AWS継続的セキュリティ実践ガイド ログの収集/分析による監視体制の構築
日比野恒(著)
/翔泳社
作品情報
クラウド上のシステムの安全はどこから手をつければいいのか?AWSのセキュリティ、その考え方と実践オンプレミス環境中心だったエンタープライズシステムはいまや、クラウド環境への移行が本格化しています。特に、手軽にスモールスタート可能なパブリッククラウドへの移行はすっかり一般的になりましたが、機密性の高いデータを誤って公開してしまったり、適切な設定がされていなかったりと、クラウド環境ならではのセキュリティインシデントが発生するようになってしまったのもまた事実です。このような現代において、クラウドを主戦場とするシステム管理者/開発者には、従来どおりの、つまり「オンプレミス/クラウド共通の」セキュリティ管理を学ぶことはもちろん、「クラウド特化型の」セキュリティ管理の原則を学ぶことも必須となっています。それは、責任共有モデルなどクラウド固有の考え方を正しく知ることでもあり、同時に、クラウド利用によって得られる開発手法の変化や開発スピードの加速といった技術進歩にいち早く対応することでもあります。変わり続けるシステム構成や機能、それらに対応し続けながら、リアルタイムにリスクを検知し、ビジネスの損失を最小限に抑えるアプローチ、それが継続的セキュリティです。継続的セキュリティを実現するための鍵となるのが、システムが出力するさまざまなログを含めたイベントデータの取扱いです。本書を読めば、継続的監視に必要なロギング、そして取得したログの集約や可視化、探索的分析などの活用方法を学ぶことができます。最大手のパブリッククラウドサービスの一つであるAWS(Amazon Web Service)を実例として、基本的な知識・考え方にはじまり、具体的なAWS上のマネージドサービスを使ったログ活用のベストプラクティスまでをも紹介する、網羅的かつ実践的な「クラウドセキュリティの教科書」と呼ぶにふさわしい一冊です。~目次~Chapter 1:継続的セキュリティとはChapter 2:継続的監視に必要なログとはChapter 3:セキュリティにおけるログ活用方法Chapter 4:AWSサービスによる継続的監視Chapter 5:AWSによるセキュリティの検出結果Chapter 6:セキュリティインシデント調査※本電子書籍は同名出版物を底本として作成しました。記載内容は印刷出版当時のものです。※印刷出版再現のため電子書籍としては不要な情報を含んでいる場合があります。※印刷出版とは異なる表記・表現の場合があります。予めご了承ください。※プレビューにてお手持ちの電子端末での表示状態をご確認の上、商品をお買い求めください。
もっとみる
商品情報
- 著者
- 日比野恒
- ジャンル
- コンピュータ・情報 - コンピュータ・インターネット
- 出版社
- 翔泳社
- 書籍発売日
- 2023.12.22
- Reader Store発売日
- 2023.12.22
- ファイルサイズ
- 54MB
以下の製品には非対応です
この作品のレビュー
平均 5.0 (1件のレビュー)
-
自分にぴったりの教材本だった.
セキュリティ×AWSを畑とする人全員に有益.
OCSF:サイバーセキュリティ向け標準スキーマ
ASFF:セキュリティHubのエコシステムを支える標準フォーマット
SI…EM on AOS, SecurityHub, Security Lake,AppFabric → セキュリティ屋さんの飯の種が減っていきますな.
ログ活用の発展の流れ:
探索的分析→可視化→監視
ーーーーーーーーーーーーーーーーーーーーーーーーーーー
責任共有モデルは管理責任を分けているのみ。説明責任は対象としない。→AWS管理責任範囲の事故でお客様向けアプリに影響が出ても説明責任を果たさないといけないのは企業
Caputal One -> 教科書のようなクラウド事故 SSRF
クラウド化により,システムにかかるコストは「設備投資」から「経費」に
ISO27001:2022
要求事項が114から82に.
脅威インテリジェンス,クラウド,セキュアコーディングなど.
NIST CSFはNIST Sp800シリーズの親 p23
AWS SecurityHubはベースラインアプローチ,リスクベースアプローチの両輪
ベースライン:構成情報,セキュリティ基準とのGap
(CISB,AWSベスプラ,PCIDSS,NIST SP800-53
リスクベース:脅威などのイベント情報
ログで何ができるか…
・デジタルマーケにおけるユーザの行動分析
・システムの監視
・マイクロサービスのオブザーバビリティ
ログを使ったセキュリティ業務は様々
・監査
・監視
・フォレンジック
・脅威ハンティング,監視ロジック開発
フォレンジック:リアクティブな行為
ログが”法的に効力のある状態”=
改ざんされてない状態を保証できること”である必要
SIEM,監査:プロアクティブな行為
P41 AWS環境におけるログ全体概要図
P42 セキュリティ業務で使用するログ
コンテナログの取得はFireLens
FLuentd
https://tech-lab.sios.jp/archives/37271
CloudTrail
・KMSとRDSのイベント記録を除外できる→ログ量が多く,コストが増え,ノイズになりがち
・インサイトイベント→ ベースラインからの逸脱を検知.かこ7日がベースライン
CLoudTrail Lake
・S3+Athena(ログ保存と検索)と同じようなことができる.
SSM
・マネコンからEC2インスタンス操作できる.(AWSログイン必要)
・Fleet ManagerはRDPの代わりになるもの(AMCでGUI操作)
・SSMを使う場合のシェル操作やパワーシェル操作は記録可能.S3バケットorCWLogsロググループ
・CWLogsへの出力はリアルタイム形式とバッチ処理形式.リアルタイム(ストリームセッションログ)推奨
・SSH over SSMは記録できない.
・SSMするEC2はインターネットアクセスが必要.インターネット通信NGの場合はVPCエンドポイントが必要.IAMロールも必要.
RDS/Aurora
→採用するサービスやミドルウェアによって,ログ取得の方法や,ログの形式が異なる.
・SQL文の内容を監視することは現実的ではない.何をもって不正かの判断が難しい.
・CWLogsのイベントサイズに上限があり,また緩和もできない.SQLログが長くい場合ログが取れず,また再送もされない.
・MySQLとMatiaDBの監査ログはMariaDBのプラグインを使って出力する
・SQLの結果をロギングしてしまうとログ保管場所にDBが持つ機密情報と同等の情報を持つことになる.
□NetworkFirewall
IPS/IDSの仕事をする.名称的にファイアウィールを想起するが
実際はOSSのIPSであるSuricata
Suricata互換ルールをサポート
SYNフラッド,BoF,OS脆弱性攻撃
ただ,アウトバウンドのフィルタも可能(Proxy的運用)
・ログは2種類:フローログ,アラートログ
□WAF
・SQLE,XSS,OSコマンドインジェクション,パラメータ改ざん
・保護対象ごとにWebACLを作成.WebACLには複数のルールが配置
・いきなり遮断モードにはしない.カウントモードで様子見する
□EC2
・CWエージェント
filepathパラメータで指定したログファイルを取り込み.さらにfilterパラメータでフィルタリング可能.
□Kinesisエージェント
・FIrehoseやStreamsにOS・アプリログを転送可能
・データを事前加工して転送できる.「単一行に変換」「CSVをJSONに変換」etc
・すにでSIEM基盤を持っている場合,EC2→Kinesis→独自SIEMといった経路がとれる
□ECS/Fargate
・CWLogs
・FireLens → コンテナタスクに監視用(FireLensコンテナ)をサイドカーとして追加し,当該コンテナ経由でログを転送.中身はFluentdもしくはFluent Bits
□データレイク→DWH/データマート→監視,可視化,分析
ログの保存先:データレイクとしてはS3がおすすめ.
しかしサービスによってはCWLogsにしか出力できないものも.(CW->S3は別) p123
□Cloudwatch
・メトリクスフィルターでフィルタリング
・CWアラートで検知
・CWインサイトでクエリを用いた検索,分析,可視化
・サブスクリプションフィルターはCLIからの未設定
□ログ転送アーキテクチャとコスト→127
使い方によってコスト最適なアーキが変わる.
□Security Lake
・2023年5月にGAした新サービス
・s3をデータレイクにみたてたマネージドサービス
・実体はS3,Lake Formation,Glue,SQS,Lambda,EventBridge
□ログの探索的分析 p138
・ログはとって終わりではない.しかしどんな情報が得られるか”試行錯誤”が必要
→この作業を探索的分析と言う
→ログで「できること」と「やりたいこと」のマッチング作業
□可視化
SIEM on AOS -> Githubにダッシュボードを構成するためのファイルがあり即使用可能
Cloudtrail Lakeもダッシュボード機能あり
□SecurityHub
・AWS Configの併用必須.Hubを有効にしたらConfig Rulesが作られる
・ベンチマークの一つ,AWSベスプラは更新頻度高い.(数ヶ月おき)CISBは数年
・23年3月からNIST SP800-53対応
・実運用では100%を目指さない.不要なコントロールの除外などを実施してチューニング.
・「コントロールの無効化」で各チェック項目を無効化できる
・PCIDSS最新版はv4.0しかしHubではv3.2.1
・「FIndings」検出されたセキュリティリスクのこと.90日間Hub上に保存される.データ>インフォメーション>インテリジェンスにおけるインテリジェンスのようなもの
・マルチアカウント戦略をPRD/UAT/PRD環境とアカウントを使い分ける場合,Hubでの検知も濃淡をつけたいものであるが,現状はそのような機能を持たない.
・Configで作成したオリジナルルールをFIndingsとして検知可能.Config->EventBridge->Hubという流れ.
□PCIDSS
・カード会員データ,センシティブ認証データ,総称としてアカウントデータ.これが保護対象.
・センシティブ認証データはたとえ暗号化をしていても保存すらしてはいけない.
□GuradDuty
・取り込むログによって検知できる脅威イベントが異なる
・Lambda,EKSやEBS,RDS(Auroraログイン)も拡張機能で監視可能
・アカウント単位・リージョン単位で有効化するもの.
マルチリージョン有効化は作業が必要な点に注意
・Organizations管理下アカウントは自動有効化できる.
・脅威インテリジェンスはproofpointやcrowdstrikeのインテリジェンスも含んでいる
□Config
・AWSリソースの設定を評価,監査,審査
・デフォルト7年保持
・p264 AWS Config全体像
・マネージドルールは300ほど存在
・カスタムルールはユーザ自身で作成する.Python,Node.js
・アカウント単位,かつ,リージョン単位が基本.マルチアカウント・マルチリージョン管理には「アグリゲーター機能」を使う.監査用アカウントで「アグリゲーター」を作成する.p266
・評価モード:プロアクティブ/ディテクティブ
プロアクティブ:リソース作成,更新前にチェック
ディテクティブ:作成済みリソースに対してチェック(リソース変更時 or 定期チェック時)
・SecurituHubが有効化されると自動でRuleが作られる.ルールには「securityhub-」という接頭辞がつく.
□Macie
・S3,ストレージ型DLP
・機密情報検出,暗号化状態,共有・公開設定の状態を可視化
□Inspector
・パッケージ脆弱性,コード脆弱性,ネットワーク到達可能性を検査
・EC2にはSSMエージェントを介して検査を実施.
・EC2ではなくAMIにも検査可能
・NW到達性は「インターネットからPort80で到達可能」といった具合.
・Hubと連携可能.
・23年6月にSBOM Export機能がリリース.EC2(Linuxのみ)やECRコンテナイメージ,ラムダ関数を対象にSBOMをS3に出力できる.
□IAMアクセスアナライザー
・リソースベースポリシーをチェックしてくれる
S3,KMS,SQS,EBS,etc…
□MITRE ATT@CK IaaSマトリクス
→IaaS向けアタック
★宿題
・FLuentd
・Firelens
・監査ログ
・k8s
・AWS基礎セキュリティのベストプラクティス
・MITRE ATT@CK IaaSマトリクス続きを読む投稿日:2024.02.10
新刊自動購入は、今後配信となるシリーズの最新刊を毎号自動的にお届けするサービスです。
- ・発売と同時にすぐにお手元のデバイスに追加!
- ・買い逃すことがありません!
- ・いつでも解約ができるから安心!
※新刊自動購入の対象となるコンテンツは、次回配信分からとなります。現在発売中の最新号を含め、既刊の号は含まれません。ご契約はページ右の「新刊自動購入を始める」からお手続きください。
※ご契約をいただくと、このシリーズのコンテンツを配信する都度、毎回決済となります。配信されるコンテンツによって発売日・金額が異なる場合があります。ご契約中は自動的に販売を継続します。
不定期に刊行される「増刊号」「特別号」等も、自動購入の対象に含まれますのでご了承ください。(シリーズ名が異なるものは対象となりません)
※再開の見込みの立たない休刊、廃刊、出版社やReader Store側の事由で契約を終了させていただくことがあります。
※My Sony IDを削除すると新刊自動購入は解約となります。
お支払方法:クレジットカードのみ
解約方法:マイページの「予約・新刊自動購入設定」より、随時解約可能です続巻自動購入は、今後配信となるシリーズの最新刊を毎号自動的にお届けするサービスです。
- ・発売と同時にすぐにお手元のデバイスに追加!
- ・買い逃すことがありません!
- ・いつでも解約ができるから安心!
- ・優待ポイントが2倍になるおトクなキャンペーン実施中!
※続巻自動購入の対象となるコンテンツは、次回配信分からとなります。現在発売中の最新巻を含め、既刊の巻は含まれません。ご契約はページ右の「続巻自動購入を始める」からお手続きください。
※ご契約をいただくと、このシリーズのコンテンツを配信する都度、毎回決済となります。配信されるコンテンツによって発売日・金額が異なる場合があります。ご契約中は自動的に販売を継続します。
不定期に刊行される特別号等も自動購入の対象に含まれる場合がありますのでご了承ください。(シリーズ名が異なるものは対象となりません)
※再開の見込みの立たない休刊、廃刊、出版社やReader Store側の事由で契約を終了させていただくことがあります。
※My Sony IDを削除すると続巻自動購入は解約となります。
お支払方法:クレジットカードのみ
解約方法:マイページの「予約自動購入設定」より、随時解約可能ですReader Store BOOK GIFT とは
ご家族、ご友人などに電子書籍をギフトとしてプレゼントすることができる機能です。
贈りたい本を「プレゼントする」のボタンからご購入頂き、お受け取り用のリンクをメールなどでお知らせするだけでOK!
ぜひお誕生日のお祝いや、おすすめしたい本をプレゼントしてみてください。※ギフトのお受け取り期限はご購入後6ヶ月となります。お受け取りされないまま期限を過ぎた場合、お受け取りや払い戻しはできませんのでご注意ください。
※お受け取りになる方がすでに同じ本をお持ちの場合でも払い戻しはできません。
※ギフトのお受け取りにはサインアップ(無料)が必要です。
※ご自身の本棚の本を贈ることはできません。
※ポイント、クーポンの利用はできません。クーポンコード登録
Reader Storeをご利用のお客様へ
ご利用ありがとうございます!
エラー(エラーコード: )
ご協力ありがとうございました
参考にさせていただきます。