Participation record SANS SEC545: Cloud Security Architecture and Operations (Security-JAWS#11)

1. Participation record
SANS SEC545: Cloud Security
Architecture and Operations
Security-JAWS #11 2018/11/08
@Typhon666_death

2. SANSが提供するSEC545コースに参加してきたことと、受講してきた
内容をお話しますが、コースの内容をすべてお話するものではありま
せん。
多少の口頭での補足をします。
許可取ってんの？大丈夫なん？という鉞は不要です。許可取ってます
。
細かい受講内容等、SANSのHPサイトで把握できないものは実際に受
講いただくようお願いいたします。
お断り

3. 自己紹介
• @Typhon666_death
• 仕事：某セキュリティ専門会社にて、
セキュリティエンジニア/コンサルタント/アナリスト/営業してました
• 業務：以前は多種企業向けMSSや金融機関向けASP、今は自社AIサービスの運用保守
• 活動コミュニティ：
• OWASP Japan Promotion Teamメンバー
• AISECjp 運営メンバー
• Security-JAWS 運営メンバー
• X-Tech JAWS 運営メンバー
• FinJAWS 運営メンバー
• レトロゲーム勉強会 運営メンバー
• 全脳アーキテクチャ若手の会 運営メンバー
https://www.slideshare.net/Typhon666_death

5. SANS Institute:
セキュリティトレーニングやGIAC試験の提供、出版活動など行われている世界トップレベルの
セキュリティ研究・教育機関
Internet Storm Centerからのセキュリティに関する情報発信
https://www.sans.org/
SANS Japan:
SANSの日本法人(事務局はNRIセキュアテクノロジーズ内)
https://sans-japan.jp/index.html

6. SEC545の紹介

7. クラウドセキュリティの基本について理解することを手始めに、セキ
ュリティプロフェッショナルが知っておくべきクラウドポリシーとガ
バナンスに関する重要なコンセプトについて解説します。初日と2日
目は、技術的なセキュリティの原理原則について学習し、代表的なク
ラウド（SaaS、PaaS、IaaS）の制御について理解します。また、ク
ラウド制御向けのクラウドセキュリティアライアンスフレームワーク
を学習し、クラウドサービスのリスクについても掘り下げて評価を行
うなど、特に取り組むべきテクニカル分野について追求していきます
。
SEC545の紹介
https://sans-japan.jp/sans_tokyo_autumn2018/sec545.html

8. 講義では、新規のアーキテクチャーを構築し、実証済みのセキュリティツールと
プロセスをクラウドに組み込むために必要なクラウドアーキテクチャーとセキュ
リティデザインについて進めていきます。また、ネットワークセキュリティを取
り巻くファイアウォール、アクセスコントロール、IDSなどについてはもちろん
、その他のクラウドセキュリティに関するレイヤーについても包括的な議論を行
っていきます。その際、セキュアインスタンスの構築、データセキュリティ、ア
カウント管理など、それぞれのレイヤーについて触れていきます。さらに、脆弱
性マネジメントやペネトレーションテストなど最新かつ最良のクラウドセキュリ
ティリサーチに切り込んでいき、クラウドにおける攻撃の焦点について理解しま
す 。防御の観点では、インシデントハンドリング、フォレンジック、イベント
管理、アプリケーションセキュリティに関して深い知識を得ることを目指します
。
SEC545の紹介
https://sans-japan.jp/sans_tokyo_autumn2018/sec545.html

9. 最終的には、DevSecOpsとオートメーションに目を向け、オーケスト
レーションとクラウドライフサイクルにおけるそれぞれの事項に対し
てセキュリティを埋め込む方法を習得します。実践的なツールや戦術
について学習し、さらにAPIやスクリプトを用いたインシデントハン
ドリングとその導入など、自動化されたセキュリティの最新の仕組み
をいくつかのケーススタディを交えて学習します。
SEC545の紹介
https://sans-japan.jp/sans_tokyo_autumn2018/sec545.html

10. 当日の様子

11. 当日の様子
Dave Shackleford (SANS Senior Instructor
& Consultant for Voodoo Security)
SEC545に関しては当日は満席
日本人は半数以下
その他は外国籍の方々
同時通訳あり

12. Intro and Basics
Cloud Security Alliance Guidance
Cloud Policy and Planning
SaaS Security
Intro to PaaS and IaaS Security Controls
SEC545.1: Cloud Security Foundations

13. Cloud Security: In-House versus Cloud
A Virtualization Security Primer
Cloud Network Security
Instance and Image Security
Data Security for the Cloud
Application Security for the Cloud
Provider Security: Cloud Risk Assessment
SEC545.2: Core Security Controls for
Cloud Computing

14. Cloud Security Architecture Overview
Cloud Architecture and Security Principles
Infrastructure and core component security
Access controls and compartmentalization
Confidentiality and data protection
Availability
SEC545.3: Cloud Security Architecture
and Design

15. Threats to Cloud Computing
Vulnerability Manager in the Cloud
Cloud Pen Testing
Intrusion Detection in the Cloud
Cloud IR and Event Manager
Cloud Forensics
SEC545.4: Cloud security - Offense and
Defense

16. Scripting and Automation in the Cloud
DevSecOps Principles
Creating Secure Cloud Workflows
Building Automated Event Management + Defensive Strategies
Tools, Tactics, and Use Cases
Class Wrap-Up
SEC545.5: Cloud Security Automation
and Orchestration

17. Exploring AWS
Cloud Contract Review
AWS+Docker
SecaaS
Hypervisor Security
VPCs and Network Controls
AWS Config
Secrets for Containers
S3 IAM
EC2 and IAM Roles
EC2 Systems Manager
Bastion Host Quick Start
Day1-Day5: Handson
Cloud Threat Modeling
AWS Inspector
Kali … as-a-Service?
Cloud CTF
Logs,logs,logs!
AWS CLI Automation
Ansible Basics
Ansible Roles and Security
AWS CloudFormation
AWS CloudWatch
Automating with AWS Lambda
・利用するクラウド環境は
すべてAWS
・一部、手元でHypervisor
SecurityとContractの確認を
行うものがあった。

18. flAWS (常にオープンになっているので、好きに問いて良い)
クラウドCTF

19. SaaS/PaaS/IaaSの中で、クラウド全般を紹介。主にAWSとAzure、時々Salesforce
についてとりあげていた。
ハンズオンはすべてAWS環境。
Alibaba Cloudなど米国からみた他国のクラウドは特には触れられてはいなかった。
Kubernetes 関連は今回の受講では含まれていなかった。
クラウド開発環境(AWSでいうCode兄弟やCloud9)など、
サービスの紹介はあったが実技はなかったので、
DevSecOpsな話は今後はもっと充実してくる？
SEC545、今回は。きっと今後は？？？

20. 米国は訴訟大国でもあるので、
特にクラウドサービス、あるいは
クラウドを活用した他社サービスなどの
契約関連についてもりこまれているので、
日本ではあまり意識してこなかった部分を意識するようになった。
どういうシチュエーションでサービスが利用できなくなるのか？
クラウドベンダーの突然のサービス提供停止など考えさせられる
日本のLegalTechは今後もっと流行るのではないか？
SEC545で学べてよかったこと

21. VPC Flowlogsの分析手法
クラウド向け監査ツールの紹介とハンズオン
コンテナセキュリティのツール紹介
CASBツールの紹介
クラウド向けペンテストツール紹介
クラウド向けインシデントレスポンスツール紹介
クラウド向けモニタリングツール全般紹介
Lambdaハンズオン
SEC545で学べてよかったこと

22. クラウド全般のセキュリティについて、これから従事あるいは検討し
ていく人
AWS CloudPlactioner や AWS SAA取得者
でセキュリティに興味ある人
USなどのこれまでのクラウドに関する
先行事例や3rdPartyのクラウドセキュリティツールに興味ある人
SEC545をおすすめしたい人

23. 二日間で行われる
攻撃とその分析・防御を行う観点から、
インターネットベースのインタラクティブな環境で構成されています。
初心者から高度なテクニックを有する専門化まで、
様々なレベルの方が楽しめるように設計されている。
出題形式がいくつかのレベルに分割されています。高いスキルを持っている
方はどんどん上のレベルにチャレンジできますし、初心者の方は考えながら
じっくり取り組んで、知識・スキルを理解・習得しながら進むことができま
す。
Core NetWars Experience
https://sans-japan.jp/training/core_netwars_ex.html

24. Core NetWars Experience
競技開始前にUSBメモリ
を渡される。中には競技
問題用のデータが含まれ
ていて、メールログやイ
ベントログが含まれてい
る。
出題問題をヒントなしで
解くと高得点をGET

26. SEC 401:Security Essentials Bootcamp Style
FOR 610:Reverse-Engineering Malware: Malware Analysis Tools and
Techniques
FOR 508:Advanced Digital Forensics, Incident Response, and Threat Hunting
SEC555:SIEM with Tactical Analytics
SEC504:Hacker Tools, Techniques, Exploits and Incident Handling
SEC511:Continuous Monitoring and Security Operations
SEC599:Defeating Advanced Adversaries - Purple Team Tactics & Kill Chain
Defenses
ICS 515: ICS Active Defense and Incident Response
その他のSANS Tokyo Autumnコース

27. SANS Japan:
https://sans-japan.jp/index.html
SANS org:
https://www.sans.org/
オンライントレーニングや資格試験付きのものもあります。
申し込み

28. AWS re:Invent 行く人達は知ってい
る
「Justify Your Trip」というサイト：
https://reinvent.awsevents.com/info/j
ustification-letter/
上司にメールでre:Inventに行かせて
くれっていうテンプレートが公開さ
れている。
研修予算を確保しよう！

29. ひとまず東京または近隣在住の方向け
http://bit.ly/justifyyoursans
上司にメールでSANSに行かせてくれ
っていうテンプレートを公開しました
。
きっとこれでSANSにいけます！
知らんけど
SEC545用に作ってみた[Justify Your SANS]

30. SEC545.4の中で紹介されたツールの中から2つ紹介

31. インシデントレスポンスを行うためのコアエンジン
コマンドの実行でインシデントレスポンスに必要となるいくつかの操作を行
える
アクセスキーの失効
ホストの分離やシャットダウン、スナップショットの取得
フォレンジックキャプチャをs3にホストする等
https://aws-ir.readthedocs.io/en/latest/index.html#
AWS-IR

32. 実行中のLinuxインスタンスからメモリダンプを作成するツール
リモートシステムのカーネルバージョン等が確認されている前提で、
適切なLiMEメモリモジュールがロードされ、システムメモリがsshト
ンネルを介してインシデントレスポンダのワークステーションにスト
リーミングされる。
メモリダンプはディスクにも、s3バケットに直接ストリーミングも可
https://margaritashotgun.readthedocs.io/en/latest/index.html
Margarita Shotgun

33. IIJさんの秀逸な資料
https://www.slideshare.net/IIJ_PR/ss-121246301
フォレンジックの重要性

34. クラウドWebネットにおけるIRの例
snapshot
CloudWatch Logs
AWS
CloudTrail
IAM
AWS
WAF
SES
security
group
RDS DB
instance
Route 53
VPC Flow Logs
/DNS Logs
CloudWatch
Event
Lambda
Amazon
GuardDuty
隔離
log bucket
instance
EBS
instance instance
EBSEBS
Auto
Scaling
Malicious
Instance & EBS
log bucket
Lambda
保全
該当Security Groupから該当インスタ
ンスを削除し、新規インスタンス追加
Outbound Denyの
Security Groupにより感
染インスタンスを隔離
GuardDutyのFindings
により感染インスタンス
が特定
VPC内は普遍的な
Web+DBの構成
AWS WAFを利用
ログはS3 Bucketへ
GuardDutyの
Findingsで感染特定
接続元IPの自動遮断
Lambda
接続元IPの遮断
WAFシグネチャの更新等 フォレンジック

35. クラウドWebネットにおけるIRの例
snapshot
CloudWatch Logs
AWS
CloudTrail
IAM
AWS
WAF
SES
security
group
RDS DB
instance
Route 53
VPC Flow Logs
/DNS Logs
CloudWatch
Event
Lambda
Amazon
GuardDuty
隔離
log bucket
instance
EBS
instance instance
EBSEBS
Auto
Scaling
Malicious
Instance & EBS
log bucket
Lambda
保全
該当Security Groupから該当インスタ
ンスを削除し、新規インスタンス追加
Outbound Denyの
Security Groupにより感
染インスタンスを隔離
GuardDutyのFindings
により感染インスタンス
が特定
CloudWatchEvent
を元にLambdaで
感染インスタンス
の隔離と新規イン
スタンス追加
隔離インスタンス
の保全
マルウェアフォレ
ンジック 接続元IPの遮断
WAFシグネチャの更新等
Lambda
フォレンジック
この部分に
適用できそう

36. オペレーター端末側に以下の環境
Python3.4以上の環境
AWS CLIをインストール
AMI用のLiMEメモリモジュールの作成(メモリダンプに必要)
$ sudo yum install -y kernel-devel-$(uname -r)
$ git clone https://github.com/504ensicsLabs/LiME.git
$ cd LiME/src
$ make
$ cp *.ko ~
・2018/11/04時点で最新のAmazonLinux2のAMI
amzn2-ami-hvm-2.0.20181024-x86_64-gp2 (ami-
013be31976ca2c322)
・Kernel：
4.14.72-73.55.amzn2.x86_64
準備

37. --case-number ケース
番号をつけれる（ログ
を保持するのに便利）
--bucket-name インシ
デントの結果を格納す
るために使用される
S3バケット名を指定
特に指定しないとこんな感じ
のバケットが生成される。
AWS-IR

38. AWS IRで行う作業内容をPluginで指定。
スナップショットを取る、ホストを停止させる等
AWS-IR

39. $ aws_ir --case-number 001 --bucket-name secjaws11-ir --examiner-cidr-range
54.205.83.117/32 instance-compromise --target 18.204.197.239 --user ec2-
user --ssh-key ~/.ssh/secjaws11.pem --plugins
gather_host,isolate_host,snapshotdisks_host,examineracl_host
総じて投げてみたコマンドはこんな感じ。
AWS-IR

40. 〜中略〜
フォレンジック端末からのみアクセ
ス可能なSGに変わる
（このログでは54.205.81.117のみ）
自動でSnapshot取得
AWS-IR

41. key-compromiseでは利用中のアクセ
スキーを失効させることが可能。
AWS-IR

42. $ margaritashotgun --server 18.204.197.239 --module lime-4.14.72-
73.55.amzn2.x86_64.ko --username ec2-user --key ~/.ssh/secjaws11.pem --
filename mymemcap.lime
Margarita Shotgun
総じて投げてみたコマンドはこんな感じ。

43. Margarita Shotgun
準備の段階で作っ
たLiMEメモリモジ
ュールを指定しな
いと、メモリダン
プが行えない。
作成されたメモリ
ダンプを必要に応
じてフォレンジッ
カーに連携

44. フォレンジック専門家に依頼？それとも？
https://digital-forensics.sans.org/community/downloads

45. Secure DevOps Toolchain

46. SANSの紹介
SEC545のコース内容紹介
SANSの予算確保の仕方
AWS-IRの紹介
Margarita Shotgunの紹介
Review