Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Perimeter DefenseAWS Shield、AWS WAFと新サービスを利用したインターネット上の脅威を検知、緩和するための最新の防御策とベスト・プラクティス
Andrew Thomas, GM, AWS Perimeter Protection
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
本日のトピックス
インターネット上の脅威
脅威を検知、検出する
脅威に対する保護と対応
標準実装された防御機能
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
インターネット上の脅威
Amazon EC2 Instances
Application Load Balancer
攻撃者
Private Subnet
ユーザ
Public Subnet
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
インターネット上の脅威の種類
DDoS攻撃 標的型攻撃
リフレクション攻撃アンプ攻撃
レイヤー3 & 4フラッド
Slowloris
SSLの悪用 HTTPフラッド
ボットとプローブ解析
SQLインジェクション
XSS
RFI/LFI
アプリケーション脆弱性
証明書のハイジャック
スピアフィッシング
CSRF
認証の脆弱性
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
DDoS攻撃の規模の推移
0
200
400
600
800
1000
1200
1400
1600
2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018
DDoS攻撃のピークサイズ(Gbps)
Largest DDoS Attacks
MemcachedAttacks
MiraiAttacks
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
全てのユーザを守る標準実装された防御機能
すべてのAWSリージョンにおいてAWSリソースに対する典型的なネットワーク層、トランスポート層のDDoS攻撃を自動的に防御
Amazon CloudFront と Amazon Route 53 利用時におけるネットワーク層、トランスポート層のすべての既知の攻撃に対する包括的な防御
AWS Shield Standard
AWS Shieldに検知されたAmazon CloudFront と Amazon Route 53に対するネットワーク層とトランスポート層の攻撃の99%は、1秒以内に緩和
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
全てのユーザを守る標準実装された防御機能
AWSは、数千件のDDoS攻撃を毎日検知し、緩和しています
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
脅威の検知/検出
Amazon GuardDuty
AWSアカウントやワークロードを守るためのインテリジェントな脅威の検知と継続的なモニタリング
Amazon Macie機密情報を検出、分類、保護する機械学習を使ったセキュ
リティーサービス
AWS ShieldAWSのネットワークから集計したデータをもとにDDoS攻
撃を検知
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon GuardDuty
GuardDutyを有効化
コンソール上の数クリックで運用、管理が必要なセキュリティソフトやインフラを導入せずにすべのAWSアカウントを監視
継続的な分析 インテリジェントな脅威検出
自動的にネットワークとアカウントの活動をスケーラブルに分析し、AWSアカウントを広範囲に
継続的に監視
GuardDutyは、AWSセキュリティとサードパーティの脅威インテリジェンスとマネージド・ルール、異常検出、機械学習を組み合わせインテリジェントに不正または、権限
のない行動を検出
アクション
アクション
コンソール上の検出内容と詳細をレビューし、イベント・ワークフロー管理システムと連携、または、修正と防止の自動化のために
AWS Lambdaをトリガー
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
GuardDutyで検出できるものとは?
RDPブルートフォース攻撃RDPブルートフォース攻撃
RATの
インストール
RATの
インストール
DNS経由で一時的IAM認証情報を抽出
DNS経由で一時的IAM認証情報を抽出
一時的認証情報を使ったAPIのプローブ
アカウント不正利用の試み
不正、不審なIPに接続
異常なポート DNS 抽出
RDP ブルートフォース攻撃
異常なトラフィック量ブラックリストされたサイトへの接続
解析
匿名プロキシ
インスタンス外での一時的セキュリティ認証情報の使用
異常なISP
Bitcoinの活動
異常なインスタンスの起動
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Macie
• PII と個人情報
• ソースコード
• SSL証明書, 秘密鍵
• iOS/Android アプリ署名鍵
• データベースバックアップ
• OAuth や Cloud SAASのAPIキー
機密情報の発見、分類、保護
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Shield: DDoS攻撃の検知
Agg
Agg
AggCustomer A
ShieldAPI
Cloud-Watch
Agg
Customer B
ルーターのNetflow
アプリケーションのログ
DB
• Signatures• Heuristics• Baselining
Evaluators
• シグネチャーマッチ• ヒューリスティック分析• ベースライン分析
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Shield Advanced: 可視化とレポーティング
CloudWatch メトリクス
• アラート用のリアルタイムCloudWatchメトリクス
• 15種類のメトリクス
• 数種類の攻撃手法 –SYNフラッド、 HTTPフラッド、 など
診断レポート
• 優先順位付けのためのアタックの詳細
• トップのIPアドレス、ASN、国、 リファラー、など
• HTTPリクエストのサンプル
• AWS WAFのルールでインシデント対応を自動化
Global Threat レポート
• 1時間ごとに更新されるAWS全体で見られる脅威のトレンド
• 最大の攻撃、最多の攻撃手法、など
• Threat Levelの指標など
• 過去2週間、3日間、24時間の傾向とトレンド
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
脅威に対する保護策と修正
AWSは、既知の脅威からアプリケーションを守るための様々方法を提供
増加傾向にある脅威には、AWSのツールとサービスを使いインシデント対応を自動化
防止策インシデント対応
AWS WAF不正なWebリクエストの
検知とブロック
AWS Shieldマネージド型DDoS対策
AWS Firewall Manager
Organization全体にWAFルールを適用
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Shield Advanced
検出とモニタリング項目の追加
大規模なDDoS攻撃からの保護
攻撃の検知と緩和状況を可視化
AWS WAF と FW Manager が無料で利用可能
24X7 DDoS Response Team
コスト保護 (DDoSによりコストの吸収)
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Shield Advanced
Web アプリケーションHTTP/HTTPSプロトコルを利用するWebサイトと
API
Web Socketsマルチメディア・
チャットやソーシャルフィードのようなインタラクティブなTCPアプリケーション
Amazon CloudFront
Application Load Balancer
Classic Load Balancer
Elastic IP address
Amazon Route 53
UDPアプリケーションマルチプレイヤーのゲームアプリ、DNS、VOIPなどのUDPアプリケーション
DNSAmazon Route 53 上の
ゾーンを保護
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
例:Shield AdvancedによるUDPゲームの保護
攻撃者
ユーザ
AWS Shield Elastic IP Address
Network Load Balancer
Amazon EC2 Instance
Public Subnet Private Subnet
Security Group Web App Security Group
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAF標準機能の防御策
攻撃者
ユーザ
AWS WAF
Cross-Site Scripting
SQL インジェクション
Web サーバX
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS MarketplaceのWAFマネージドルール
• OWASP Top 10
• Bot Protection
• IP レピュテーションリスト
• CVE バーチャルパッチ
• CMS 保護
• CMDバーチャルパッチ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
3つの簡単なステップでデプロイ
WAFコンソールかAWS Market Placeで必要な
ルールを発見
クリックして
Subscribe
AWS WAFでルールの紐づけ
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAFManaged Rules from Imperva
株式会社 IMPERVA JAPANシニア セールスエンジニア福本 淳
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Impervaの技術とAWS WAF向け製品の関係
1. Managed Rules for IP Reputation 2. Managed Rules for WordPress Protection
22
SecureSphere WAF 相関攻撃検証エンジン
Attack Analytics :Imperva WAFアラート分析サービス
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Imperva が提供するAWS WAF向け製品
1. Managed Rules for IP Reputation 2. Managed Rules for WordPress Protection
• レピュテーションベースのセキュリティ
• コメントスパムを排除
• サーチエンジンのアクセスを確保
• WordPressを利用して構築されたWebアプリケーションを保護
• WordPressの脆弱性を標的とするリクエストを検出してブロックする
• 業界最先端のWAF技術と自社のセキュリティネットワークを活用したベストプラクティス
• 新たに発生する脅威からの保護を確実にする
セキュリティ研究チームが定期的にルールセットを監視、調整、更新
23
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Imperva Managed Rules ご利用について
購入は AWS上でのみ可能です
• AWS MarketplaceでImpervaのルールセットをご購入いただくか、AWS
WAFコンソールでご選択ください
サポート窓口は専用メールアドレスへ直接のお問い合わせのみとなります
購入前のお問い合わせも、上記サポート窓口でお受けいたします
トライアルサービス等の無償・減額提供は行っておりません
※2018年6月1日現在の情報です
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAFManaged Rules from F5
F5ネットワークスジャパン合同会社セールスエンジニアリング本部 統括部長牧田 延大
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Managed Rules for AWS WAF
Web Exploits OWASP Top 10
Common Vulnerabilities & Exposures (CVE)
汎用的なWeb Application攻撃の対策をしたい
- SQLi- XSS- Command Injection- Path Traversal
- Apache, IIS- Apache Struts- Bash- Elasticsearch- JBoss, JSP, Java- MySQL, Node.js, WordPress,…
#1
ミドルウェアの脆弱性対策をしたい
#2 #3
ボットによる不正アクセスを防ぎたい
Bot Protection
- Vuln. scanners- Web scrapers- DDoS tools- Spam tools
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
リソース枯渇&ユーザ体験に「効く」 ボット対策
77% データ漏えいのうちBotnetが引き金になった
〜 Verizon 2017 DBIR
悪性ボット
AWS WAF +F5 Managed Rules
F5 Web ApplicationFirewall
良性ボット
DoS
ブルートフォース
買占め
情報収集
チャットボット
死活監視
クローラ
ビジネスゴール
想定外のアウトバウンドトラフィック
正規ユーザのユーザ体験低下
高度化する攻撃に対するセキュリティリスク
プロアクティブなボット対策+セキュリティ
ビジネス上
不要なボットリクエスト排除
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Organization内のアカウントやアプリケーションに跨るWebアプリケーションファイアウォールのルールを一元管理、設定するためのセキュリティー・マネージメント・ツール
AWS Firewall Manager
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS Firewall Managerの主な利点
組織全体にわたって必須なルールの適用
を保証
複数のアカウントやアプリをまたいだルールの管
理を簡素化
AWS MarketplaceからWAFのルールを簡単に
デプロイ
インターネットの攻撃に素早く対応
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
代表的なユースケース
PCI準拠のためOWASPのルールをデプロイ
• PCI DSS 3.0 要件6 では、OWASP Top 10のようなルールを含むWAFの展開
を推奨
• AWS Marketplaceのマネージドルールに subscribe
• OWASPのルールがPCI対象としてタグ付けされたリソースに適用されているこ
とを保証する
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
インシデント対応の自動化
Amazon GuardDutyGuardDutyの検出内容をAWS WAFに自
動的に反映
AWS Security Automations
組織内のすべてのALBまたはCloudFrontディストリビューションの
WAFルールを簡単に設定
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS WAFによるセキュリティの自動化
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
GuardDutyの検出内容を自動的に修正
Amazon GuardDuty
Amazon CloudWatch
CloudWatch Event
Lambda Function
AWS Lambda
Account 2
Account 3
Account 1
Firewall Manager
AWSWAF
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
まとめ
インターネット上の脅威
脅威を検知、検出する
脅威に対する保護と対応
標準実装された防御機能
© 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you!