Mais conteúdo relacionado Semelhante a Security re:Cap 2017 (20) Security re:Cap 20173. Who am I ?
姜 貴日(Kwiil Kang)
Partner Business SE Dev.
Sales Engineer
Product:Deep Security
Alliance:AWS、Google
VMware vExpert 2013-2017
4. 宣伝:出展したのはこれ:Trend Micro Deep Security
• Trend Micro Deep Securityは、
サーバセキュリティに必要な複数の
機能を1つの保護モジュールに実装
した総合サーバセキュリティ対策製
品です。
• サーバ管理者、セキュリティ担当者
が抱えているセキュリティ課題を物
理・仮想・クラウド環境にまたがっ
て、トータルに解決します。
7. <Amazon GuardDuty>
• フルマネージドかつ、継続的なセキュリティ監視お
よび脅威検出サービス
• CloudTrail や VPC Flow Logs、DNS ログ
を含む複数のデータソースからなるイベントを分
析し、インフラストラクチャの運用における異常を
特定し、機械学習を適用して脅威を非常に正
確に識別します。
<Managed Rule for AWS WAF>
• 3rd PartyからのWAFルールの提供を可能に
• Trend MicroもGlobalでは利用提供開始、
Marketplaceで購入できる(TM北米サポート)
AWS re:Invent2017 セキュリティサービスの発表
8. Amazon GuardDutyとは?
⁃ ポートスキャン等の偵察行為
⁃ C&Cサーバへの通信
- DGAを利用した通信
- ブルートフォース等のログイン試行
⁃ ビットコインの採掘の不正使用
⁃ CloudTrailの異常なアクティビティ
費用
■VPC Flow Logs and DNS Log Analysis
-First 500 GB / month ⇒ $1.18 per GB
■AWS CloudTrail Event Analysis
-Per 1,000,000 events / month ⇒ $4.72 per 1,000,000 events
※https://aws.amazon.com/jp/guardduty/pricing/
10. Amazon GuardDuty と Deep Securityの違い(2017/12/13時点)
対象リソース AWSアカウント内の全てのEC2とIAM DSがインストールされたEC2インスタンス
サービス概要 フルマネージドの継続的な脅威検出サービス
(Lambdaと連携させる事で遮断も可能)
脅威の検知、遮断を行う製品
検出ソース CloudTrail、VPC Flow Logs(ペイロードは含まれない)、
DNSクエリログ
ファイルデータ、パケットインスペクション
既知の脅威検出の
テクノロジ
AWSのセキュリティ、商用やオープンソースのフィード、顧
客提供のSTIX、感染ホスト情報、匿名化プロキシ、暗号化マ
イニングプール、ハッカーのツール等々
トレンドマイクロ提供の
-アンチウイルスパターン
-脆弱性のシグネチャ
-トレンドマイクロのBigData
未知の脅威検出の
テクノロジ
アノマリ検出
-通常と違った挙動の検出アルゴリズム(正常値との差異やML
等利用)
-大規模な研究開発体制
挙動監視
ML
変更監視、ログ監視
アプリケーションコントロール
対応する脅威の代
表的なもの
下記の実行を検出
■偵察行為
ポートスキャン、脆弱性探索
■外部通信
C&C通信、不正なDNSクエリ、DGA通信
ビットコインマイニングやビットコイン関連のDNS通信
■CloudTrailのアクティビティ
CloudTrailの無効化、Password Policyの変更
■不正なログイン試行
ブルートフォース等
※http://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-types.html
下記の実行を遮断
■許可されていない通信(ポートスキャン含む)
■C&Cや不正サイトへの通信
■不正プログラムの実行
■OSやミドルウェアへの脆弱性攻撃
■登録されていないプログラムの実行
下記の実行を検知
■サーバの改ざん
■大量の認証試行(ブルートフォースなど)
※SID218 - Introduction to Amazon GuardDuty
11. 11 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
段階的に脅威を減らす
DDoS対策
Webアプリケーションの脆弱性
OS/Middlewareの脆弱性
ウイルス対策
Webからの
脅威の流れ
改ざんの検知
AWS Shield
Deep Security
AWS WAF
• AWSのセキュリティサービスを活用し、DSと
組み合わせることでより効果的な対策を実施
ネットワークセキュリティの範囲
ネットワークセキュリティの範囲
サーバセキュリティの範囲
出口対策
ネットワーク上の不審な振る舞い Amazon GuardDutyネットワークセキュリティの範囲
アプリケーションの実行
12. Amazon GuardDuty と Deep Securityの連携
GuardDutyでポートスキャンを検知
LambdaがDSのAPIを実行
DSが推奨設定の検索を開始
DSは保護対象サーバでIPSを有効化
Deep Security GitHub:https://github.com/deep-security/amazon-guardduty
⇒コミュニティプロジェクトとして提供されていますので、日本のサポートセンターでは問い合わせ受付していません。GitHubにIssueを上げてください
14. Managed Rules on AWS WAF
・ルールは従量課金(費用はトレンドマイクロの場合)
-月額$5 in each region
-$0.20/100万リクエスト in each region
-AWS Marketplaceから購入※
※AWS Marketplaceからの購入となりますので、米国のトレンドマイクロからのサポートとなります。
16. Managed Rules on AWS WAF
AWS WAFは自分でルール作成必須
Marketplaceからトレンドマイクロのルールを購入
AWS WAFにルールを紐づける
サーバの手前でAWS WAFによる保護
・製品の契約不要
・製品/インスタンスの運用不要
・いつでも解約可能
・費用は手頃な価格
・ルールの更新はベンダーまかせ
(追加コスト無し)
https://aws.amazon.com/jp/mp/security/WAFManagedRules/
トレンドマイクロから2017/12/13時点で用意されているRuleGroup
・Apache Suite
- Apache Httpd, Apache Struts, Apache Tomcat
・CMS
- Wordpress、Drupal、Joomla