Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
クラウドエンジニアが本音で語る!
NTTドコモはAWSのセキュリティをこう考えた
福田 俊介
トレンドマイクロ株式会社
プロダクトマーケティング本部
Deep Security担当
守屋 裕樹 様株式会社NTTドコモ
イノベーション統括部クラウドソリューション担当
2 Copyright © 2016 Trend Micro Incorporated. All rights reserved.
職歴
福田俊介トレンドマイクロ株式会社プロダクトマーケティング本部法人製品マーケティング部
≪2015年~現在≫ サーバ向け製品”Deep Security”のプロダクトマーケティングを担当。2018年からネットワーク型IPS製品“TippingPoint”も担当。
守屋裕樹株式会社NTTドコモ
イノベーション統括部クラウドソリューション担当
職歴
≪2013年~現在≫社内外パブリッククラウド利用コンサルティング
ドコモグループ内向け共通基盤(Deep Securityなど)開発運用
第000893号
3 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
本日のAgenda
① NTTドコモが考える「AWS×セキュリティ」
② トレンドマイクロが考える「AWS×セキュリティ」
③ NTTドコモがTrend Micro Deep Securityを採用した理由
④ NTTドコモはAWSとDeep Securityをどう使っている?
ドコモ様のスライド トレンドマイクロのスライド
NEXT:ドコモのAWS利用
4 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
NTTドコモのAWS利用の特徴
• 2012年から本格的に利用開始
• サービス系を中心に約400のAWSアカウントを運用中
• CCoE(Cloud Center of Excellence)チームの存在
NEXT:ドコモの社内体制
5 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
ドコモ社内体制
AWSを利用するプロジェクト
プロジェクトA プロジェクトB プロジェクトC
ドコモCCoEチーム連携
(サポート契約)
ガイドライン/テンプレート作成共通基盤開発運用
提供
・問い合わせ・フィードバック・ノウハウ蓄積
コンサル提供
フィードバック事例・ノウハウ反映
個別問い合わせ
NEXT:ドコモが考えるセキュリティポイント
6 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
ユーザとしてのAWS利用のポイント
「責任共有モデル」は全てのベース
重要なのは「何を守りたいか」• チェックリストを埋めることがセキュリ
ティ対策ではない,チェックリストで記載されている対策事項の本質を考える
• 守るべきものを守ることがセキュリティ対策
• ホワイトペーパーや第三者認証レポートにてAWSの統制や対策を確認
• AWS Artifactの活用
NEXT:ユーザの責任範囲…ポイントは?
7 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
“ユーザ”が実施すべき対策
ソフトウェア脆弱性管理ウイルス対策ファイアウォールIDS/IPS改ざん検知ネットワーク管理構成管理暗号化アクセス制御権限管理可用性/バックアップ監視 etc…
AWSの機能で対策
ユーザ独自で対策
ガイドライン化テンプレート化
どう対策する?効率的な方法は?
ドコモの場合
NEXT:トレンドマイクロはどう考える?
8 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
AWS×セキュリティ 「責任共有モデル」
クラウドのセキュリティに
責任
クラウド”内”のセキュリティに
責任
具体的には?
NEXT:ユーザの責任範囲…ポイントは?
9 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
攻撃フェーズに合わせた対策4.侵入拡大
情報漏えい/改ざん3.2.初期潜入1.事前準備
攻撃手法
バックドア設置
環境確認・侵入ウイルス設置脆弱性の悪用
ポートスキャン
脆弱性探索 アクセス権奪取
情報漏えい改ざん
攻撃手法
環境確認・侵入ウイルス設置脆弱性の悪用
ポートスキャン
脆弱性探索 アクセス権奪取
NEXT:AWSの機能だけで完結?
10 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
攻撃フェーズに合わせた対策4.侵入拡大
情報漏えい/改ざん3.2.初期潜入1.事前準備
バックドア設置
防御方法
コンプライアンス準拠
脆弱性棚卸し
パッチ適用
IPSによる脆弱性攻撃通信の遮断
ウイルス対策
C&C通信検知
変更監視
ユーザ認証
DB暗号化
コマンド実行検知・遮断
攻撃手法
環境確認・侵入ウイルス設置脆弱性の悪用
ポートスキャン
脆弱性探索 アクセス権奪取
大量の認証試行検知
意図しないSQL文検知・防御
IDSによる疑わしい通信の検知
攻撃方法から見た防御のキーワードは
「脆弱性対策」「多層防御」
NEXT:AWSの機能だけで完結?
11 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
AWSの機能・サービスで完結する?
ファイアウォール ユーザー認証
セキュリティ診断 アクセス制御
データ暗号化
施設
サーバ
ネットワーク
法規制対応 物理冗長性
ストレージ
ハイパーバイザー
IAM Amazon Inspector
AWS KMS AWS WAF AWSConfig
AWS Direct Connect
Amazon VPC
security group
Amazon CloudFront
セキュリティ診断
インシデント・レスポンス
アンチマルウェア IPS/IDS,WAF
フォレンジックフォレンジック
snapshot
AWS Trusted Advisor
AWS Shield
<AWSが責任を持つ範囲>
<AWSの機能でセキュリティを保てる範囲>
AWSが対策を実施している範囲
AWSのセキュリティ機能を使って対策する範囲
AWS以外のサービスを
利用する範囲
<AWS以外のサービスを利用する範囲>
NEXT:ドコモ・トレンドマイクロの共通認識
12 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
NTTドコモ・トレンドマイクロの共通認識
• AWSセキュリティのベース・キーワード⇒ 「責任共有モデル」
• ①AWSの機能で実装するもの②セキュリティ製品・サービスで対策するもの⇒ この2つを分けて考えて対策する
セキュリティを考える時に気を付けたことは?
NEXT:ドコモが気を付けたこと
13 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
セキュリティ対策で避けたいこと
AWSのベストプラクティスボトルネックを排除する
スケールしやすい構成にする
セキュリティ対策したらボトルネックが発生し,パフォーマンスが低下
ユーザの腕の見せどころ!!
セキュリティ対策したら,密結合化してスケールしづらい構成に
NEXT:Deep Security採用理由①
14 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
• ホストインストール型のため,ネットワーク型に比べ,ボトルネックになりづらい
• AutoScaling対応もされており,スケールに対応している
• AWS APIを利用した連携(クラウドアカウントなど)が可能
Trend Micro Deep Securityの採用
NEXT:Deep Security採用理由②
15 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Trend Micro Deep Securityでの対策
ソフトウェア脆弱性管理ウイルス対策ファイアウォールIDS/IPS改ざん検知ネットワーク管理構成管理暗号化アクセス制御権限管理可用性/バックアップ監視 etc…
AWSの機能だけで対策しきれない部分を幅広くDeep Securityでカバー
NEXT:Deep Securityとは
16 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Trend Micro Deep Securityとは
Deep Security Manager
Deep SecurityAgent
物理環境 仮想環境
Deep SecurityVirtual appliance
クラウド環境
Deep SecurityAgent
サーバを多層防御する総合サーバセキュリティ対策製品
NEXT:Deep Securityの優位性
17 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Deep Security on AWS 優位性
守屋様より
【ボトルネックになりにくいホスト型】 【AutoScaling対応】
1. セキュリティ製品の
スループットに依存しない
2. 万一障害時の影響も
インスタンス単位
3. 必要な時に必要なだけ使える
AWS Management Console
Deep Security Manager
Deep SecurityAgent
同期
増加したAgentを自動登録
NEXT:機能面以外にも採用理由が?
18 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
事例の多さ
AWS上でDeep Securityを導入した事例が多い
調べると導入方法や設定方法などの情報がたくさん出てくるので参考にしやすい
Deep Security AWS 検索
NEXT:どんな事例がある?
19 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Deep Security on AWS導入企業(一例)
(※社名順不同)
NEXT:市場シェアNO.1
Copyright 2017 Trend Micro Inc.20
MARKET LEADER
in server security for 7 straight years!
Symantec
Intel
Other
30%
Source: IDC, Securing the Server Compute Evolution: Hybrid Cloud Has Transformed the Datacenter, January 2017 #US41867116
NEXT:Gartnerも認めた製品
Copyright 2018 Trend Micro Inc.21
16 of 21 controls!
Trend Micro delivers the most cloud security
controls of all security vendors evaluated
Market Guide for Cloud Workload
Protection Platforms
Published: 22 March 2017
Analyst(s): Neil MacDonald
NEXT:テクニカルサポート
22 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
トレンドマイクロのテクニカルサポートサポート体制に満足しています。 & メーカーのサポート/技術力があるため、安心して顧客に提供できる。
サポートに安心感がある※ 2017年2月実施 Deep Securityユーザ向け利用実態調査より抜粋
有償サポートの満足度(5点満点)
1 2 3 4 5
数回利用しているが、対応が丁寧で迅速である。
満足度:93.4%
平均:4.69
スタンダードサポートの満足度(5点満点)
1 2 3 4 5
満足度:90.8%
平均:4.30
※ 2017年にお問い合わせいただいたサポートケースでご回答いただいたアンケートから抜粋
NEXT:オンライン資料
23 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Deep Security オンライン資料
【Deep Securityヘルプセンター】
• Deep Security開発チームからの情報発信も含めた全世界共通のサポート情報ページ。
• 製品の使い方(管理者ガイド)が情報の中心。
【Deep Securityサポートページ】
• 日本のテクニカルサポートチームが作成しているサポート情報ページ。
• 日本のお客さまからのよくある質問などをFAQ化。
• アップグレードガイドなどの各種手順書も公開。
https://success.trendmicro.com/jp/product-support/deep-security-10-0
http://esupport.trendmicro.com/ja-jp/enterprise/ds/top
https://help.deepsecurity.trendmicro.com/10/0/ja-jp/Welcome.html
NEXT:オンライン資料について
24 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
確かにオンライン資料は多いけど…
運用者にとって十分な情報ではないことも。
ユーザやSIerが書いているブログ・記事が多数ヒット。⇒ 実運用に則して書かれているので
分かりやすいことが多い。
Deep Security アラート 検索
NEXT:ドコモのセキュリティ運用
25 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
セキュリティの運用背景
• セキュリティポリシーはプロジェクト(≒AWSアカウント)単位• 運用もプロジェクト(≒AWSアカウント)単位
AWSアカウントA AWSアカウントB AWSアカウントC
運用者A 運用者B 運用者C
別の運用体制 別の運用体制
別の運用体制NEXT:ドコモのセキュリティ運用
26 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
対策すべきこと
ドコモセキュリティ基準
Start
機密情報あり
機密情報なし
インターネット公開あり
インターネット公開なし
インターネット公開あり
インターネット公開なし
Webサーバあり
Webサーバなし
Webサーバあり
Webサーバなし
Webサーバあり
Webサーバなし
Webサーバあり
Webサーバなし
プロジェクトB
プロジェクトA
対策すべきことがプロジェクトによって異なるNEXT:ドコモのセキュリティ運用
27 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
対策の実施方法
AWSアカウントA AWSアカウントB AWSアカウントC
ドコモ社員A ドコモ社員B ドコモ社員C
運用パートナー様(A社) 運用パートナー様(B社) 運用パートナー様(C社)
運用支援 運用支援 運用支援
対策の実施方法がプロジェクトによって異なる
NEXT:ドコモから皆さまへ
28 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
セキュリティの運用時のポイント
• 対策レベルに合わせた対策 各対策レベルに必要な対策ができること “過度”な対策を強いることで効率を損なわないこと
• 対策方法の柔軟な選択 各プロジェクトの特性に合わせた対策が実施できること
「何を守りたいか」を意識して各プロジェクトで対策
NEXT:Deep Securityどう使っている?
29 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Deep Security Manager共通基盤DSM共通基盤
Internet
ELB
EC2
EC2
NATGateway
EC2 EC2
接続先をスケールさせるため,DSM-DSA間はインターネット接続グローバルIPアドレスを
持たない状態でもNAT経由でDSMに接続可
プロジェクトA プロジェクトB プロジェクトC
NEXT:ドコモ×AWSの方向性
30 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
今後のAWS活用
ーAWSはビジネスを成功させる手段ー
• AWSの良さであるAgilityやScalabilityなどを損なうことなく,AWSを使いこなす
• これまで蓄積してきたノウハウを積極的に活用し,効率化や自動化していく
• 新しい技術やサービスは積極的に取り入れる
NEXT:ドコモのノウハウ?
31 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
共通基盤化ガイドライン
インシデント対応ガイドライン IAMデザインパターン
クラウド開発ガイドライン セキュリティデザインパターン
システム移行ガイドライン
1年目19万円/年 2年目以降10万円
ノウハウの活用
NEXT:Deep Securityの方向性
32 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
Trend Micro Deep Securityの方向性
• AWSの使い方・セキュリティの考え方ともに時代の最先端をゆき、スタンダードを作ってきたNTTドコモ様。
• あのドコモ様にご採用いただけるレベルの製品。– 製品機能・安定性・市場シェア・オンラインの情報(ブログなど)
これまで
安心
そして、これから
• 製品安定・安心感だけではなく、更にAWSとの親和性を高く。
• セキュリティがAWS利用促進の妨げになってはいけない。
▶ AWS連携強化・セキュリティ自動化の推進。 最適化NEXT:最後にまとめ
33 Copyright © 2018 Trend Micro Incorporated. All rights reserved.
本日のまとめセキュリティで気を付けるポイント
NTTドコモ様がDeep Securityを選んだ理由
1. ホスト型(ソフトウェア)のためボトルネックになりづらい
2. AutoScaling対応やAPI連携などAWSとの高い親和性
3. AWSの機能では対策しきれない範囲を広くカバー
Deep SecurityならAWSのセキュリティも安心!
• AWSセキュリティのベース・キーワード ⇒ 「責任共有モデル」
• 脆弱性を利用した攻撃への対策+多様な攻撃手法に対応する仕組み
• AWSだけで足りない機能はセキュリティベンダーの製品・サービスを利用