Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Security re:Cap 2017

16.548 visualizaciones

Publicado el

Slide Decks for Security re:Cap 2017@AWS

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Security re:Cap 2017

  1. 1. Security re:Cap 2017 姜 貴日(Kwiil Kang)
  2. 2. Agenda 1. 新しい発表 1. Amazon GuardDuty連携 2. Managed Rule on AWS WAF
  3. 3. Who am I ? 姜 貴日(Kwiil Kang) Partner Business SE Dev. Sales Engineer Product:Deep Security Alliance:AWS、Google VMware vExpert 2013-2017
  4. 4. 宣伝:出展したのはこれ:Trend Micro Deep Security • Trend Micro Deep Securityは、 サーバセキュリティに必要な複数の 機能を1つの保護モジュールに実装 した総合サーバセキュリティ対策製 品です。 • サーバ管理者、セキュリティ担当者 が抱えているセキュリティ課題を物 理・仮想・クラウド環境にまたがっ て、トータルに解決します。
  5. 5. AWS上でよくDeployされる製品として選出
  6. 6. Copyright 2015 Trend Micro Inc.6 新しい発表
  7. 7. <Amazon GuardDuty> • フルマネージドかつ、継続的なセキュリティ監視お よび脅威検出サービス • CloudTrail や VPC Flow Logs、DNS ログ を含む複数のデータソースからなるイベントを分 析し、インフラストラクチャの運用における異常を 特定し、機械学習を適用して脅威を非常に正 確に識別します。 <Managed Rule for AWS WAF> • 3rd PartyからのWAFルールの提供を可能に • Trend MicroもGlobalでは利用提供開始、 Marketplaceで購入できる(TM北米サポート) AWS re:Invent2017 セキュリティサービスの発表
  8. 8. Amazon GuardDutyとは? ⁃ ポートスキャン等の偵察行為 ⁃ C&Cサーバへの通信 - DGAを利用した通信 - ブルートフォース等のログイン試行 ⁃ ビットコインの採掘の不正使用 ⁃ CloudTrailの異常なアクティビティ 費用 ■VPC Flow Logs and DNS Log Analysis -First 500 GB / month ⇒ $1.18 per GB ■AWS CloudTrail Event Analysis -Per 1,000,000 events / month ⇒ $4.72 per 1,000,000 events ※https://aws.amazon.com/jp/guardduty/pricing/
  9. 9. Amazon GuardDutyとの棲み分け 予防 発見 コマンド実行 検知 不正プログ ラム対策 変更検知IDS検知 IPS遮断 OSへの大量 認証試行検知 パッチ適 用 0.事前準備 1.初期潜入 2.バック ドア設置 3.侵入拡大 情報探索/情報送出/改ざん 4.踏み台 DB・ファイル 情報漏えい 不正プログラム 設置 ポートスキャン 脆弱性探索 脆弱性の悪用 環境確認 リモート侵入 DB・ファイル アクセス権取得 DB・ファイル 情報取得 DB・ファイ ル 情報の改ざん ・・・ 認証やログ DB情報の 暗号化 許可された通 信以外の検知 危険サイトと の通信遮断 意図しない SQL文の検知 DBへの大量 認証試行検知 不正コマンド 実行の遮断 入口対策 出口対策 内部対策 C&C通信 対策 Deep Securityでの対策範囲 Deep Security以外での対策範囲 コンプラ イアンス 脆弱性棚 卸し Amazon Inspector AWS Config System Manager IAM security group AWS KMS
  10. 10. Amazon GuardDuty と Deep Securityの違い(2017/12/13時点) 対象リソース AWSアカウント内の全てのEC2とIAM DSがインストールされたEC2インスタンス サービス概要 フルマネージドの継続的な脅威検出サービス (Lambdaと連携させる事で遮断も可能) 脅威の検知、遮断を行う製品 検出ソース CloudTrail、VPC Flow Logs(ペイロードは含まれない)、 DNSクエリログ ファイルデータ、パケットインスペクション 既知の脅威検出の テクノロジ AWSのセキュリティ、商用やオープンソースのフィード、顧 客提供のSTIX、感染ホスト情報、匿名化プロキシ、暗号化マ イニングプール、ハッカーのツール等々 トレンドマイクロ提供の -アンチウイルスパターン -脆弱性のシグネチャ -トレンドマイクロのBigData 未知の脅威検出の テクノロジ アノマリ検出 -通常と違った挙動の検出アルゴリズム(正常値との差異やML 等利用) -大規模な研究開発体制 挙動監視 ML 変更監視、ログ監視 アプリケーションコントロール 対応する脅威の代 表的なもの 下記の実行を検出 ■偵察行為 ポートスキャン、脆弱性探索 ■外部通信 C&C通信、不正なDNSクエリ、DGA通信 ビットコインマイニングやビットコイン関連のDNS通信 ■CloudTrailのアクティビティ CloudTrailの無効化、Password Policyの変更 ■不正なログイン試行 ブルートフォース等 ※http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html 下記の実行を遮断 ■許可されていない通信(ポートスキャン含む) ■C&Cや不正サイトへの通信 ■不正プログラムの実行 ■OSやミドルウェアへの脆弱性攻撃 ■登録されていないプログラムの実行 下記の実行を検知 ■サーバの改ざん ■大量の認証試行(ブルートフォースなど) ※SID218 - Introduction to Amazon GuardDuty
  11. 11. 11 Copyright © 2016 Trend Micro Incorporated. All rights reserved. 段階的に脅威を減らす DDoS対策 Webアプリケーションの脆弱性 OS/Middlewareの脆弱性 ウイルス対策 Webからの 脅威の流れ 改ざんの検知 AWS Shield Deep Security AWS WAF • AWSのセキュリティサービスを活用し、DSと 組み合わせることでより効果的な対策を実施 ネットワークセキュリティの範囲 ネットワークセキュリティの範囲 サーバセキュリティの範囲 出口対策 ネットワーク上の不審な振る舞い Amazon GuardDutyネットワークセキュリティの範囲 アプリケーションの実行
  12. 12. Amazon GuardDuty と Deep Securityの連携 GuardDutyでポートスキャンを検知 LambdaがDSのAPIを実行 DSが推奨設定の検索を開始 DSは保護対象サーバでIPSを有効化 Deep Security GitHub:https://github.com/deep-security/amazon-guardduty ⇒コミュニティプロジェクトとして提供されていますので、日本のサポートセンターでは問い合わせ受付していません。GitHubにIssueを上げてください
  13. 13. Torネットワーク上のIPアドレスと通信 1.推奨スキャン実施して適切な状態にする 2.変更監視にて想定外の変更が発生していないか 3.不正プログラム対策を実施 4.脆弱性対策を有効化(必要であれば) Backdoorが外部通信(Xor DDoS、Spambot、C&C) 1.不正プログラム対策を実施 2.変更監視にて想定外の変更が発生していないか Deep Security GitHub:https://github.com/deep-security/amazon-guardduty ⇒コミュニティプロジェクトとして提供されていますので、日本のサポートセンターでは問い合わせ受付していません。GitHubにIssueを上げてください Amazon GuardDuty と Deep Securityの連携
  14. 14. Managed Rules on AWS WAF ・ルールは従量課金(費用はトレンドマイクロの場合) -月額$5 in each region -$0.20/100万リクエスト in each region -AWS Marketplaceから購入※ ※AWS Marketplaceからの購入となりますので、米国のトレンドマイクロからのサポートとなります。
  15. 15. 導入は数クリックで完了 ①Marketplaceから購入 ②WAFとRuleを紐づける
  16. 16. Managed Rules on AWS WAF AWS WAFは自分でルール作成必須 Marketplaceからトレンドマイクロのルールを購入 AWS WAFにルールを紐づける サーバの手前でAWS WAFによる保護 ・製品の契約不要 ・製品/インスタンスの運用不要 ・いつでも解約可能 ・費用は手頃な価格 ・ルールの更新はベンダーまかせ (追加コスト無し) https://aws.amazon.com/jp/mp/security/WAFManagedRules/ トレンドマイクロから2017/12/13時点で用意されているRuleGroup ・Apache Suite - Apache Httpd, Apache Struts, Apache Tomcat ・CMS - Wordpress、Drupal、Joomla
  17. 17. 30-Day Free Trial

×