NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Public Cloud Security: AWS, Azure, and GCP
Blue Team Operations
English2021年11月15日(月)~11月19日(金)
1日目:9:00-19:30
2日目~5日目:9:30-19:30
オンライン
830,000円(税込み 913,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。
※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
ラボの準備とセットアップのため、初日の講義の30分前にはコースに参加するよう計画してください。初日のこの時間帯には、各クラウドのアカウントが正しく設定されていること、ラップトップで仮想化が有効になっていることを確認し、演習用のファイルをコピーしてLinux仮想マシンが起動することを確認します。また、インストラクターがノートパソコンの準備とセットアップをサポートします。
必須:演習を全て実施するためには、受講者はAWS、Azure、GCPのアカウントを準備する必要があります。講義に参加する前に次のことを行ってください。
1.個人向けの無料アカウントを作成します。
2.作成したアカウントを有効にします。
3.rootアカウントでAWSコンソールにログインします。
4.EC2サービスを参照し、ダッシュボード (アクティベーション用画面ではありません) が表示されることを確認します。
5.ページの右上隅で、 [U.S.East (Northern Virginia) ] を選択します。
6.左側のナビゲーション・バーから、「LImits」を選択します。
7.On-Demand Standard (A、C、D、H、I、M、R、T、Z)インスタンス用に10個以上のvCPUがあることを確認します。
8.Limitsで10 vCPU未満の場合は、新しいt 2.microインスタンスの作成から始めてください。新しいインスタンスを作成すると、多くの場合、Limitsが自動的に増加します。Limitsが自動的に引き上がらない場合 (30分待って再度確認してください) は、AWSサポートでチケットをオープンし、引き上げをリクエストしてください。詳細については、AWS EC2 Service Limitsのドキュメントを参照してください。
1.Azureポータルにアクセスします。
2.個人向けの12ヶ月無料アカウントに登録します。
1.Googleアカウントを作成します。
2.GCP無料トライアルに登録します。
このコースに参加する方には適切に構成されたシステムが必要です。コースが開始される前に、次の指示をよく読み従ってください。
VMイメージと互換性が検証済みの次のいずれかのOSを搭載した、64ビットのラップトップを使用する必要があります。
講義に参加する前に、次のソフトウェアがホスト・オペレーティング・システムにインストールされていることを確認してください。
SEC510: Public Cloud Security: AWS, Azure, and GCPでは、主要なクラウドプロバイダの仕組みと、それらのサービスおよびPlatform as a Service (PaaS) を安全に設定、使用する方法について解説します。
あらゆる分野の組織が、オンラインでのプレゼンスを高めるためにクラウドサービスを採用するようになっています。クラウドのセキュリティについてはクラウド提供者が責任を持ちますが、クラウドで行うことについてはサービスの利用者が責任を持ちます。残念ながら、クラウドのプロバイダーはデフォルトでは安全でないサービスを多数提供しており、クラウド利用者の業務を困難にしています。さらに悪いことには、各プロバイダは何百もの異なるサービスを提供しており、多くのユーザは複数のプロバイダを使用することを選択しているため、セキュリティ・チームはそれらをロックダウンするためにサービスの詳細を深く理解しておく必要があります。クラウド利用を巡る状況が急速に変化し、開発チームが新しいソリューションを熱心に採用するようになっているため、セキュリティ面での被害を回避するためのセキュリティ対応が常に追いついてきます。
SEC 510は、クラウドセキュリティの実践者、アナリスト、研究者などを対象に、Amazon Web Services (AWS) 、Microsoft Azure、Google Cloud Platform (GCP) などの一般的なパブリッククラウドプロバイダーの動作を詳細に理解してもらうことを目標としています。受講者は、MITRE ATT&CK Cloud MatrixやCIS Cloud Benchmarksなど業界でメジャーとなっている標準と方法論を学習し、学んだ知識を演習を通じて実際に適用し、各プロバイダのクラウドネイティブ製品を利用して最新のWebアプリを評価します。この一連のプロセスを通じて、受講生は各プロバイダのコンセプトと、それがサービスにどのような影響を与えているかを学びます。
クラウド大手3社のサービスだけに着目しても、ユーザー1社では利用しきれないような数のサービスが提供されています。セキュリティの専門家としては、開発者が利用できるのは検証済みのソリューションだけとしたくなるかもしれません。しかし、残念ながら、製品開発をなりわいとしているような組織では変更に対して意欲的でないセキュリティ担当は蚊帳の外とされてしまう傾向があり、そのアプローチは必然的に失敗します。競合他社よりも早く製品を市場に出すのに役立つようなサービスを見つけたチームはそれを利用できるのだし、また積極的に使うべきでもあります。SEC 510では、これらのチームが迅速かつ安全に活動していけるように、最新のガイダンスとクラウド利用における「ガードレール」を提供します。
SEC 510では、ゲーミフィケーションによるCloudWars Bonus Challengesに毎日参加する機会を受講生に提供するとともに、クラウドのセキュリティと関連ツールに関する実践的なハンズオン演習を提供します。
SEC 510では、講義で説明したすべての考え方をハンズオン型のラボ演習により振り返ります。ラボ演習では各プロバイダのクラウドネイティブ製品を活用し、Next.js、React、およびSequelizeで記述された最新のWebアプリケーションを評価します。各実習には、ステップごとのガイドが用意されているほか、追加のサポートなしでスキルをテストしたい受講生のためには「ノーヒント」のオプションが用意されています。これにより、受講生は最適な難易度を選択し、必要に応じてステップ・バイ・ステップ・ガイドに戻ることができます。
Secure Service Configuration:AWS, Azure, GCPポスター
マルチクラウド コマンドラインインターフェイスのチートシート
Firebase:Google Clouds Evil Twin (Brandon Evans作)
Detecting and Lockdown Malware in Azure (Brandon Evans作)
マルチクラウドセキュリティのための5つの考慮事項 (Brandon Evans作)
SANS@MIC Talk SEC 510:Multicloud Security Assessment and Defense (Brandon Evans and Eric Johnson) (英語)
SEC 510の受講後に適したSANSコース:
SEC584: Cloud Native Security: Defending Containers and Kubernetes
SEC541: Cloud Security Monitoring and Threat Detection
SEC588: Cloud Penetration Testing
SEC540: Cloud Security and DevSecOps Automation
SEC 510ではTerraform Infrastructure-as-Codeを使用して、ラボ用に準備された各クラウド上でサービスをデプロイおよび構成しますが、受講者は特にTerraformの詳細な知識や構文を理解している必要はありません。ただし、それぞれのコードが何を実現するのかについては概要レベルで紹介します。
SEC 510への参加の前提となるSANSコースまたは経験は次の通りです。
SEC 510:Public Cloud Security:AWS、Azure、GCP は、主要3社のクラウドプロバイダーについての膨大なトピックをカバーするコースです。このコースにおける認定制度は、ある個人がプラットフォームの微妙な違いについての知識を持ってナビゲーションでき、データとインフラを保護できることについて証明をするために重要なものです。GPCS認定は他の認定とは差別化されており、ベンダーに依存しておらず、各クラウドプロバイダによって提供される認定とは異なっています。GPCS認定は各プロバイダのセキュリティの長所と短所にフォーカスしており、デフォルトではセキュリティが確保されておらず専門的に再構成することが必要であることに強調ポイントがおかれています。主要3社のいずれかのクラウドを使用している組織では、GPCS認定保有者の知識と経験が組織のセキュリティ戦略立案・遂行に不可欠であると認識しています。-Brandon Evans (SANS SEC 510コースの共著者)
GPCS認定は、パブリッククラウド環境とマルチクラウド環境の両方でクラウドを保護する実践者としての能力を証明するものです。GPCS認定プロフェッショナルは、AWS、Azure、GCPの微妙な違いに精通しており、これらの各プラットフォームを保護するために必要な次のスキルを備えたメンバーです。
複数のパブリッククラウドプロバイダーを利用する最近の傾向により、セキュリティとコンプライアンスの専門家には新たな機会がもたらされると同時に、課題についても発生しています。提供されるクラウドサービスの環境は絶えず進化しているため、好ましくないセキュリティソリューションを導入してしまうようなことはいつでも簡単に起こり得ます。そのため、マルチクラウド利用の意向を無視したり、企業レベルで阻止したりしがちではありますが、これは問題のコントロールを難しくするだけです。
そもそも、なぜ企業は新たなクラウドソリューションを採用するのでしょうか?それは、彼らの仕事をより簡単かつ楽しく行うためです。開発者は、企業本部のセキュリティチームのためではなく、ビジネスのために利益を上げる製品を開発しているのです。もし、競合他社よりも早く製品を市場に出すのに役立つようなサービスを見つけたら、それを使うことができるのだし、使うべきなのです。セキュリティ担当者は、マルチクラウド利用の動向がもはや避けられないものであることを受け入れ、組織が迅速かつ安全に利用開始へと動きだすための「ガードレールを実装する」という困難な作業に取り組む必要があります。好むと好まざるとにかかわらず、マルチクラウドの嵐がやってくるです。
このコースは、いろんな意味においてシンプルにずば抜けたものです! よくできています!
-Ryan Stillions、IBM X-Froce IR
SEC 510では、まず大手3社のクラウドプロバイダの概要を説明するところからスタートします。ここでは、複数のクラウドプロバイダの採用が進んでいる要因と、これまでAWSに大きく遅れをとっていたAzureとGCPの人気の高まりについてチェックしていきます。受講生はラボ環境を立ち上げ、最新のWebアプリケーションを大手3社の各クラウドに導入する作業を行います。
これらの講義・作業を通じ、クラウドセキュリティにおいて最も基本的であるにもかかわらず誤解されている概念である、アイデンティティ・アクセス管理 (IAM) の複雑さに関する理解が進みます。受講生はラボ環境で攻撃者の役割を演じることによって、アプリケーションの脆弱性を利用して実際のIAM認証情報を危険にさらし、機密データにアクセスします。
この日の講義の残りの部分では、適切に記述されたIAMポリシーの活用により攻撃で引き起こされる損害を最小限に抑える方法に焦点を当てます。最終的な解決策はアプリケーションのバグを修正することに他なりませんが、この方針によって、些細なインシデントがニュースの一面を飾るようなことを防ぐことができます。
2日目は、仮想プライベートネットワーク内のインフラをロックダウン(封鎖)する方法について説明します。デフォルトのネットワークセキュリティは緩いことが多く、何百万もの機密性の高い資産がパブリックインターネットに不用意にアクセス可能になっています。このセクションでは、そのような資産があなたの所属する組織に存在していないことを確認します。
最初に、各プロバイダー内で入力トラフィックと出力トラフィックを制限する方法を示します。受講生は、公開データベースにアクセスして、各環境でリバースシェルセッションを作成することにより、こうした制限がない場合に起こりうるダメージについて分析します。次に、セキュアなクラウド構成で攻撃ベクトルを排除します。
ネットワークにおける多層防御のメカニズムの解説に加え、避けられないネットワークベースの攻撃に対処するためのクラウドベースの侵入検知機能についても紹介します。生徒たちはクラウド上のトラフィックを分析し、データ侵害の兆候を見つけ出します。
3日目の講義の前半では、クラウドにおける暗号化に関連するトピックの全般について説明します。受講生は、各プロバイダの暗号鍵ソリューションと、それらのソリューションを使った格納データの暗号化について学習します。また、クライアント、ロード・バランサ、アプリケーション、データベース・サーバ間の暗号化など、エンド・ツー・エンドでのデータ転送の暗号化をクラウドで行う方法についても学習します。
適切な暗号化は、セキュリティにとって重要なだけではありません。これは、法的およびコンプライアンス上の重要な考慮事項でもあります。この日の講義では、オーディターに監査用の情報パッケージを送付するために必要なすべての情報を、組織でしっかりと掌握できているようにします。
講義の後半では、クラウドへのデータの保存、詳細な防御メカニズム、アクセス・ロギング、ファイル・システムの永続性などについて説明します。
4日目の講義では、業界を席巻するパラダイムであるサーバレスについて詳しく説明することにより、絶えず変化するテクノロジーのトレンドに取り組んでいきます。また、サーバーレスがもたらす課題と、開発およびセキュリティ運用での安全性を確保する点でのメリットについても説明します。
講義の前半では、AWS Lambda、Azure Functions、Google Cloud Functionsにおけるサーバーレスクラウドの機能について説明します。Serverless Prey (このコースの著者によって書かれた、人気のオープンソースツール) を使ってサーバーレスランタイム環境の内部を概観した後、受講生は実環境でサーバーレス環境の実際の機能を確認・調査し、ハードニングを行います。
講義の後半では、クラウドの機能と相互に関連することが多いApp Servicesについて説明します。最後に、2014年のGoogleによる買収以来、Google Cloud Platformと徐々に統合されつつあるサーバーレスアプリケーションプラットフォーム"Firebase"の詳細について説明します。
このコースの最後では、複数のクラウドアカウントやプロバイダーをまたがった運用方法に関する実践的なガイダンスを提示して締めくくります。これまでの講義で説明したトピックの多くは、ある1つのアカウントから複数のアカウントに移行する場合やプロバイダが相互に統合される場合、非常に複雑なものとなります。まず、複数のアカウントとクラウドを使用することでアイデンティティとアクセス管理 (IAM) がどのように変わるのかを説明します。
セキュアなユーザーID管理は、シングル・サインオン (SSO) について触れないかぎり、完全には説明しきれないものです。SSOによって、組織のメンバーは、同じ認証情報を使用してさまざまなアプリケーションにサインオンできるようになります。メンバーが組織から離脱する場合、管理者はコマンド1つでメンバのすべてのアクセスを終了させられます。この日の講義の後半では、各クラウドでのネイティブSSOソリューション、複数のAWSアカウントを管理する際のAWS SSOの重要性、各クラウドのエンドユーザーIDサービスについて説明します。
講義の最後には、このコースで学習したベンチマークに基づきコンプライアンス上のチェックを自動化するツールとサービスを紹介します。これには、オープンソースソリューションやクラウドベースのセキュリティサービスが含まれます。こうした機能を利用すれば、SEC 510で身に付けた知識を大規模な環境へ実際に適用することができるようになります。