AWS環境のセキュリティ強化
クラスメソッドが考えるAWSのセキュリティ対策方法とセキュリティソリューションについてご紹介します。
AWSのマネージドサービスや様々なセキュリティサービスを活用し、安全なシステム環境を構築します。
この前提のもと、お客様環境に対する攻撃の傾向とセキュリティ対策方法を考えていきます。
責任共有モデルで考える役割分担
AWSのセキュリティは、AWSと利用者が相互に協力して達成するものです。
責任共有モデルと呼ばれる責任範囲が示されており、たとえばAmazon EC2の場合、主にOS自体やミドルウェア、
アプリケーションなどOS以上のレイヤーをユーザーが、物理サーバやデータセンターはAWSがその責任を持ちます。
参照:責任共有モデル – アマゾン ウェブ サービス (AWS)
脆弱性対策
脆弱性とは、アプリケーションやOSなどの不具合などによって発生するセキュリティ上の欠陥です。
悪意のある攻撃者はソフトウェアの脆弱性を利用して、攻撃の準備を行う脆弱性を利用した攻撃、攻撃を拡大するためにユーザーを作成したり設定ファイルを変更するといった改ざんを行う攻撃の準備。そして不正プログラム設置による外部情報の持ち出しやスパムメールです。責任共有モデルに基づき、これらの攻撃はユーザー自身で対策する必要があります。
脆弱性の修正
一般的に、ソフトウェアの脆弱性はその提供元がバージョンアップやパッチ配布で対策を行っており、ユーザーはそれらの導入によって脆弱性を修正することができます。
脆弱性診断
脆弱性のあるソフトウェアを利用していないかを確認します。OS、ミドルウェア、アプリケーションは外部攻撃が成立しやすいので、公開後だけでなく公開前も入念に診断・修正をします。
防御
脆弱性を突いて行われる攻撃をあらゆる手段で検知・ブロックして対策します。細かなアクセス制限やルールの策定、また不正な通信のブロックを十分に行います。
検知
システムへの攻撃は目立たないように行われることが多いです。攻撃の予兆や攻撃が成立してしまった場合は一刻も早くその状況に気づくという状態にしておくことが重要です。
| 脆弱性の修正 | バージョンアップ / パッチ適用 |
脆弱性の根本的な修正対応は、ソフトウェアのバージョンアップまたはパッチ適用です。 バージョンの管理にはAWSが活用できます。AWS Systems Managerを利用し、AWSコンソールからEC2にインストールされたアプリケーション情報の確認が可能です。また、AWS Configを組み合わせると、ソフトウェアのアップデート履歴を記録・追跡もできます。 |
|---|---|---|
| 運用支援オプション | クラスメソッドによる24時間365日体制のAWSインフラ運用代行サービスです。ソフトウェアのバージョンアップやパッチ適用についても支援しています。 | |
| 脆弱性診断 | Amazon Inspector | EC2にエージェントをインストールし、脆弱性が含まれるかを確認します。Webアプリケーションの脆弱性は診断対象外です。 |
| 脆弱性診断オプション | クラスメソッドのサービスです。F-Secure RADARを利用して脆弱性をスキャンします。 ツールによるスキャンのため、早く、安価に利用できる点が特徴です。外部からシステムにアクセスし、アプリケーション、OS、ミドルウェアに脆弱性がないか確認します。 |
|
| 防御 | セキュリティグループ | ファイアウォールに相当する機能です。セキュリティグループを適切に設定しておけば、不必要な通信をEC2に到達する前に遮断できます。 必要なポートと送信元のみ許可するようにします。例えばLinuxのWebサーバーの場合、SSHとHTTP(S)のみ許可します。そして利用者が特定できる場合は、オフィスなどの特定IPのみ許可します。 |
| IPS | OSやミドルウェアの脆弱性をついた攻撃を遮断します。 IPSによる防御はパッチ適用までの時間稼ぎと考えます。 また、誤って正しい通信を遮断してしまう恐れがあるため新しいルールは検知のみ行い、様子を見てから遮断に切り替えます。 |
|
| AWS WAF | マネージドなWAFサービスです。SQLインジェクションやクロスサイトスクリプティング等のWebアプリケーションに対する攻撃に対応できます。 ルールを自由に定義できるほか、パートナーが提供するマネージドルールを利用できます。 |
|
| アンチウイルス | AWS Security Best Practicesでは、マルウェア対策としてアンチウイルス/アンチスパムソフトウェアがあげられています。不正プログラムを駆除しインスタンスを守ります。 | |
| Webレピュテーション | 不正なURLへの通信をブロックします。 | |
| アプリケーションコントロール | アプリケーションの変更を管理する機能です。ソフトウェアの許可ルールを作成しておくことで、ゼロデイのランサムソフトウェア等に対応できます。 | |
| 検知 | セキュリティログ監視 | OSやミドルウェアのログを監視し、不審なアクティビティが行われていないか確認します。 |
| 変更監視 | OSやミドルウェアの重要なファイルを監視し、ファイルの内容やパーミッションなどが変更されていないか確認します。 ベースラインを作成し変更をベースラインと照合します。 アップデートや設定変更などを行なった場合ベースラインを更新します。 |
|
| Amazon GuardDuty | AWS内の不審なアクティビティを検知するセキュリティモニタリングサービスです。VPCフローログ、Amazon DNSログを監視し、不審な通信が行われているか確認します。 EC2がマルウェアに感染した際の不審なアクティビティに気がつくことができます。 |
DDoS対策
DDoSは攻撃者に乗っ取られたボットネットと呼ばれるパソコンやサーバから、大量のアクセスを行ったり、不正な通信を行う攻撃です。攻撃を受けたWebサイトは、ユーザーが繋げなかったり、繋げにくい状況になります。
AWS Shield
DDoSに対する保護を提供します。L3、L4レベルのDDoSに対応するAWS Shield Standardと、L7レベルの高度なDDoSに対応するAWS Shield Advancedがあります。Standardは無償で自動適用されます。申し込みや有効化は不要です。Advancedは有償で有効化が必要です。
フートシールド
クラスメソッドが提供するサービスです。AWS Shield Advanceをエンタープライズサポート契約の費用負担なしで提供します。本来英語で現地とのやりとりが発生するAWS DDoSレスポンスチーム (DRT) への連絡を、サポートします。
ロギング・ガバナンス
AWSを活用することで変更ログを取得して監査に役立てたり、不審なアクティビティの調査を行うことができます。
ロギング
AWS CloudTrail
CloudTrailはAWS APIの実行ログを記録します。意図しないEC2が起動された場合などに、実行ユーザーやIPアドレスが含まれるログを確認できます。
Amazon GuardDuty
AWS内の不審なアクティビティを検知するセキュリティモニタリングサービスです。CloudTrailイベントログを確認し、不審なEC2が起動されていないかなどを確認できます。
ガバナンス
AWS Config
AWSの構成変更を記録し、変更履歴をグラフィカルな画面確認出来ます。セキュリティグループなどのAWSリソースについて、変更をタイムラインに沿って確認できます。
AWS Config Rules
AWSリソースがルール通りに設定されているか確認し、ガバナンスを支援します。EC2に専用のエージェントをインストールしておけば、指定したセキュリティソフトなどがインストールされているか確認できます。
AWSを活用し、より安全なインフラを構築する方法はお客様のご状況によって異なります。保守性およびコスト面で最適な対策方法を個別に知りたい方は、クラスメソッドの個別相談会にぜひお申し込みください。
AWSセキュリティ導入相談会に申し込むお問い合わせ
下にフォームが表示されない場合は、お手数ですが info@classmethod.jp まで直接ご連絡ください。
