こんにちは。マネージドサービス部の谷内です。
本ブログでは、以下 Workshop についてまとめます。
- COP340 | Supercharging security & observability with Amazon CloudWatch
- In the dynamic, evolving cloud landscape effective security observability is crucial to rapidly detecting, investigating, and responding to threats. Learn how Amazon CloudWatch can be leveraged to enhance your security posture, and how to configure CloudWatch to collect and aggregate security-relevant logs, create custom dashboards and widgets to visualize security trends, set up alarms and automated actions to detect and respond to security incidents, and integrate CloudWatch with other AWS security services for a holistic approach to threat management. This workshop provides a comprehensive understanding of how Amazon CloudWatch can power a journey toward robust security observability in the cloud. You must bring your laptop to participate.
Workshop の概要
概要
動的かつ進化し続けるクラウド環境では、セキュリティの脅威を迅速に検出・調査・対応するために、効果的なセキュリティの観測が不可欠です。
この Workshop では、AWSの包括的なモニタリングサービスである Amazon CloudWatch をメインに、セキュリティログの収集、セキュリティ傾向を視覚化するためのカスタムダッシュボード・ウィジェット、セキュリティインシデント検出およびアラーム・自動アクションの設定、脅威管理への総合的なアプローチのために Amazon CloudWatch を他の AWS セキュリティサービスと統合する方法等を以下5つのステップに沿ってハンズオン形式で体験できました。
- SQL インジェクションや DDoS 攻撃等の一般的な攻撃と AWS WAF による保護の理解
- Amazon CloudTrail と Amazon CloudWatch の連携によるセキュリティ脅威のモニタリング
- Amazon Inspector と Amazon CloudWatch の連携による脆弱性のモニタリング
- VPC フローログ と Amazon CloudWatch の連携によるネットワークセキュリティのモニタリング
- (オプション)Amazon CloudWatch Logs と Amazon OpenSearch Service の Zero-ETL 統合
- 残念ながら、Workshop 環境では Zero-ETL 統合機能は動作しませんでした
構成
利用したAWSサービス
- Amazon CloudWatch
- CloudWatch Logs Insights
- Amazon CloudWatch Synthetics
- AWS WAF
- AWS CloudTrail
- Amazon Inspector
- Amazon VPC
- VPC フローログ
- Amazon CloudWatch
Workshop のポイント
セキュリティ攻撃方法の理解
本 Workshop では、以下のセキュリティ攻撃方法を体験できました。
- SQL インジェクション
- Webアプリケーションの脆弱性を利用し、アプリケーションが想定していない SQL 文を実行しデータベースを不正に操作する攻撃方法
- 情報窃取・データの改ざん・サービスの停止等の被害
- Webアプリケーションの脆弱性を利用し、アプリケーションが想定していない SQL 文を実行しデータベースを不正に操作する攻撃方法
- DDos
- Webサーバー等に対して複数のIPアドレスから大量のリクエストを送りつけることで、正常なサービス提供を妨害する攻撃手法
- マルウェアに感染したコンピューターが攻撃元として利用されることが多い
- 正常なアクセスと見分けることが難しく、複数箇所からトラフィックが送信されるため特定IPアドレスからのアクセス遮断という手段でも防止が容易ではない
- Webサーバー等に対して複数のIPアドレスから大量のリクエストを送りつけることで、正常なサービス提供を妨害する攻撃手法
- アカウント乗っ取り
- 情報漏洩・フィッシング・マルウェア・ブルートフォース等の手段によって、不正に入手した他人のアカウント情報を利用して損害を与える攻撃方法
- 情報窃取・金銭搾取等の被害
- 情報漏洩・フィッシング・マルウェア・ブルートフォース等の手段によって、不正に入手した他人のアカウント情報を利用して損害を与える攻撃方法
また、上記攻撃について、Amazon CloudWatch (ダッシュボードや CloudWatch Logs Insights)からどのように観測・調査できるかについても経験できました。
セキュリティ攻撃の防御
一般的なセキュリティ攻撃方法を体験した後は、AWS WAF によってこれら攻撃をどう防ぐのかを学習しました。
| セキュリティ攻撃 | 防御策 |
|---|---|
| SQL インジェクション | AWS WAR において AWSManagedRulesSQLiRuleSet を有効化し、悪意のある SQL コードをブロック |
| DDos | AWS WAF において Rate-based rule を有効化し、レート制限によってリクエストをブロック |
| アカウント乗っ取り | AWS WAF において AWSManagedRulesATPRuleSet を有効化し、疑わしいリクエストやログイン試行が多いセッション・IPアドレスをブロック |
これまでとっつきにくさを感じていた AWS WAF ですが、少しは仲良くなれそうな気になりました。
感想
上記ポイント以外でも Amazon Inspector Lambda コードスキャンを利用したコードの脆弱性の調査等、本 Workshop では Amazon CloudWatch でのセキュリティオブザーバビリティに焦点を当てながら様々なテーマを取り扱うことができ、得るものが多いセッションでした。
AWS側で豊富な CloudWatch ダッシュボードを用意してもらったことで、効率的に演習を進めれたことはもちろん、
自分で一から作成するのが手間なダッシュボードの良い見本として今後の業務にも役立つと感じております。
