こんにちは、ひろかずです。
3/10にAWS(目黒アルコタワー)で開催された「Amazon CloudFrontで今すぐ始めるWAF/SSL 証明書セミナー」に行ってきましたので、一筆書きます。

例によって、リアルタイムで執筆しているので、書き漏らし・誤字脱字はご容赦ください。

お品書き

AWS WAF/Amazon CloudFront Security Technical Deep Dive
Nathan Dye
Manager, Software Development, Anti-DDoS
Amazon Web Services, Inc.

Defending your workloads with AWS WAF and Deep Security
Mark Nunnikhoven
Vice President, Cloud Research
Trend Micro, Inc.

パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント
後藤 和貴
cloudpack(アイレット株式会社)
執行役員 / エバンジェリスト

まとめ: AWS でのセキュアなシステム構築
荒木 靖宏
アマゾン ウェブ サービス ジャパン株式会社

AWS WAF/Amazon CloudFront Security Technical Deep Dive

Nathan Dye
Manager, Software Development, Anti-DDoS
Amazon Web Services, Inc.

AWS WAF

WAFの導入目的は、攻撃通信の検知・遮断、コンテンツの不正利用防止(漏洩)、DDoS対策である。
AWS WAFは、cloudfrontと統合されているので、攻撃通信の評価はスピーディ。
AWS WAFは、APIに対応しているので、他のシステムと統合することができる。
対応機能は以下のとおり。

  • IP
  • string
  • Byte
  • SQLi

ルールの配信は、1分以内に全ての世界展開が可能。

ユースケース1(限定公開)

IP Setとstringの組み合わせで、ホワイトリストを登録することで、開発中のサイトを限定公開することができる。

ユースケース2(HTTP floods)

前提:リクエスト数少ないサイト
スクリプトで閾値を指定して、特定IPのアクセスが多ければ、当該IPを取得するようにする。
Lambdaで集計して、閾値を超えたIPをAWS WAFに登録する。

ACM

完全無料なSSL証明書
ワイルドカードも複数ドメインも対応
有効期限は60日
自動更新は以下条件で可能。

  • CFかELBでRoute53で名前解決できること。
  • インターネットからアクセス可能であること。

同じ証明書を複数のELBやCFに設定可能。
CFを前に置くなら、バックがs3,ec2,オンプレでも使用できるということ。

Defending your workloads with AWS WAF and Deep Security

Mark Nunnikhoven
Vice President, Cloud Research
Trend Micro, Inc.

他社製品とAWS WAFとの連携についてDeepSecurityを中心に話します。

なぜ、組み合わせるのか

OSIのネットワークモデルの中で、EC2、DS、AWS WAFの位置は以下のとおり。
L7:AWS WAF
L6~L3:DS
L2~L1

AWS環境については以下になる。
L7:AWS WAF
L6~L4:DS
L3~L1:AWS(SG/NACL)

AWS WAFとDSを組み合わせることで、L3以上を全て網羅することができる。
DSを使うことで共有責任モデルのユーザー部分について対応できるようになる。
AWS担当者は、共有責任モデルを理解して、ユーザー部分の対応について説明できるようにする必要がある。

DS、AWS WAFを組み合わせることの戦略性

攻撃に対して、幾つもの層で対応することができる。
Endpointから遠い場所で対応できる。

Endpointから遠いことで攻撃を遮断すれば、対応コストは低くなる。
コードを書く前にバグ直っていれば、対応コストが低いのと同じ。

DSのIP ListをAWS WAFに登録する

Gitに公開されています。

SQLiのお勧めルールをAWS WAFのConditionに登録する

Gitに公開されています。

インスタンスの保護状況を表示

DSの導入有無、推奨設定の対応状況、AWS WAFの利用状況が判る。
Gitに公開されています。

DSのAPIとAWSの機能を組み合わせて使うことで、さらなるセキュリティが実装できる。
Nathanの発表は氷山の一角。
トレンドマイクロ製品はAWSネイティブで作られているので、連携も可能。
DSはセンサーとしての役割も果たす。

パリのテロ事件で遭遇した実際のサイバー攻撃からあなたのWebを守り抜くための3つの実装ポイント

後藤 和貴
cloudpack(アイレット株式会社)
執行役員 / エバンジェリスト

JPCERT/CCによると、2015年は年末にかけて減少傾向があるが、
改ざんによるサイト停止の時間:11日以上は25%(ビジネスインパクト大)
DDoS攻撃については、2014年四半期ベースで150%増
身近なサイトも攻撃が受けている。

DSで守っているのに、AWS WAFを使う理由

攻撃を受けている最中は、負荷で調査がままならないことがある。
防御をオフロードできるのは、それだけで価値がある。

DSとの連携を使った工夫

DSで検知した攻撃通信を送信元IPを

シャープのrobohonnサイトの事例

DSはセンサー部分を担当し、Github連携で計画されない変更(改ざん)をソースから巻き戻す。

3つのポイント

  • 複雑化・高度化するサイバー攻撃には、1)動的な対応、2)システム連携、3)運用・ルール最適化が求められる
  • ツールサービスも高度な連携が可能な時代になっている。(DSとAWS WAFの連携)
  • ツール任せではなく、自分のものとして運用

まとめ: AWS でのセキュアなシステム構築

荒木 靖宏
アマゾン ウェブ サービス ジャパン株式会社

AWS責任共有モデルを知らない人は結構いた。

よく聞かれること

全てのデータは暗号化されるか?

ほとんどすべてのサービスでデータ暗号化を選択できる。
鍵の管理もAWSであるが、顧客でも管理することができる。
AWS KMSサービスは、ほぼ無料で利用できる。

鍵が漏れることはあるのか?

多要素認証でリスク低減できる。
IAMを用いて誰が何をどこからできるかを制限できる(ポリシーシュミレータが便利)

何をしているか記録できるの?
AWS CloudTrale
  • AWS管理コンソール,APIコールの内容が取れる。
  • 各AWS管理サービスに対する操作内容
  • ログとして収集
  • s3保存, SNS通知
  • 監査対応、変更管理等のための利用
AWS Trasted Adviser

リージョン全体の利用状況やセキュリティの対応状況を確認できる。
サポート(ビジネス)以上なら利用できる。

権限管理はどうするの?

原則として、アカウントは共有しない。
IAMを使って誰が、何を、どこからアクセスするかを制御
SAMLに対応しているので、認証を統合管理できる。

セキュリティ発見はどうするの?

CroudTraleやFlowlogをパートナーのs3に投げ込んで解析を依頼することもできる。

まとめ

セキュリティは、事業者(AWS)だけではなく、利用者だけではなく、双方で対応するものである。
AWS Trasted Adviserは便利だから是非使って!

質疑応答

cloudfrontの20GB以上のファイルダウンロード制限について

撤廃される予定はあるか?
ユースケースとしては、動画を考えている。
→ 当面は撤廃の予定はないが、持ち帰って検討する。
→ VODの場合は、セグメントされた配信での対応が増えているので、検討して欲しい

cloudfrontの可用性について

どのように測定したか、知ることができるか?
→ cedexis(有償)を使った。
→ リアルユーザーモニタリング方式。Web開発者に協力してJavaScriptベースで様々なCDNを使用するようにした。
→ 無料で公開されているデータもあるので、見てみて欲しい。

AWS WAFを使った時にパフォーマンスは落ちるか?落ちないならその理由は?

→ 落ちない。ルールを処理する時間は数ミリ秒。
→ CFは全てのリージョンに対応しているので、ロケーションによる問題はない。

SSL証明書について

将来的にEV認証はするのか?
→ 現状公開可能なロードマップはないが、幾つかのユーザーからのフィードバックはある。持ち帰って検討する。

AWS WAFとCFを抜けた攻撃通信をDSがどのように防ぐのか

→ 例えば、AWS WAFは、BODYを8kbまでしか見ないが、DSは全パケットを見る。
→ スマートProtectionネットワークとの連携で、包括的な対応ができる。

AWSのシークレットキーとアクセスキーが漏れたら買い物できるの?

→ 漏れたらサポートに即連絡すること。
→ 同じ値を設定することはできるが、基本は別物。
→ Amazonを他要素認証も有効

SSL証明書が東京リージョンで使えるのはいつから?

→ 他のリージョンにも展開予定。優先度は高め。

AWS CLIの対応について

CFの重要度が高まっている中で、AWSコンソール操作でしか対応しないのはツライ
→ 持ち帰って確認する。

今日はここまでです。
お疲れ様でした。

元記事はこちら

Amazon CloudFrontで今すぐ始めるWAF/SSL 証明書セミナーに行ってきました。