AWSでクラウドベースのシステムを構築する企業が増えることに応じて、マルチクラウドを選択するケースが増えてくる。AWS環境を含めたマルチクラウド環境でも、当然セキュリティ対策が重要だ。セッション「イマドキのマルチクラウドセキュリティ(AWS編)」では、特にAWSに焦点を当て、Microsoft Defender for Cloud、Microsoft Sentinelが提供する最新のセキュリティソリューションについて技術的な観点で紹介する。
資料の活用を想定するのは、AzureやAWSのクラウド利用者、CCOE、IaaS、PaaSサービスを提案する担当者、セキュリティエンジニアとしている。セッションを担当するMicrosoft Security Solution Global Black Beltの中村弘毅氏が、クラウドにおけるセキュリティ対策の最新動向を説明する。
主なアジェンダはAWSのワークロード保護とログ分析
セッションにおける主なアジェンダは大きくわけて2つ。AWSのクラウド体勢管理およびワークロード保護と、AWSのログ分析となっている。
前提となるシステム構成図は以下の通りだ。SIEMとしてのMicrosoft SentinelはAzureだけでなく、オンプレミスを含めたセキュリティオペレーションの基盤として活用できる。Microsoft Defender for Cloudはオンプレミス、クラウド、マルチクラウド向け、特にサーバーやIaaS向けのセキュリティソリューションを提供するものとなっており、AzureとAWSの両方にセキュリティ機能を提供できる。
実際にAWS向けのセキュリティ対策としてどんなことができるのか。セッションでは、クラウド体勢管理、ログ分析、ワークロード保護の3つのカテゴリーに分け、それぞれ深掘りする。
Microsoft Defender for CloudによるAWSのセキュリティ強化
Microsoft Defender for Cloudが可能にする事柄として、最初に挙がるのがクラウド体勢管理である。AWS Security Hubに依存せずに、Azureのネイティブなセキュリティ機能を使用してCSPM/CWPPを実現できる。ポリシーマネジメントやEndpoint Detection and Response(EDR)など、具体的な解決策を示しながら説明していく。
クラウドワークロード保護もポイントになってくる。多くの企業が、ウイルス対策やホスト型IPS、EDRなどをクラウド上で利用する際に、マイクロソフトとしてできることを示す。クラウドワークロードの保護対象として、EC2インスタンスとAmazon EKSを挙げており、それぞれ詳しく説明する。
実際に、どのような仕組みでこうした機能を提供しているのか、中村氏はさらに踏み込む。ここで、あらゆるインフラ上でAzureのサービスと管理をできるようにするのが「Azure Arc」である。Azure Arcは、Azure管理を拡張し、Azureサービスをオンプレミス、マルチクラウド、エッジで実行できるようにする一連のテクノロジーという位置づけだ。
Defender for Serversの主要機能とは
Microsoft Defender for Cloudの中で、サーバーを管理するものとしてDefender for Serversが提供されている。セキュアスコアやEDRによる振る舞い分析などさまざまな機能がAzure上と同様に、AWSでも実施できるようにしている。コンテナ系なども含めたより詳細な機能をチェックしておきたいところだ。
次に新しい機能として注目なのが、Defender for Containersである。特にAzure上のKubernetesと同様に、AWS上のEKSのクラスタに対してもセキュリティ機能を提供できる。ランタイムの保護やコンテナのイメージスキャン、ロゴ中心にした分析などが可能になっている。セッションでは、図を使いながらEKSにおけるクラウドワークロード保護の仕組みを、デモを交えて詳しく解説していく。
デモでは、ワークロード保護において検出した脅威がどのように見えるのかなどを説明する。例えば、EC2のインスタンスに対してブルートフォース攻撃がきた場合に、どんなアカウントで、どのホストに対しての攻撃か、どんなIPアドレスかなどを確認できるようになっている。さらに、それを解決するために何をするべきか、アドバイスを提供する。
さらに、EC2のインスタンスに対して、リソースをどのように管理しているのか、Azure Arcによってインスタンスごとに一目で分かるようにしている。インスタンス単位でのセキュリティ対策の推奨事項やアラートなども見える。
ログ分析のキーワードはSIEM
後半はログ分析の説明に時間を割いた。ログ分析ではキーワードとしてSIEMが挙がる。SIEMの役割は、データを取り込み、分析ルールに従って脅威を分析する、そこからルールをベースに自動化するというのが一般的な流れだ。
こうした取り組みをどのように実装できるかを、デモを交えて解説していく。新たな取り組みには当然コストがかかってしまうが、デモでは、Microsoft Sentinelを導入しやすくするために、注目すべき無料トライアル版の提供を表明した。さらにSentinelがAWSと連携する際に、どのような方法をとっているかについて話は及んでいく。
まとめとして中村氏は「今すぐマルチクラウドセキュリティ対策をやってみよう」と呼び掛けた。Microsoft Defender for Cloudにより、AzureとAWSの両環境を体勢管理できることを中心に、併せてリソース保護も同様に実現することが強みだと強調している。無料トライアルの案内を含めて、利用を検討するユーザーにとって有用な情報を提供する内容となっている。
