Upload
buikhue
View
213
Download
0
Embed Size (px)
Citation preview
Infoscience Corporationwww.infoscience.co.jp
Tel: 03-5427-3503 Fax: 03-5427-3889
Logstorage Cloud Solutions ご紹介
インフォサイエンス株式会社 プロダクト事業部
サイバー・セキュリティ・コンサルティング・チーム
安達 賢一郎
2018/02/02
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorage Cloud Solutions ご紹介
1.クラウドに於けるログ管理の必要性と課題
2.Logstorage Cloud Solutions ラインナップご紹介
3.事例ご紹介
2
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
パブリッククラウドの共有責任モデル
3
パブリッククラウドを利用する上でのユーザが負担すべき責任
・ユーザのデータ・アプリケーション・セキュリティグループ・OS/アカウント管理
・ファシリティ・物理セキュリティ・物理インフラ・ネットワークインフラ
ユーザが管理
AWSが管理
パブリッククラウドのセキュリティはユーザも責任を負う必要がある各種法令/ガイドラインへの準拠の際にも注意が必要
責任の所在 利用者 提供者
データの分類と管理 ○
クライアントの保護 ○
IDとアクセスの管理 ○
アプリケーション管理 ○
ネットワーク管理 ○ ○
ホストのインフラ ○ ○
物理セキュリティ ○
AWS EC2サービスの共有責任モデル Azure IaaSサービスの共有責任モデル
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
パブリッククラウドログの管理
4
パブリッククラウドのログを管理する目的とは?
脅威対策 コンプライアンス システム運用
考え方は通常のシステムと同じだが・・・
ログ管理を始めるタイミングがカギとなる
一般的なシステム構築
パブリッククラウド構築
設計 構築 試験 運用
設計 構築 試験 運用
ログ管理
ログ管理
一般的なシステム構築では運用開始とともにログ管理を行うケースが大半だが、パブリッククラウド構築はより早い段階からログ管理を考慮に入れて検討を行うことが望ましい
「クラウドファースト」=「ログファースト」
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
「クラウドファースト」=「ログファースト」
5
パブリッククラウドのログ管理は「構築前」から
オンプレミスでの作業 パブリッククラウドでの作業
H/W調達 実機を購入 API/Webでインスタンス作成
データセンター設置 データセンター搬入 同上
ネットワーク接続、設定 ケーブル結線ルーター設定の操作
API/Webで設定
ファイアウォール設置、設定 ファイアウォール設定の操作 同上
• パブリッククラウドシステムの構築はWebGUIやAPIで操作が行われるため、作業/操作内容が把握しづらい
• 構築時のログを残しておくことで、障害/セキュリティ事象に際して、環境の再現を容易に行うことが出来る
パブリッククラウド上のH/Wの構築状況や操作/設定内容を把握するには、構築が始まる「前」からログを収集し、構築状況を「可視化」する必要がある
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
ログや性能からコストを検討
6
性能やログからEC2インスタンスのコストを考える
Amazon EC2 0%
50%
100%
0 1 2 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
CPU使用率
0
10000
20000
0 1 2 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
ログ行数
とある業務システム用のEC2インスタンスのCPU使用率とログ量を集計してグラフ化
ログ行数からわかること
AM8時~20時まではユーザが利用しているため、ログが出力されているが、21時~翌7時まではあまり利用されていない
CPU使用率からわかること
ユーザ利用に伴ってCPU使用率が増加するが、最大でも50%に達しない
このEC2インスタンスを効率よく使うにはどうすればよいか?
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
ログに依るコスト改善
7
リソースに余裕があるEC2インスタンスの改善
awsのAPI等を利用し、利用時間のみEC2インスタンスを起動、時間外になったら自動的に停止させる
不要なEC2インスタンスを停止させ、利用料金を抑制する
インスタンスタイプの変更も合わせて実施しても良い
夜間など、一定期間EC2インスタンスを停止させて良い場合
CPUの利用率が最大でも50%を超えないため、より安価なインスタンスタイプへの変更を検討
AWSやAzureの仮想ホストはあくまで利用時間に対する課金で、CPU使用率は費用に反映されない
ただし、長期的に性能やログの出力状態を把握していないと、時期によって利用が活発化した際に対応できなくなる
原則としてEC2インスタンスを停止させられない場合
運用当初からログや性能情報をしっかりと把握し、長期的な傾向も踏まえて最適化を行う必要がある
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
ハイブリッドクラウドにおける課題(1)
8
標的型攻撃対策の必要性
標的型攻撃はオンプレミス・パブリッククラウドを問わず、どの環境からも侵入され、相互に侵害が発生する可能性があります。
標的型攻撃は侵入場所を問わない
想定される攻撃例• EC2インスタンスへのマルウェア感染• DDoS踏み台化• RDSからの重要情報漏えい
• boxからのファイル漏えい、削除標的型メール攻撃でPCがマルウェア感染
標的型攻撃を境界で防ぐことが難しくなっている上に、ハイブリッドクラウド環境はシステム構成が複雑化する傾向にあります。そのような環境下でいかに侵入をいち早く検出し、被害を押さえ込むことが重要なポイントです。
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
ハイブリッドクラウドにおける課題(2)
9
各種パブリッククラウドサービスのログ取得の実装、ログ内容はサービス毎に異なります。ログ取得処理を自ら開発・運用したり、フォーマット・意味付けの異なるログをレビューしていては、運用コストの増大を招きかねません。
システムは複雑化しても監査・管理は必要
AWSCloudTrail
AmazonEC2
運用担当者
オンプレミス
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorageでの高効率圧縮保存
10
Logstorageの高効率圧縮保存機能で• 最大1/10まで圧縮して保存→ 低コストでの長期保存可能• 圧縮した状態のままで活用可能→ 事前の展開等は不要
1日にシステム全体で10GBのログが出力される場合10GB × 365(日) = 3,650 GB必要
ログの保存期間に応じて期間は増減する例:PCIDSS 最低1年以上保存が必要
AWS EBS 上にそのままの状態で保存する場合・・・st1(Throughput Optimized)で計算すると(4,000GBで計算)$216/月、年額で約 $2,600必要になる(2018年1月現在)
より長期間保存するのであれば、コストが積み上がっていく
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorage Cloud Solutions ご紹介
1.クラウドに於けるログ管理の必要性と課題
2.Logstorage Cloud Solutions ラインナップご紹介
3.事例ご紹介
11
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorage クラウド対応ラインナップ
12
Logstorage for AWS/Logstorage連携パック for AWS
Logstorageクラウド向けログ収集モジュール
Logstorageはマルチ/ハイブリッドクラウド対応を進めています
Logstorageはパブリッククラウドサービスへの取り組みを通じて、来るマルチ/ハイブリッドクラウドへの対応を進めています。
box 監査ログ、 Office365 監査ログに対応
Logstorage Azure 連携パックアクティビティログ、仮想マシン、ストレージ、ネットワークセキュリティグループに対応
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
AWS上のログ取得のポイント
13
AWSサービスに対するアクセスログ
AWS CloudTrail
例)EC2インスタンスの作成/停止/削除AWS管理画面(Management Console)へのログイン
AWS ConfigAWSサービス・リソースの構成変更履歴
例)EC2インスタンスタイプの変更EC2が停止から起動に状態変更
Amazon CloudWatch LogsEC2インスタンス内のアクセスログVPC内の通信ログ
例)EC2内のWindowsイベントログ/Linux syslogEC2へのインバウンド・アウトバウンド
その他対応サービス
・AWS Billing - AWSの請求データ・Amazon S3上のファイルへのアクセスログ・Amazon ELB (Elastic Load Balancing)上の通信ログ
Amazon RDSRDSの監査ログ
例)SQLクエリーログ
Logstorage AWS連携 構成
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
AWS CloudTrail を見やすく分類
14
AWS CloudTrailは各サービスのログをまとめて取得
Amazon EC2
AWSLambda
Elastic Load Balancing
AmazonS3
Amazon EBS
AmazonRoute 53
AWS Direct Connect
Amazon CloudWatch
AWSConfig
AWS IAM
AWSCloudTrail
AWS CloudTrail は、AWSの各サービスのAPI呼び出しを収集可能ですが、対応サービスが多岐に渡り、ログの見方や分類にコストが掛かります。
Amazon EC2
EC2に対する操作記録を抽出
SNSに対する操作記録を抽出
AmazonSNS
Logstorage AWS 連携パック CloudTrailレポートをご利用頂くことで、サービス毎の操作履歴に分類、容易に検索・レビューが可能
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
AWS Config スナップショットレポート
15
レポート作成時点でのVPC内のリソース(ネットワーク、仮想マシン、ストレージ等)を可視化!
テキストベースでイメージしづらいAWSのネットワーク、仮想マシン構成を・・・
AWS U.S.の公式ブログでも掲載!AWS Summit でもよくご質問を頂く
好評の機能です!
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
AWS Billing レポートでEC2のコストの可視化
16
• AWSの請求金額がアカウントでまとめられてしまい、部署・利用者毎のコストを把握できない・・・
• クラウドの活用にあたってコストが跳ね上がり、どのポイントをどう改善するかが悩ましい・・・
AWS利用に当たってのコストの課題
Logstorage AWS 連携パックの「Billing レポート」機能をご利用頂くことで、AWSのタグを利用した柔軟な費用集計が可能になります。
EC2(仮想マシンサービス)、EBS(仮想ストレージ)のコストを部署、管理者毎に集計、レポート化!
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Azure 上のログ取得のポイント
17
Logstorage Azure連携イメージ
Azure Activity Log
Azure の各サービスの操作履歴
例)Azure Portalでの操作APIでのVirtualMachi起動 等
Azure Virtual Machine
仮想マシン上の操作ログ
例)Virtual Machine 上で実行されたログオンや操作 等
Azure Network Security Group
Network Security Group で発生したイベント
例)特定のルールでのアクセス許可/拒否 等
Azure Storage
仮想ストレージへのアクセス履歴
例)ストレージ上の重要ファイルの取得等
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Azure レポートサンプル
18
Azure Activity Logs (サービス操作履歴) Azure Virtual MachinesLogs(仮想ホストログ)
Azure Network Security Group(F/W) Azure Storage(ストレージアクセス履歴)
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
クラウド向けログ収集モジュール
19
box、Office365の監査ログに対応
box• アカウントのアクセス・操作ログ
Office365• Azure Active Directory• Exchange• Sharepoint
無償で利用可能です!(ST版以上)
対応する操作(例)• ファイルアップ/ダウ
ンロード• ファイル閲覧、編集• アカウント管理• 設定管理
Office365 詳細オプション(有償)
Office365 Exchangeのメッセージ追跡ログに対応
メールの送信元・送信先、タイトル、配送状況を把握することが可能です
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
ハイブリッドクラウド監視の解決策
20
ハイブリッドクラウドを統合管理することで効率的に管理する
ハイブリッドクラウドの複雑な構成を Logstorage Cloud Solutions を用いて効率的にセキュリティ対策を行うことが可能です。
運用担当者はLogstorageで横断的にログやイベントの確認が可能
オンプレミス
各環境からのログ収集、フォーマット整形、分析はLogstorageが実施
Logstorage Cloud Solutionsで、様々なパブリッククラウドのログを容易に収集、管理、監査することが可能です
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
Logstorage Cloud Solutions ご紹介
1.クラウドに於けるログ管理の必要性と課題
2.Logstorage Cloud Solutions ラインナップご紹介
3.事例ご紹介
21
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
[事例1] AWS上でのルール準拠
22
ログ収集対象
ルータ 踏み台サーバ
スイッチ NATインスタンス
認証サーバ セキュリティ端末
その他、セキュリティ管理サーバ
全顧客の AWS CloudTrailログ
全顧客の AWS Configログ
Logstorage導入目的
各種セキュリティ認証の取得(PCI DSS / ISO27001)
SOC2 への取り組み 上記への対応を通じ、セキュリティへの取り組みについて客観的な評価に基づく透明性の確保、高度なセキュリティ体制の実現
Logstorage導入環境
認証サーバ Logstorage
その他管理サーバ
踏み台サーバ
社内インフラVPC
ルータ VPN装置
閉塞網 Internet
セキュリティ端末
東京拠点
ルータ
東品川データセンター
Direct Connect(専用線接続)
セキュリティネットワーク
Customergateway
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
[事例1] cloudpack様 コメント
23
○SOC 2報告書
○PCI DSS認証
『Logstorageは、PCI DSSで求められるログの暗号化と改ざん検出に標準機能で対応しており、別の製品と組み合わせる必要なく対応できた』
『結果、PCI DSS認証取得において、ログに関する指摘事項は無かった』
『Logstorageを利用したログの一元管理はSOC2対応でも踏襲した。AWSを対象としたフルマネージドサービス事業で、国内で初めてSOC 2報告書を受領した。』
『LogstorageはAMIでも提供されるため、インストールには殆ど手間が掛からなかった』
『多くのお客様のCloudTrailのログを効率的に収集するために必要だった S3 Put Event 対応は助かった。』
○その他
cloudpack(アイレット株式会社)様から頂いたコメント
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
[事例2] 複数アカウントログの統合管理
24
複数のAWSアカウントのCloudTrail/Configログを統合管理
AWSCloudTrail
AWSConfig
複数のユーザアカウント 統合管理用アカウント
集約されたログを一括で検索、確認
ハンズラボ株式会社様
導入目的:• 内部統制、PCIDSS対応• エンジニア全員がAWSを利用しており、AWS上の作業の監視
• AWS上のログデータの統合的な管理
• ログの集中管理を行うことで、有事の際の迅速な対応
頂いたコメント(抜粋)・複数アカウントのログを集中管理でき、調べたい情報(検索結果)を得るスピードが格段に向上しました。「Logstorage for AWS」に含まれる有用なテンプレートも使用していますが、任意の検索条件を容易に作成することもできるので、目的に応じ活用しています。
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved.
[事例3] ハイブリッド運用
25
社内ルーター router LogGate(ログ収集サーバ)
ELBWebAPサーバ
AmazonRDS
LogGate(ログ収集サーバ)
Console(管理/GUIサーバ)
事業者データセンターAWSから一般ユーザ向けに
Webサービスを展開
凡 例Webサービスの経路ログデータの経路Logstorage検索処理
SecureCube AccessCheck でデータセンタ機器とAWS EC2への事前承認のないアクセスを排除
SecureCube AccessCheckのログも収集し、機器・EC2の
ログと突合する
AccessCheckを経由しない違反アクセスを監査
ログデータ自体はデータセンターとEC2でそれぞれ別個に保存し、検索結果だけをAWSから取得させることで、AWSからの転送コストを低減
オンプレミス、AWSの双方にSecureCube AccessCheckを用いて特権ID管理を実施、ハイブリッドクラウドでの不正アクセス監査を実現
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 26
Logstorage 関連資料
URL: http://www.logstorage.com/product/product_materials.html
- Logstorage ご紹介資料
- Logstorage for AWS ご紹介資料
その他、ログ活用資料掲載中。
お問い合わせ先・開発元
インフォサイエンス株式会社 プロダクト事業部
TEL 03-5427-3503 FAX 03-5427-3889
http://www.logstorage.com/ mail : [email protected]
Copyright(C) 2018 Infoscience Corporation. All Rights Reserved. 27
RPAとログの利活用について、ご相談をお受けします!
RPA(Robotic Process Automation)による業務効率の改善や働き方改革が進んでいますが、こんなお悩みをお持ちではないでしょうか。
• RPAが出力するログを管理したい• RPAを導入したが、RPAによる操作が意図したものかどうかを把握出来ているだろうか?• RPAで重要度の高い情報を処理しているが、意図しないアクセスが発生していないか?• その他・・・
RPAとログについて、弊社でご相談をお受けします。ぜひお問い合わせ下さい。
インフォサイエンス株式会社 プロダクト事業部
TEL 03-5427-3503 FAX 03-5427-3889
mail : [email protected]
お問い合わせ先