JAWS DAYS 2020 AWS Well-Architected Frameworkの使いドコロとオートメーション化へのチャレンジ
?
0 likes?855 views
JAWS DAYS 2020のトレンドマイクロセッションでのスライドとなります。 ■前半パート(このスライドには含まれておりません) AWS SA大場さんによるAWS Well-Architected Frameworkの考え方や取り組みのご紹介 ■後半パート トレンドマイクロによるCloud Conformityのご紹介とConformityを利用したAWS Well-Architected Frameworkレビュー自動化のデモとなります。
![Copyright?2020 Trend Micro Incorporated. All rights reserved.25
状態変化のモニタリング Real-Time Threat
Monitoring
"groupId": "sg-0cXXXXXXXXXXXXXX",
"ipPermissions": {
"items": [
{
"ipRanges": {
"items": [
{
"cidrIp": “12.XX.XX.XX/32"
}
]
},
"prefixListIds": {},
"fromPort": 0,
"toPort": 65535,
"groups": {},
"ipProtocol": "udp",
"ipv6Ranges": {}
AWSアカウント や Conformityユーザのアクティビティを記録
詳細を見ると、Security Group
「sg-0cXXX」に対して、
「12.XX.XX.XX」からの「UDP通
信」が許可された事が確認出来る
AWSに対しての
変更を検出
Conformityに対しての
変更を検出](https://image.slidesharecdn.com/jawsdays2020awswell-archandchallengingtowell-archreviewautomation-200327052224/85/JAWS-DAYS-2020-AWS-Well-Architected-Framework-25-320.jpg)
JAWS DAYS 2020 AWS Well-Architected Frameworkの使いドコロとオートメーション化へのチャレンジ
- 1. Copyright?2020 Trend Micro Incorporated. All rights reserved.1 汎用テンプレート 3 汎用テンプレート 3
- 2. Copyright?2020 Trend Micro Incorporated. All rights reserved.2 自己紹介 姜 貴日 - Kwiil Kang トレンドマイクロ株式会社 セールスエンジニアリング部 AWS Alliance Tech Lead JAWS DAYS 2019 AWS Summit Tokyo 2019Developers.IO 2019 Security 「Security Automation」、「DevSecOps」、 「Container」など よりクラウドと親和性が高い領域に特化したソリューション提案を行う。
- 3. Copyright?2020 Trend Micro Incorporated. All rights reserved.3 Agenda 【前半】 ? AWS Well-Architected Frameworkとは? ? AWS Well-Architected Frameworkの活用法 【後半】 ? Cloud One – Conformityとは? ? W-Aレビューのオートメーション化について ? Trend Micro Cloud One?のご紹介
- 4. Copyright?2020 Trend Micro Incorporated. All rights reserved.4 Agenda(再掲) 【前半】 ? AWS Well-Architected Frameworkとは? ? AWS Well-Architected Frameworkの活用法 【後半】 ? Cloud One – Conformityとは? ? W-Aレビューのオートメーション化について ? Trend Micro Cloud One?のご紹介
- 5. Copyright?2020 Trend Micro Incorporated. All rights reserved.5 はじめに Cloud One - Conformity(以下 Conformity)に関しては リリース前製品につき内容が変更される 可能性がある事を予めご了承下さい。 尚、本製品の情報提供に関しては 「 aws@trendmicro.co.jp 」 へご連絡ください
- 6. Copyright?2020 Trend Micro Incorporated. All rights reserved.6 クラウド管理者の悩み この状況を打破するのが Cloud One - Conformity です 進化する 新サービス のキャッチ アップ 社内ユーザの 運用ルール 準拠 コンプラ イアンス の準拠 セキュリティ 対策の知識が 不十分 そもそも、 セキュリティ を考える余裕 がない 設定不備からの情報漏洩 悩みの種は後を絶たない
- 7. Copyright?2020 Trend Micro Incorporated. All rights reserved.7 Cloud One - Conformityとは? ?2016年にシドニー@オーストラリアでスタート。 ?CEO Michael Wattsとその同僚がオーストラリア政府関連で働いている時に、システム全体を 可視化、コントロール、統制するソリューションがなく困っていたところから始まった。 ?2019年にAWS Security と AWS Cloud Management ToolsのAWS コンピテンシーを取得 ?同年、AWS Technology Partner of the Year for Australia & New Zealandを取得 ?同年10月23日、トレンドマイクロが買収
- 8. Copyright?2020 Trend Micro Incorporated. All rights reserved.8 Cloud One - Conformityとは? クラウド環境を可視化し、セキュアな状態を継続的に作り出す ? ポリシー違反(セキュリティ設定不備)が あった際にアラート発報 ? 設定不備の修正方法を通知、 AWS Lambdaと連携した自動修復も可能 ? AWS, Azureあわせて60以上のサービスに対応 ? 500を超えるルール ? AWS Well Architected Framework, PCI, HIPAA, NIST, GDPR, CISなどに対応 提供機能 特徴
- 9. Copyright?2020 Trend Micro Incorporated. All rights reserved.9 Conformityが提供する4つの機能 ① Security and Compliance ② CloudFormation Template Scanner ④ Auto-Remediation③ Real-Time Threat Monitoring 状態変化のモニタリング 設定不備の自動修復 クラウド環境の可視化 デプロイ前のリスク検出
- 10. Copyright?2020 Trend Micro Incorporated. All rights reserved.10 Conformityが提供する4つの機能 ① Security and Compliance ② CloudFormation Template Scanner ④ Auto-Remediation③ Real-Time Threat Monitoring 状態変化のモニタリング 設定不備の自動修復 クラウド環境の可視化 デプロイ前のリスク検出
- 11. Copyright?2020 Trend Micro Incorporated. All rights reserved.11 クラウド環境の可視化 Security and Compliance Conformityのコアコンポーネント 4つのルール群 10個以上の各種フレーム ワークを準拠するための コンプライアンスルール AWS Well-Architectedを ベースとしたルールと Conformityが独自提供する Conformityルール リアルタイムに状態変化 を検出するRTMルール 顧客環境の運用にあわせた カスタムルール
- 12. Copyright?2020 Trend Micro Incorporated. All rights reserved.12 複数アカウントの 全体サマリーを表示 (達成率、チェック数、 存在するリスク数等) 5つの柱で コンプライアンス 達成率を表示 各コンプライアンスに 対しての達成率を 推移表示 AWSの各Region毎に どのようなリスクレベル が存在するかMapで確認 クラウド環境の可視化 Security and Compliance ダッシュボード スキャン結果の詳細 ルール名、サービス、カテゴリなど、クラウド環境に どういったリスクレベルが存在しているのか確認する 複数AWSアカウント の達成率を5つの 柱をベースとして 比較表示
- 13. Copyright?2020 Trend Micro Incorporated. All rights reserved.13 クラウド環境の可視化 ユースケース Security and Compliance AWS Cloud ①アカウント配下の リソース情報を 定期取得 (Conformity bot) ②設定不備等を測定 リスクの概要 修復方法への リンク ③リスクの 可視化 スキャン結果 ④Resolve をクリック
- 14. Copyright?2020 Trend Micro Incorporated. All rights reserved.14 クラウド環境の可視化 ユースケース Security and Compliance リスクレベル ④Resolve をクリック リスクの説明 関連するコンプライアンス 2種類の修復方法を提示 (ルール解説) Public によりどのようなリスクがあるのか
- 15. Copyright?2020 Trend Micro Incorporated. All rights reserved.15 クラウド環境の可視化 Security and Compliance ■各フレームワークの項目毎にマッピング 各フレームワークのどの項目に対して、 何が準拠出来ていなかったか、 詳細を確認し、修正を支援する事が可能
- 16. Copyright?2020 Trend Micro Incorporated. All rights reserved.16 クラウド環境の可視化 Security and Compliance 監査結果の報告、レポート機能、通知機能 ■監査結果をフィルタリング ?Cloud Conformityのサービス毎 ?AWSアカウント毎 ?AWSリソース毎 ?Region毎 ?コンプライアス毎 例)CIS AWS Foundationsで表示結果を フィルタリング ■レポート機能 ?CSVとPDF出力に対応 ?スケジュールは、日時、週次、月次、年次から選択 ※実装されているcron利用で更に細かい指定も可能 ?フィルタリングした項目別にレポート作成 例)毎週日曜日にPCI-DSSを満たせていない 項目をメールで通知 ■通知機能 ?各種コミュニケーションツールに対応 ?条件にマッチした場合のみ通知 例?AWSのサービス、Region、Tag ?5本柱毎、リスクレベル等 例)AWSの商用環境でSecurityのリスクが Extreme、Very high、Highの場合通知
- 17. Copyright?2020 Trend Micro Incorporated. All rights reserved.17 Conformityが提供する4つの機能 ① Security and Compliance ② CloudFormation Template Scanner ④ Auto-Remediation③ Real-Time Threat Monitoring 状態変化のモニタリング 設定不備の自動修復 クラウド環境の可視化 デプロイ前のリスク検出
- 18. Copyright?2020 Trend Micro Incorporated. All rights reserved.18 デプロイ前のリスク検出 CFn Template Scanner ■CloudFormation Template Scannerとは? ?CloudFormationのテンプ レートがベストプラクティスに 準拠しているか確認 ?APIを利用する事でCI/CDパ イプラインに組み込んで利用す る事も可能 ?デプロイ前にリスクを検出し 設定不備を未然に防ぐ ①テンプレートを Upload ②リスクの説明 ③リスクの解説や 修復手順を提示
- 19. Copyright?2020 Trend Micro Incorporated. All rights reserved.19 デプロイ前のリスク検出 ユースケース CFn Template Scanner ①Codeをコミット ②WebhookにてJenkins を実行 ⑤Conformityが 結果を戻す ③APIを利用して Conformityに Codeをプッシュ ⑥Jenkinsが結果を通知 ⑦Slack等を経由して オーナーに結果が届く ④ルールをベースにConformity がテンプレートをスキャン ※SSHがANYで開放されている
- 20. Copyright?2020 Trend Micro Incorporated. All rights reserved.20 デプロイ前のリスク検出 CFn Template Scanner DEMO
- 21. Copyright?2020 Trend Micro Incorporated. All rights reserved.21 デプロイ前のリスク検出 DEMO CFn Template Scanner GitLab GitLab Runner Builder Conformity ① ② ③ ④ ⑤ ① リスクがあるCFnテンプレー トをGitLabへプッシュ ② GitLab がGitLab Runnerを 実行する ③ GitLab RunnerがJobを実行 しConformityのAPIを呼び出す ④ConformityのScannerが起動 し、リスク評価が実行される ※実際のフローはConformity→Runnerとなりますが 便宜上割愛しております。 ⑤リスクの存在が確認されたの で、Pipelineが中断される 【デモ後半】 リスクを修正し、Pipelineが 成功する ※左図は便宜上記載を割愛しているコン ポーネントがある事をご了承下さい。
- 22. Copyright?2020 Trend Micro Incorporated. All rights reserved.22 デプロイ前のリスク検出 デモ CFn Template Scanner デモ動画はJAWSDAYSのページにある トレンドマイクロのセッション動画の 38分頃をご確認下さい https://jawsdays2020.jaws-ug.jp/session/
- 23. Copyright?2020 Trend Micro Incorporated. All rights reserved.23 Conformityが提供する4つの機能 ① Security and Compliance ② CloudFormation Template Scanner ④ Auto-Remediation③ Real-Time Threat Monitoring 状態変化のモニタリング 設定不備の自動修復 クラウド環境の可視化 デプロイ前のリスク検出
- 24. Copyright?2020 Trend Micro Incorporated. All rights reserved.24 状態変化のモニタリング Real-Time Threat Monitoring AWS上のリソースに対して、状態の変化(ポリシー違反) をリアルタイムに検出 ユ ー ザ が S3 バ ケ ッ ト を Public “READ”で作成した 事をリアルタイムに検出 Communication Tool を 設定しておき、即座に対応 を行う
- 25. Copyright?2020 Trend Micro Incorporated. All rights reserved.25 状態変化のモニタリング Real-Time Threat Monitoring "groupId": "sg-0cXXXXXXXXXXXXXX", "ipPermissions": { "items": [ { "ipRanges": { "items": [ { "cidrIp": “12.XX.XX.XX/32" } ] }, "prefixListIds": {}, "fromPort": 0, "toPort": 65535, "groups": {}, "ipProtocol": "udp", "ipv6Ranges": {} AWSアカウント や Conformityユーザのアクティビティを記録 詳細を見ると、Security Group 「sg-0cXXX」に対して、 「12.XX.XX.XX」からの「UDP通 信」が許可された事が確認出来る AWSに対しての 変更を検出 Conformityに対しての 変更を検出
- 26. Copyright?2020 Trend Micro Incorporated. All rights reserved.26 Conformityが提供する4つの機能 ① Security and Compliance ② CloudFormation Template Scanner ④ Auto-Remediation③ Real-Time Threat Monitoring 状態変化のモニタリング 設定不備の自動修復 クラウド環境の可視化 デプロイ前のリスク検出
- 27. Copyright?2020 Trend Micro Incorporated. All rights reserved.27 設定不備の自動修復 Auto-Remediation Amazon S3の設定不備による情報漏えい ?A社の海外法人が5万人分を超える顧客情報をクラウド上で公開していた https://gigazine.net/news/20180609-honda-app-leaked-personal-information/ ?FedEx、個人情報をパスワード無しの状態で「Amazon S3」に放置(数千人の個人情報) https://japan.zdnet.com/article/35114812/ ?米陸軍の極秘情報がAWSで公開状態だったことが発覚(100GB超のデータ) https://japan.cnet.com/article/35111092/ ?タイムワーナー、AWS S3から機密データが漏洩、原因はアクセス設定の誤り(400万件のレコード) https://threatpost.com/four-million-time-warner-cable-records-left-on-misconfigured-aws-s3/127807/ 原因:Amazon S3バケットのアクセス設定が Public になっていた事
- 28. Copyright?2020 Trend Micro Incorporated. All rights reserved.28 設定不備の自動修復 Auto-Remediation Auto-Remediationのユースケース PublicなS3バケットの設定変更 Auto-Remediationの例 Auto-Remediationはオープンソースプロジェクトで提供されており、Real-Time Threat Monitoring と Auto-Remediationを組み合わせる事で効果的なセキュリティやガバナンスの 自動化を実現します。https://github.com/cloudconformity/auto-remediate
- 29. Copyright?2020 Trend Micro Incorporated. All rights reserved.29 Cloud One - Conformity まとめ ?ベストプラクティスに沿った運用が出来ているのか? ?膨大なコンプライアンスのチェックに工数がかかりすぎ ?継続的にコンプライアンスチェックが運用出来ていない ?許可されていないRegionでユーザのアクティビティを検出 ?許可されていない場所からAWSマネージメントコンソールへのログイン ?IAMユーザ や AWS LambdaにAdmin権限が付与されていないか? ?AWS上のネットワーク設定の変更 このような状況に悩まれている方、一緒にConformityをPoCしてみませんか? aws@trendmicro.co.jp までお気軽にご相談ください!
- 30. Copyright?2020 Trend Micro Incorporated. All rights reserved.30 Trend Micro Cloud One? のご紹介
- 31. 31 Copyright ? 2020 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One? ~スローガン~ Cloud Security Simplified. Automated. Flexible. All in One. Trend Micro Cloud Oneとは ? 従来のクラウド向け製品および新規リリース 予定製品の名称を揃え、統一されたブランド。 ? 将来は統一コンソールから各製品にアクセス できるようにする方針。
- 32. 33 Copyright ? 2020 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One 概要 クラウドワークロード およびコンテナの保護 (現 Deep Security as a Service) クラウドストレージの 不正プログラムスキャン クラウド向けネットワークIPS サーバレスおよび アプリケーションの保護 ビルドパイプラインでの コンテナイメージスキャン (現 Deep Security Smart Check) クラウドの設定不備を可視化、 コンプライアンス対応支援AWS GCP Azure VMware AWS Cloud
- 33. 40 Copyright ? 2020 Trend Micro Incorporated. All rights reserved. Trend Micro Cloud One リリーススケジュール表(予定) 製品名称 日本販売開始時期 (予定) Cloud One – Workload Security 2020年 6月1日~ Cloud One – Application Security 2020年 7~9月 Cloud One – Network Security 2020年 7~9月 Cloud One – Container Security 2020年 10月~ Cloud One – File Storage Security 2020年 10月~ Cloud One – Conformity 2021年 1月~ ※ スケジュールは変動することがあります。あらかじめご了承ください。 本製品の情報提供に関しては 「 aws@trendmicro.co.jp 」 へご連絡ください
- 34. Copyright?2020 Trend Micro Incorporated. All rights reserved.41 汎用テンプレート 3 汎用テンプレート 3