• 検索結果がありません。

クラウドネイティブにセキュリティを 活用する!API を連携して実装する方法

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2022

シェア "クラウドネイティブにセキュリティを 活用する!API を連携して実装する方法"

Copied!
42
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 42 ページ )

全文

(1)

クラウドネイティブにセキュリティを活用する!

API を連携して実装する方法

トレンドマイクロ株式会社

セキュリティエキスパート本部 プリセールスSE部 シニアエンジニア 岩瀬 由季

(2)

2 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

AWSにおけるセキュリティ 責任共有モデル

AWS グローバル インフラストラクチャ

リージョン アベイラビリティ ゾーン エッジ ロケーション サーバ ストレージ データベース ネットワーク

お客様システム

AWSの責任範囲 お客様の責任範囲

お客様責任範囲の セキュリティ対策をお手伝い

ログ コンテンツ

オペレーティングシステム ミドルウェア アプリケーション

ネットワーク

(3)

3 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

攻撃例とユーザの責任範囲

ユーザ 責任範囲

AWS

“クラウド基盤の保護”

SQLインジェクション

ICMPフラッド攻撃

サーバルームへの侵入 ARPスプーフィング攻撃 SYNフラッド攻撃

SSL関連攻撃(Poodle等)

アプリケーション層 プレゼンテーション層

セッション層 トランスポート層

ネットワーク層 データリンク層

物理層

アプリケーション層 プレゼンテーション層

セッション層 トランスポート層

ネットワーク層 データリンク層

物理層

(4)

4 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

Trend Micro Deep Security

サーバに必要なセキュリティ機能をAll in Oneで提供 する、多層防御に対応したホスト型のセキュリティソフト ウェアです。

セキュリティ機能 内容

ファイアウォール 攻撃を受ける機会を軽減します。

侵入防御(IDS/IPS) 脆弱性を突いた攻撃からサーバを保護します。

セキュリティログ監視 重要なセキュリティイベントを早期に発見します。

変更監視 ファイルの改ざん等を早期に発見します。

不正プログラム対策 ウイルス等の不正プログラムを検出します。

多 層 防 御

EC2

(5)

5 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

脆弱性を自動で検出!運用が簡単なIDS/IPS

セキュリティパッチを適用することなく、サーバの脆弱性を保護する ホスト型のIDS/IPSルールです。

アプリケーション層

オペレーション システム層

ネットワーク層

特徴1:システムへの影響は最小限

OSやアプリケーションのコード変更なし

→ 迅速に脆弱性からの保護が可能

特徴2:多種類のOS/APPの脆弱性に対応 サーバに存在する脆弱性を自動的に検出し、

対応する最新のルールを自動的に配信

→ 脆弱性管理工数の大幅削減が可能

例:Windows/Linux/Apache/OpenSSL/Adobe/PHP 等

(6)

6 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

Deep Security 侵入防御(IDS/IPS)

攻撃 ツール

EC2のインスタンス 攻撃者

脆弱性

CVE-2016-3081 CVE-2016-4117

脆弱性 必要な仮想パッチを自動適用

仮想パッチによる防御

脆弱性攻撃コード

(7)

7 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

AWS環境にFITする3つの理由

All-in-One セキュリティ ホスト型

Auto Scaling対応

(8)

8 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

5つの機能で多層防御

ログ監視

ウイルス対策

変更監視 IDS/IPS

Firewall

Deep Security Agent

未遂

多層防御

(9)

9 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

GW/ホスト型どっちがベスト?- GW型

GW

IDS/IPS Web Server

APP

Server S3

Bucket

Availability Zone

Web Servers GW

IDS/IPS

スケールアウトを考慮した設計が必要

単一障害ポイントとなりうる

障害への対策のためには・・・

インスタンス増 → 高コスト

(10)

10 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

GW/ホスト型どっちがベスト?- ホスト型

APP

Server S3

Bucket

Availability Zone

Web Server

Web Servers

インスタンス増減の考慮は不要

障害時の対応もインスタンス単位

必要な時に必要な分のセキュリティ →クラウド向きの考え方

AWSのセキュリティは[ホスト型]!

(11)

2016/6/2 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 11

Amazon Management Consoleと連携しインス タンス情報をリアルタイムで共有

セキュリティ対策済み・未対策が一目瞭然

Cloud Connecterで接続

Auto Scaling対応(1)

AWS Management

Console

インスタンス情報が

Deep Securityマネージャに 同期される

Deep Security管理マネージャ

(12)

2016/6/2 Copyright © 2015 Trend Micro Incorporated. All rights reserved. 12

柔軟なリソースにどう対応するのか?

動的に増えるインスタンスを自動で保護

運用管理者が都度を設定する不必要

一時的な増加に関してはライセンス無料 ※1

Deep Security 管理マネージャ

自動で保護

※1・・・ライセンス有効期間(1年)の中で、累計37日間(888時間)を無償で使用することができる

Web

Auto Scaling

Auto Scaling対応(2)

Web Web

(13)

13 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

AWS環境にFITする3つの理由

All-in-One セキュリティ ホスト型

Auto Scaling対応

(14)

Copyright © 2016 Trend Micro Incorporated. All rights reserved.

14

github.com/deep-security

注意:GitHubのツール類はオープンソー スで無償にてご提供しているものです。

トレンドマイクロのサポートセンターに はお問い合わせいただけません。

ツールについて、うまく動作しないなど のお困りごとがあった場合には、直接 GitHubにコメントをしてください。

(15)

15 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

DevOps

Development 開発

Operations

運用

(16)

16 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

DevOps+Security → DevSecOps

Development 開発

Operations 運用

Security

(17)

17 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

Deep SecurityのDevSecOpsツール群

/cloudformation /elastic-beanstalk /chef

/ansible

/ip-lists

/aws-config-rules /aws-waf

/amazon-inspector /deep-security-py

Amazon SNS

でのイベント通知

(18)

Copyright © 2016 Trend Micro Incorporated. All rights reserved.

18

AWS CloudFormationとの連携

(19)

19 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/cloudformation

Public subnet Public subnet

Deep Security Agent

Deep Security Agent

Deep Security

Manager

(20)

20 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

(21)

21 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

(22)

22 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/cloudformation

Public subnet Public subnet

Deep Security Agent

Deep Security Agent

Deep Security Manager

スクリプト実行で

簡単インストール

(23)

Copyright © 2016 Trend Micro Incorporated. All rights reserved.

23

AWS WAFとの連携

(24)

24 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/aws-waf

AWS WAFとは?

– Webアプリケーションに対するトラフィッ クをフィルタし、AWS上で動作するWebア プリケーションを守るサービス

カスタムルールに よるフィルタ

SQLインジェクション、

XSSなどのよくある攻撃 への対策

モニタリング

(25)

25 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

Deep SecurityとAWS WAF

AWS WAF Deep Security カバー範囲

監視対象レイヤー 対策場所

CloudFront Edge Location

EC2 EC2

AWS WAF

AWS WAF

Deep Security

AWS

カバー範囲

(26)

26 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/aws-waf

AWS WAFとは?

– Webアプリケーションに対するトラフィッ クをフィルタし、AWS上で動作するWebア プリケーションを守るサービス

カスタムルールに よるフィルタ

SQLインジェクション、

XSSなどのよくある攻撃 への対策

モニタリング

(27)

27 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

deep-security/aws-waf

AWS WAFにSQLインジェクション・XSSのルールを 作成し、自動的な保護を提供

Amazon CloudFront

AWS WAF

client

Deep Securityで

保護された

instance

Deep Security as a Service

SQLインジェク ション用ルール

Elastic Load Balancing

②AWS WAF の

SQL Injection/XSS用 ルールの作成&適用

(28)

28 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

DEMO

(29)

Copyright © 2016 Trend Micro Incorporated. All rights reserved.

29

Amazon Inspectorとの連携

(30)

30 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/amazon-inspector

Amazon Inspectorとは?

– アプリケーションのセキュリティ診断ツール – ビルトインのルールパッケージを選択可能

• Common Vulnerabilities & Exposures

• Center for Internet Security

– Secure Configration Benchmarks

• Security Best Practices

• Runtime Behavior Analysis

診断後の対策は? Deep Securityにお任せ!

(31)

31 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/amazon-inspector

Amazon Inspectorのアセスメント結果に応じて、

仮想パッチを自動適用

Deep Securityで 保護された instance

Amazon Inspector

Deep Security as a Service

アセスメント結果

CVE-2015-7499 CVE-2014-8176 CVE-2014-9140 CVE-2015-5312 CVE-2015-8242

②脆弱性に対応する仮想パッチ(IPSルール)を適用

③攻撃を ブロック

(32)

Copyright © 2016 Trend Micro Incorporated. All rights reserved.

32

まとめ

(33)

33 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

まとめ

責任共有モデル

クラウドのセキュリティ 多層防御

ホスト型

柔軟な構成・課金

導入 運用

自動化

DevSecOps

(34)

34 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

参考:Deep Securityのライセンス

• 機能毎に買える柔軟なライセンス

課金単位 ライセンス名称 初年度 次年度以降

インスタンス数 全機能

(Deep Security Agent Enterprise)

¥213,000 ¥106,500 IPS/IDS, FW

(Deep Security Agent Virtual Patch)

¥125,000 ¥62,500

変更監視、ログ監視

(Deep Security Agent System Security)

¥107,000 ¥53,500

ウイルス対策のみ

(Deep Security Agent ウイルス対策)

¥98,000 ¥49,000

EC2 EC2

・・・

全機能使っても、月々

¥12,000

/ サーバ

IPS/IDSだけなら、月々

¥7,000

/サーバ

※3年間お使いいただいた場合で算出しています。

(35)

35 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

今すぐ!Deep Securityをお試しする方法

管理サーバ不要のSaaSサービス

30日間無料トライアル中!

Deep Security

as a Service

まずは無料の

ハンズオンに参加!

Deep Security on AWS

無償ハンズオントレーニング

毎月実施

日 程 :2016年6月14日(火)

時 間 :14:00~17:30 定 員 :40名

http://www.go-tm.jp/dshol

7月以降の開催日程はこちらの Webサイトでご確認ください

Elastic Load Balancing

Web

APP Web APP

Deep Security Agent

Deep Security

Agent 監視・管理

Deep Security as a Service

(DSaaS)

トレンドマイクロのデータセンター

DSaaS

検索

(36)

Copyright 2015 Trend Micro Inc.

36

ブースにぜひお立ち寄りください!

①トレンドマイクロの セッション会場はこちら

②会場を出て左手 の展示会場へ

展示会場

③トレンドマイクロの ブースは展示会場

入ってすぐ!!

(37)

ご清聴ありがとうございました

注意:GitHubのツール類はオープンソー スで無償にてご提供しているものです。

トレンドマイクロのサポートセンターに はお問い合わせいただけません。

ツールについて、うまく動作しないなど のお困りごとがあった場合には、直接 GitHubにコメントをしてください。

(38)

Copyright © 2016 Trend Micro Incorporated. All rights reserved.

38

Appendix

(39)

39 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/aws-config-rules

AWS Config Rulesとは?

予め設定した“準拠すべきルール”に沿った

構成変更が行われているかを評価するサービス

 すべてのEBSボリュームが暗号化されているか?

 EC2インスタンスが適切にタグ付けされているか? 等

AWS Managed Rules Customer Managed Rules AWSにより定義・提供される

ベーシックなルール

自分でAWS Lambdaをベースに ルール作成可能

(40)

40 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/aws-config-rules

すべてのEC2インスタンスで

不正プログラム対策を有効にしていること

すべてのEC2インスタンスに

セキュリティ対策製品が導入されていること

すべてのEC2インスタンスで決められた

セキュリティポリシー設定が反映されていること

EC2インスタンスに導入されたセキュリティ対策製品 でアラートが発令されていないこと

トレンドマイクロがGitHubで提供するカスタムルール

(41)

41 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

/aws-config-rules

Config Rulesを利用して、DSを利用しセキュリティを担保するポリシーを強制 企業がAWSの利用を社内展開する際の、

コンプライアンス順守を支援することが可能

(42)

42 Copyright © 2016 Trend Micro Incorporated. All rights reserved.

Amazon SNSでのイベント通知

Deep Securityで検出したセキュリティイベントをSNS Topicとして通知 Amazon SNSと連携することで、

json形式でのイベントアウトプットが可能

参照

今ダウンロードする ( PDF - 42 ページ - 3.98 MB )

関連したドキュメント

Micro Focus Enterprise Developer チュートリアル メインフレーム COBOL 開発 : MQ メッセージ連携 1. 目的 本チュートリアルでは CICS から入力したメッセージを MQ へ連携する方法の習得を目的としています 2. 前提 使用した OS : Red H

Enterprise Server と MQ の連携方法 MQ 連携は XA リソースを使用した方法を推奨しています。MQ のトリガー機能をご利用の場合は MQ リスナーが必要になります。 CICS

ICTを活用した地域連携のあり方

ICT 1) を活用した地域連携のあり方 佐 野 真一郎

CybozuWorkspace連携ホワイトペーパー_v1.2

SAML とは Security Assertion Markup Language の略で、クラウドサービスとの認証連携で用いら れる業界標準的な認証の仕組みです。Identity Provider

生活保護の実施機関と関連領域との連携に関する調査研究

関連領域との連携の取組事例の一覧については岡部卓ほか『平成23年度

Salesforceを100%活用するためのデータ連携とは

SAP ERP.. 適用事例 (Salesforce連携) <基幹システム連携案件> 基幹システム(SAP等) 会計情報システム

グリッド環境におけるスーパースケジューラ連携手法の検討

短縮には、階層構造による連携が分散ネットワークに

グリッド環境におけるスーパースケジューラ連携手法の検討

短縮には、階層構造による連携が分散ネットワークに

Mパラレルシリーズとオープンシステムを連携するソフトウェア

Mパラレルシリーズとオープンシステムを連携するソフトウエア 585 VOS3/FS ×DM/DCCM3 TMS-4V/SP ×DM/RD.SD VOS3 Webブラウザ 連携機能 基幹