こんにちは、ひろかずです。
AWS re:Invent 2016 Security Follow Up に行ってきたので、一筆書きます。
- 例によって、リアルタイム執筆ですので、誤字、脱字、表記ゆれはご容赦ください。
スタートが19:00のせいか、半分くらいの人出からのスタートです。
最終的には8割位埋まっていました。
[AWSセッション]
「セキュリティ新サービス紹介① AWS Organizations」
桐山 隼人
アマゾン ウェブ サービス ジャパン株式会社
技術本部 レディネスソリューション部
セキュリティソリューションアーキテクト
AWS Organizations は…
- 現在プレビュー申し込みできます。
サービス概要
複数のAWSアカウントの一元管理
- アプリケーションや環境、チームのような単位でAWSアカウントをグループ管理
- グループポリシーを適用
AWSアカウント管理の自動化
- コンソール、SDK、CLIでの管理操作
- 管理操作をCloudTrailでロギング
請求の簡素化
- 複数アカウントの一括請求(Consolidated Billing)
- Consolidated Billing ファミリーの自動移行
主要なコンセプト(用語)
組織
- 一元管理可能な複数のAWSアカウントのセット
AWSアカウント
- 管理される最小単位
- IAMを用いてAWSリソースへアクセス
マスターアカウント
- 組織内の他アカウントの作成招待削除ができる特別なアカウント
- 組織内コントロールポリシーの適用
- 組織における支払いアカウント
組織単位(OU)
- 後述
管理ルート
- 後述
利用の流れ
1. 組織の作成
- マスターアカウントは支払いアカウントになるので、慎重に決めましょう
2. AWSアカウントの自動作成
- マスターアカウントからの自動作成
入力要素
- メアド(必須)
- アカウント名(必須)
- IAMロール名(必須)
- BillingへのIAMユーザアクセス(任意設定)
モードは二つ
- FullControlモード
- Billingモード
FullControlモード
- Billingモードを含む
- Billingからの昇格には、全てのAWSのアカウントからの同意が必要
Billingモード
- 課金状況を見れる
3. 既存AWSのアカウントの組織への招待
- 招待されたアカウントは、了解/拒否を選べる。(デフォルト拒否)
- 参加した瞬間にポリシーが適用される
4. AWSアカウントのグループ化
AWSアカウントは組織単位(OU)に所属できる
- アプリケーションとか環境とかチームとか
- 階層になるので、最上位が
管理ルート
になる。
5. 組織Controlポリシー
- 適用対象は、組織全体、OU、AWSアカウント
- ポリシーは、階層構造に基いて継承される。
- ローカル管理者からは上書きできない
- IAMと記述方式は一緒
- IAMユーザ、IAMロールの権限は、
組織ControlポリシーとIAMポリシーの最大公約数
どんなことができるの?
例:サービスControlポリシー
- 呼び出しを許可するAPIを定義(ホワイト、ブラックリスト)
- 業界で認可されたサービスのみを許可する(本番環境)
- 開発環境はちょっと緩くすることもアリ
「セキュリティ新サービス紹介② AWS Shield」
荒木 靖宏
アマゾン ウェブ サービス ジャパン株式会社
技術本部 レディネスソリューション部 部長
AWS Shieldとは?
- AWSが管理(マネージ)するDDoSプロテクションサービス
攻撃の種別
- ボリューム攻撃(UDP反射型:全体の6割を占める:SSDP反射型が一番多い、その他NTPやDNS、SNMPも)
- ステート管理攻撃(SYNフラッドとか:2割くらい)
- アプリケーションレイヤー(F5攻撃とか、slowles:15%くらい)
DDoSを緩和する取り組み
難しさはどこに?
- 複雑な前準備(オペレータやISPとの調整、スクレイピングサービスへのトラフィック誘導)
- 事前の帯域確保(工事時間がかかる)
- アプリの見直し(仕様書起こすとか大変)
難しいのはマニュアルでの対応
AWSでスクレイピングしても、ユーザーからはレイテンシ向上にしか見えない。お金は?
AWSの解
- ありきたり攻撃の自動保護(サービス差別化につながらない部分を持つ)
- 可用性の確保
DDoS防御はAWSにあらかじめ組み込まれている
- 各リージョン
- 常時オン(外部Routingなし)
- SYB/ACK、UDPフラッド反射型
- 追加費用無し
お客様の声
- 大きなDDoS対策
- 見える化
- アプリレイヤー守ってよ
AWSの解
- 無料サービス(Standard)
- 有料サービス(Advanced)
Standard
BLACK Watch
- 決定論的フィルタリング
- 不正な形式のTCPパケットはドロップする
- インライン検査のスコアリングに基づくトラフィック優先順位付け(優先順位の低い攻撃トラフィックを優先的に破棄)
キャパ追加
- Routingポリシーで内部的に分散
検知と緩和を継続(ヒューリスティック異常検出:通常のベースラインから異常を知る)
- リクエスト数/s
- 送信元IP
- URL
- UserAgent
Advanced
コンセプト
- AWS内で完結する
- 常時オン
- レイテンシは最小限
- 手頃な価格(後述)
対応しているのは以下サービス(EC2は入っていない。TCPのみ。UDPは使えない。)
- ALB
- CLB
- CF
- Route53
L7は、AWS WAFの利用
- Standard:セルフサービス(自分でカスタムシグネチャを書く)
- Standard/Advanced:DDoSエキスパートチームからのアドバイス
- Advanced:積極的DRT(DDoS Response Team)が関与する
DRT(DDoS Response チーム)はなにやるの?
- 常時モニタがDRTを呼び出す
- トリアージ
- DRTチームがルールを書いて提供
レポート
- ニアリアルタイムで、パケット情報見れる(サンプル取得:全部じゃない)
DRTへのコンタクト
- 第一報はサポート経由でしてね(エンタープライズサポート)
費用
- Standard:アドバイスに基づくスケール費用は
有料
:月額課金なし - Advance:アドバイスに基づくスケール費用は無料だが、
$3000/月:一年継続コミット
が必要
[パートナーセッション]
「スポンサー側から見た AWS re:Invent の醍醐味と感じたセキュリティの流れ」
南原 正樹様
トレンドマイクロ株式会社 パートナービジネス推進本部
アライアンスパートナーグループ 担当課長代理
Trend MicroとAWS re:invent
ダイヤモンドスポンサー
並び順は一番最後(アルファベット順)
出展したのは、DeepSecurityとDSaaS
スポンサーアクティビティ(セッションは各1時間:youtubeに上ってるよ)
- AWSに特化したセッション
- CISOに聞いてみよう(コンプライアンス、レギュレーションの話)
- ブースは、DevSecOpsを安全な空の旅をモチーフに表現
スポンサーで感じたこと(日本 vs 北米)
- 日本は、捕まると長いので敬遠される。アンケート欠かされる。製品売ろう。
- 北米は、コンタクト獲得と製品が分業。スキャンしたらノベルティたくさんくれる。コンプライアンス準拠。ビジネス視点。
来場者
- 北米はカジュアルに自分のアイデアを語ってくる。Tシャツ大好き。
re:inventで見た気になるセキュリティの流れ
Security Automation
セキュリティオペレーションの自動化を目指すことでセキュリティ運用コストの低減と対応の迅速化を目指す。
セキュリティはインフラ構築と分離しない。併せて考える。
- AWS WAFとLambdaとの連携(ブラックIPとか)
- CloudTrailのIPを検査とか
- GitHubに公開されてるよ!
Security for ServerLess
サーバレスを主体として組み上げた環境でのセキュリティのポイント
- IAMを中心とした権限管理
- 許可されたトラフィックの精査(サニタイズからログの精査まで)
- 例えば、CF/WAF前、API Gateway中、Lambda後ろ、最後はDB
最後に
AWSはエコシステムとマーケットチャンス
セキュリティもニューノーマルからスーパーパワー
積極的に新しい取り組みに挑戦しよう(日本の方がセキュリティに深く真面目に考えている)
「攻撃傾向と企業が取るべきセキュリティ施策 in Las Vegas」
佐藤 裕貴様
三井物産セキュアディレクション株式会社
Alert Logic事業部 マネージャー
大橋 和正様
三井物産セキュアディレクション株式会社
プロフェッショナルサービス事業部
アカウントマネージャー
昨今の攻撃傾向
海外(Verizonレポート)
- WebAPに対する攻撃が増えてきている。(前年度4倍)
日本(IPAレポート)
- インターネットバンキング、標的型、ランサム、Webサービス不正ログイン、サイト改ざん
事前対策
セキュアコーディング
脆弱性診断
アクセス分離(SG、NACL、ELB)、2要素認証(IAMロール、MFA)
- 監視ポイントが限定できて運用負荷を軽減
ログの収集
- 平時のログ傾向を把握する
- ログは不変であること(削除/改ざんの防止)
- 以下の状態であること(アクセス性,検索性,継続モニタ)
セキュリティ運用の最適化
- L1:SG,IAM
- L2:IDS/WAF,脆弱性スキャン
- L3:CloudTrail,SIEM
[エンドユーザー様セッション]
「ユーザーからみたre:Invent のこれまでと今後」
宮崎 幸恵 様
株式会社リクルートテクノロジーズ
ITソリューション統括部 インフラソリューション2部 RAFTEL2G
- 2012年からre:invent皆勤賞
- 一年おきにセキュリティ系サービスのビッグウェーブが来る傾向
- Organizationsキター
- 現地は熱い!体感!感じろ!
バッテリー切れでライブでかけませんでした!すみません!
「AWS re:Invent の衝撃 ~Large Scale Violence & Security Culture Shock~」
大橋 衛様
KDDI株式会社
技術統括本部 プラットフォーム開発本部
アジャイル開発センター フレームワークG 課長補佐
- 現地は熱い!体感!感じろ!飯はマズイ!
- 予防、検知、回復の話
- 日本は、予防に重点を置いている制約型.検知が最小限で、回復は手動と尻すぼみ
- 海外は、予防はsoso、検知にかなり力を入れて、回復は自動化とパワーのかけ方が日本と逆
バッテリー切れでライブでかけませんでした!すみません!
雑感
モバイルバッテリーがそろそろ必要なようです。