
• セキュリティチームにメール/Slack通知
Findingsからの対応
- 16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Managing AWS Accounts in Amazon GuardDuty
• あるAWSアカウントで検知したFindingを、他AWSアカ
ウントのGuardDutyに転送することが可能
• 例えば、セキュリティ管理アカウントに他AWSアカウントの
GuardDuty Findingsを集約し一元管理が可能
- 17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
価格
• GuardDuty は2つのディメンジョンの合計金額が課金
されます
• CloudTrail Events: 分析されたAWS CloudTrailイベントの数
量(1,000,000イベントあたり)と
• VPC Flow Logs/DNS Logs: 分析されたAmazon VPC Flow
LogおよびDNS Logデータの量(GBあたり)
https://aws.amazon.com/guardduty/pricing/
- 18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon GuardDuty 30-day-Free-Trial
- 19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
GuardDuty Demo
Amazon GuardDuty Tester
• テスト用のFindingsを生成するためのCloudFormationテンプ
レートとサンプルスクリプト
• https://github.com/awslabs/amazon-guardduty-tester
Amazon GuardDuty Lab
• GuardDutyの基本機能を用いて脅威検知した後、Lambdaに
よる対応までを体験できるラボ
• http://loftlab.gregmcconnel.net/
- 20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Security JAWSの皆様へ
お知らせ事項
- 21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSセキュリティ認定試験
今なら試験料半額 & 本試験バウチャーもらえます
AWS Certified Security –
Specialty exam ができます
3/2までベータ試験受けられます
• 受かれば → 認定取得者!
• 落ちても → 本試験バウチャーGet!
受験資格:
• Associate or Cloud Practitioner保持者
https://aws.amazon.com/blogs/architecture/announcing-our-new-beta-for-the-aws-certified-security-specialty-exam/
AWS Certified Security
- 22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
We Are Hiring!
セキュリティソリューションアーキテクト(Security SA)大募集中!
Security SA,
Compliance
Security SA,
Managed Services
Security SA,
Engineering
業界ガイドライン・認
証・法規制・スタン
ダードに精通し、顧客
のセキュリティ評価・
リファレンスアーキテ
クチャ開発などで顧客
セキュリティ要件実現
AWSセキュリティの
マネージドサービスを
用いた顧客ワークロー
ドの実現を支援し、
アーキテクチャや運用
の継続的改善を推進
AWSセキュリティに
関連するソリューショ
ンを開発。PoC、 デ
モ、ハンズオンなど高
度な技術的支援を通じ
てセキュアのAWS環
境を実現
NISC, FISC, FinTech, ISO, PCI DSS, HIPAA,
GxP, NIST, CIS, Inspector, Config Rules,
CloudFormation, Service Catalog
MSS, SOC, CSIRT, Incident Response,
SSO, GuardDuty, Shield, WAF, Macie,
Systems Manager, Well-Architected
Security Response, Analysis, IDPS, SIEM,
EC2, VPC, RDS, S3, IAM, KMS, Lambda,
CI/CD, DevSecOps, Well-Architected
https://www.amazon.jobs/en/jobs/627132/s
ecurity-solutions-architect-security-engineer
https://www.amazon.jobs/en/jobs/629852/securi
ty-solutions-architect-managed-security-services
https://www.amazon.jobs/en/jobs/629853/s
ecurity-solutions-architect-compliance
- 23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSセキュリティエンジニアコミュニティ
目的:AWSセキュリティエンジニア
の情報交換プラットフォーム
方針:AWSセキュリティに関するこ
とであれば何でもOK
対象:AWSセキュリティに関して
• 業務や趣味で利用している方
• 優れた設計(Well-Architected)やベストプラク
ティスの情報交換をしたい方
• ブログ等に「やってみた」投稿をする方
• イベント登壇する方
• Security Operation on AWSなどのAWSトレー
ニングを受講する方
• AWS Certified Security 認定取得する方
現在、正式発足前のプレメンバー募集しております!
AWSセキュリティエンジニア
コミュニティ(仮)
https://www.facebook.com
/groups/2038392602855805/
Hayato Kiriyama まで
名刺交換&DMください!
グループに追加します
AWS Certified Security Lounge
オフサイトイベント招待
AWS CTF ベータ参加者招待
特典例:
- 24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you!
Hayato Kiriyama