NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。
Public Cloud Security: AWS, Azure, and GCP
※本イベントでは本コースは中止となりました。次回開催をお待ちください。
Blue Team Operations
English2022年12月5日(月)~12月9日(金)
1日目:9:00-19:30
2日目~5日目:9:30-19:30
オンライン
1,130,000円(税込み 1,243,000円)
※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。
※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。
※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。
演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。
ラボの準備とセットアップのため、初日の講義の30分前にはコースに参加するよう計画してください。初日のこの時間帯には、各クラウドのアカウントが正しく設定されていること、ラップトップで仮想化が有効になっていることを確認し、演習用のファイルをコピーしてLinux仮想マシンが起動することを確認します。また、インストラクターがノートパソコンの準備とセットアップをサポートします。
このコースの最初の実習であるラボ0は、残りのコースの基礎となるものです。ラボ0を終了しないと、他のラボ演習を実施することができなくなります。受講生は、最初のセッションの前に、できるだけ多くのラボ0を完了する必要があります。
受講者は、コースラボを完了するために、自分のAWS、Azure、GCPのアカウントを持参する必要があります。
SEC510コースのラボには、AWS、Azure、GCPのラボ演習が含まれています。ほとんどのラボは、これらのいずれかのプロバイダで完了することができます。しかし、各プロバイダのサービスのわずかな、しかし重要な違いを学ぶために、3つのプロバイダすべてのラボを完了することを強くお勧めします。このインタラクティブなラボでこのニュアンスを体験することで、各プラットフォームをよりよく守り、GPCS認証の準備をすることができるようになります。
研修開始前に、利用するプロバイダーのクラウドアカウントを作成しておく必要があります。Firebaseラボを完了したい学生は、残りのGCP演習を完了しないことを選択した場合でも、GCPアカウントを作成する必要があります。3つのプロバイダをすべて有効にしてラボを実行するための平均コストは、1プロバイダー1日あたり5米ドル未満です。
ライブイベント(OnsiteまたはLiveOnline)
受講者は、教材で提供される期間限定(ライブ授業期間中)のSANS Managed AWSアカウントを使用することが必要です。
Azureラボ演習を受講する方は、授業開始前にAzureアカウントを作成する必要があります。
授業開始前にAzureアカウントと有料サブスクリプションを新規登録する(https://azure.microsoft.com
GCPまたはFIrebaseの演習を受講する方は、授業開始前にGCPアカウントを作成する必要があります。
授業開始前にGCPアカウントを新規登録(無料トライアル) https://cloud.google.com
受講者は、以下の説明に従って設定された自分のシステムを持参する必要があります。
このコースに完全に参加するためには、正しく設定されたシステムが必要です。この説明書をよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、このコースで指定されているすべての要件を満たすシステムで出席することを強くお勧めします。
受講者は、VM を実行しているネットワークを完全に制御できる必要があります。VMは、HTTPS、SSH、その他の非標準ポートを介して、いくつかの外部サービス(AWS、Azure、GCPなど)と通信を行います。VPN、インターセプトプロキシ、またはイグレスファイアウォールフィルタを備えたホスト上でコースの仮想マシンを実行すると、これらのサービスと通信する際に接続の問題が発生する可能性があります。受講生は、ラボ環境が適切に機能するように、これらのサービスを設定または無効にすることができなければなりません。
このコースに参加する方には適切に構成されたシステムが必要です。コースが開始される前に、次の指示をよく読み従ってください。
ホストのオペレーティングシステム。Windows 10、macOS 10.15.x以降、またはLinuxの最新バージョンで、以下のVMware仮想化製品をインストールして実行できること。
受講前にホストOSを完全にアップデートし、最新のUSB3.0デバイスを利用するための正しいドライバとパッチがインストールされていることを確認してください。
Linuxホストを使用する方は、適切なカーネルまたはFUSEモジュールを使用してexFATパーティションにアクセスできるようにする必要があります。
7-Zip (Windows ホスト用) または Keka (macOS) をダウンロードし、インストールしてください。これらの抽出ツールがないと、授業で提供する大きなアーカイブを抽出することができません。
VMware Workstation Pro 15.5.x, VMware Player 15.5.x, または Fusion 11.5.x またはそれ以上のバージョンを授業前にダウンロードし、インストールしておいてください。
VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトで試用版に登録すると、期間限定のシリアルナンバーが送付されます。
VirtualBoxやHyper-Vなどの他の仮想化ソフトウェアは、互換性や授業中に遭遇する可能性のあるトラブルシューティングの問題があるため、適切ではありません。
Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10のCredential GuardおよびDevice Guardテクノロジーと互換性がありません。これらの機能がシステム上で有効になっている場合、授業中はこれらの機能を無効にしてください。
VMイメージと互換性が検証済みの次のいずれかのOSを搭載した、64ビットのラップトップを使用する必要があります。
Windows 10、macOS 10.15.x以降、Linuxの最新版で、後述のVMware仮想化製品もインストール、実行可能なもの。
講義に参加する前に、次のソフトウェアがホスト・オペレーティング・システムにインストールされていることを確認してください。
VMware Workstation Pro 15.5以降、VMware Player 15.5以降、または Fusion 11.5以降
ワークステーションやネットワークが上記の要件を満たさない場合、講師、TA、またはOnDemand SMEに連絡して、SEC510 Amazon Machine Image(AMI)にアクセスするようにしてください。AMIを共有した後、リモートデスクトップ(RDP)で仮想マシンを起動し、接続するための手順を説明します。このオプションは、ノートパソコンの要件を満たせない受講生に必要です。
ラボ0の完了。
コースウェアはダウンロードで配信されます。ファイルのサイズは大きく、40 -50 GBになる場合があります。ダウンロードを完了させるためには十分な時間が必要です。インターネット接続と速度はさまざまでありいろいろな要因によって異なるため、コースウェアのダウンロードにかかる時間を見積もることはできません。コースウェアのダウンロードのためのリンクを取得したら、すぐにダウンロードを開始してください。講義の初日にはすぐ教材が必要になります。講義開始の前夜までダウンロードを待つと、講義への参加がうまくいかなくなる確率が高くなります。
SANSではPDF形式のドキュメントの提供を開始しています。また、PDFに加えて電子版のワークブックを使用するクラスがあります。電子版のテキストを使用するクラスの数は急速に増加していますので、2台目のモニタやタブレットデバイスを用意し、インストラクターがプレゼンテーションを行っているときや、実習を行っているときに、講義の資料を表示できるようにしておくと便利です。
SEC510: Public Cloud Security: AWS, Azure, and GCPでは、主要なクラウドプロバイダの仕組みと、それらのサービスおよびPlatform as a Service (PaaS) を安全に設定、使用する方法について解説します。
複数のクラウドには複数のソリューションが必要
SEC510は、クラウドセキュリティの実務家、アナリスト、研究者が、最も人気のあるパブリッククラウドプロバイダの内部構造を深く理解できるようにするための教材です。このコースでは、Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP)など、最も人気の高いパブリッククラウドプロバイダーの内部構造を深く理解することができます。MITRE ATT&CK Cloud Matrix や CIS Cloud Benchmarks などの業界標準や方法論を学び、その知識を実践的な演習で応用し、各プロバイダのクラウドネイティブサービスを活用した最新のWebアプリケーションを評価します。学生は、硬化していないサービスを起動し、セキュリティ設定を分析し、セキュリティが不十分であることを検証し、パッチを展開し、修復を検証します。また、各クラウドのサービスやPaaS(Platform as a Service)、IaaS(Infrastructure as a Service)を導入する際に必要な知識を身につけることができます。
ビッグ3のクラウドプロバイダーだけでも、1社で消費しきれないほどのサービスを提供しています。セキュリティの専門家としては、開発者が使用するものを、過去の実績のあるソリューションに限定したくなることもあるでしょう。しかし、このようなアプローチは、変化を嫌うセキュリティ・エンティティを製品開発部門が傍観することになり、必然的に失敗します。セキュリティではなく、機能性が採用を促進するのです。もしチームが、競合他社よりも早く製品を市場に投入するのに役立つサービスを発見したら、それを利用することができますし、そうすべきです。SEC510は、このようなチームに対して、適切かつ最新のガイダンスとガードレールを提供し、迅速かつ安全に行動できるようにする能力を身に付けます。
"このクラスは素晴らしい投資でした。3大クラウドプロバイダーのデフォルトサービスやデフォルト設定の様々な長所と短所、そして簡単には軽減できない固有のセキュリティについて、非常に多くのことを学ぶことができました。クライアントのクラウド環境の安全性を監視し、支援するために、私のチームに持ち帰ることができる実用的な内容がたくさんあります。"".
- John Senn, EY
ビジネス上の持ち帰り
SEC 510では、講義で説明したすべての考え方をハンズオン型のラボ演習により振り返ります。ラボ演習では各プロバイダのクラウドネイティブ製品を活用し、Next.js、React、およびSequelizeで記述された最新のWebアプリケーションを評価します。各実習には、ステップごとのガイドが用意されているほか、追加のサポートなしでスキルをテストしたい受講生のためには「ノーヒント」のオプションが用意されています。これにより、受講生は最適な難易度を選択し、必要に応じてステップ・バイ・ステップ・ガイドに戻ることができます。
SEC 510では、ゲーミフィケーションによるCloudWars Bonus Challengesに毎日参加する機会を受講生に提供するとともに、クラウドのセキュリティと関連ツールに関する実践的なハンズオン演習を提供します。
セクション1:VMクレデンシャルの露出、AWS IAMポリシーのハード化、AzureとGCPポリシーのハード化、高度なIAM機能、CloudWars Section 1
セクション2:ネットワークのロックダウン、ネットワークトラフィックの分析、プライベートエンドポイントセキュリティ、クラウドVPNとマネージドSSH、CloudWars Section 2
セクション3: 復号イベントの監査, あらゆるものを暗号化!, ストレージサービスのロックダウン, 不正なファイル共有, CloudWars Section 3
セクション4: サーバーレスの餌食、サーバーレス機能のハード化、アプリサービスのセキュリティ、Firebaseのアクセス制御、CloudWars Section 4
セクション5 マルチクラウド統合、Azure ADによるログイン、ベンチマークの自動化、Lab teardown、CloudWars Section 5
「ラボは素晴らしい。講義で学んだ内容をすべてカバーしている」
- Enrique Gamboa, ALG
「ラボは正気ではありません。とても素晴らしい設定です。私は多くのことを学んでおり、さらにこの素晴らしい基礎の上に構築することができるでしょう。」
- Kevin Sahota, 604 Security
「ラボは非常によく構成されており、何がなぜ起こっているのかを正確に説明するために詳細です。"」
- Gareth Johnson, Close Brothers
シラバスの概要
Head in Clouds, Episode 11: Terraformのステートファイルにリソースをインポートする
Secure Service Configuration:AWS, Azure, GCPポスター
マルチクラウド コマンドラインインターフェイスのチートシート
Firebase:Google Clouds Evil Twin (Brandon Evans作)
Detecting and Lockdown Malware in Azure (Brandon Evans作)
マルチクラウドセキュリティのための5つの考慮事項 (Brandon Evans作)
クラウドセキュリティアナリスト
SEC541: Cloud Security Attacker Techniques, Monitoring, and Threat Detection
SEC557: Continuous Automation for Enterprise and Cloud Compliance
クラウドセキュリティエンジニア
SEC540: Cloud Security and DevSecOps Automation
SEC541: Cloud Security Attacker Techniques, Monitoring, and Threat Detection
クラウドセキュリティアーキテクト
SEC549: Enterprise Cloud Security Architecture (coming Summer 2022)
SEC540: Cloud Security and DevSecOps Automation
MGT520: Leading Cloud Security Design and Implementation
SEC510では、Terraform Infrastructure-as-Codeを使用して各クラウドのサービスを展開・設定しますが、Terraformに関する深い知識や使用する構文を理解する必要はありません。しかし、このコードが何を実現するのか、高いレベルで紹介されます。
SEC 510への参加の前提となるSANSコースまたは経験は次の通りです。
Terraform の実践については、Kenneth Hartman の Tech Tuesday Workshop - Use Terraform to Provision You Own Cloud-Based Remote Browsing Workstation https://github.com/Resistor52/terraform-cloud-workstation を参照してください。
前もって準備したい方は、Terraform Getting Started Guide をチェックしてください: https://learn.hashicorp.com/terraform/getting-started/install
このクラスでは、HTMLやJavaScriptなどのWebアプリケーション技術やコンセプトの基本的な理解が必要です。このコースでは、より多くの方に受講していただくために、プログラミング言語にとらわれないディスカッションを行う予定です。データベース(SQL)やスクリプト言語など、最新のWebアプリケーションで使用される概念についてある程度理解していることが望ましいです。
GPCS認定は、パブリッククラウド環境とマルチクラウド環境の両方でクラウドを保護する実践者としての能力を証明するものです。GPCS認定プロフェッショナルは、AWS、Azure、GCPの微妙な違いに精通しており、これらの各プラットフォームを保護するために必要な次のスキルを備えたメンバーです。
複数のパブリッククラウドプロバイダーを利用する最近の傾向により、セキュリティとコンプライアンスの専門家には新たな機会がもたらされると同時に、課題についても発生しています。提供されるクラウドサービスの環境は絶えず進化しているため、好ましくないセキュリティソリューションを導入してしまうようなことはいつでも簡単に起こり得ます。そのため、マルチクラウド利用の意向を無視したり、企業レベルで阻止したりしがちではありますが、これは問題のコントロールを難しくするだけです。
そもそも、なぜ企業は新たなクラウドソリューションを採用するのでしょうか?それは、彼らの仕事をより簡単かつ楽しく行うためです。開発者は、企業本部のセキュリティチームのためではなく、ビジネスのために利益を上げる製品を開発しているのです。もし、競合他社よりも早く製品を市場に出すのに役立つようなサービスを見つけたら、それを使うことができるのだし、使うべきなのです。セキュリティ担当者は、マルチクラウド利用の動向がもはや避けられないものであることを受け入れ、組織が迅速かつ安全に利用開始へと動きだすための「ガードレールを実装する」という困難な作業に取り組む必要があります。好むと好まざるとにかかわらず、マルチクラウドの嵐がやってくるです。
このコースは、いろんな意味においてシンプルにずば抜けたものです! よくできています!
-Ryan Stillions、IBM X-Froce IR
SEC 510では、まず大手3社のクラウドプロバイダの概要を説明するところからスタートします。ここでは、複数のクラウドプロバイダの採用が進んでいる要因と、これまでAWSに大きく遅れをとっていたAzureとGCPの人気の高まりについてチェックしていきます。受講生はラボ環境を立ち上げ、最新のWebアプリケーションを大手3社の各クラウドに導入する作業を行います。
これらの講義・作業を通じ、クラウドセキュリティにおいて最も基本的であるにもかかわらず誤解されている概念である、アイデンティティ・アクセス管理 (IAM) の複雑さに関する理解が進みます。受講生はラボ環境で攻撃者の役割を演じることによって、アプリケーションの脆弱性を利用して実際のIAM認証情報を危険にさらし、機密データにアクセスします。
この日の講義の残りの部分では、適切に記述されたIAMポリシーの活用により攻撃で引き起こされる損害を最小限に抑える方法に焦点を当てます。最終的な解決策はアプリケーションのバグを修正することに他なりませんが、この方針によって、些細なインシデントがニュースの一面を飾るようなことを防ぐことができます。
2日目は、仮想プライベートネットワーク内のインフラをロックダウン(封鎖)する方法について説明します。デフォルトのネットワークセキュリティは緩いことが多く、何百万もの機密性の高い資産がパブリックインターネットに不用意にアクセス可能になっています。このセクションでは、そのような資産があなたの所属する組織に存在していないことを確認します。
最初に、各プロバイダー内で入力トラフィックと出力トラフィックを制限する方法を示します。受講生は、公開データベースにアクセスして、各環境でリバースシェルセッションを作成することにより、こうした制限がない場合に起こりうるダメージについて分析します。次に、セキュアなクラウド構成で攻撃ベクトルを排除します。
ネットワークにおける多層防御のメカニズムの解説に加え、避けられないネットワークベースの攻撃に対処するためのクラウドベースの侵入検知機能についても紹介します。生徒たちはクラウド上のトラフィックを分析し、データ侵害の兆候を見つけ出します。
Azure Bastion
OSログイン
アイデンティティ・アウェア・プロキシ(IAP)
3日目の講義の前半では、クラウドにおける暗号化に関連するトピックの全般について説明します。受講生は、各プロバイダの暗号鍵ソリューションと、それらのソリューションを使った格納データの暗号化について学習します。また、クライアント、ロード・バランサ、アプリケーション、データベース・サーバ間の暗号化など、エンド・ツー・エンドでのデータ転送の暗号化をクラウドで行う方法についても学習します。
適切な暗号化は、セキュリティにとって重要なだけではありません。これは、法的およびコンプライアンス上の重要な考慮事項でもあります。この日の講義では、オーディターに監査用の情報パッケージを送付するために必要なすべての情報を、組織でしっかりと掌握できているようにします。
講義の後半では、クラウドへのデータの保存、詳細な防御メカニズム、アクセス・ロギング、ファイル・システムの永続性などについて説明します。
4日目の講義では、業界を席巻するパラダイムであるサーバレスについて詳しく説明することにより、絶えず変化するテクノロジーのトレンドに取り組んでいきます。また、サーバーレスがもたらす課題と、開発およびセキュリティ運用での安全性を確保する点でのメリットについても説明します。
講義の前半では、AWS Lambda、Azure Functions、Google Cloud Functionsにおけるサーバーレスクラウドの機能について説明します。Serverless Prey (このコースの著者によって書かれた、人気のオープンソースツール) を使ってサーバーレスランタイム環境の内部を概観した後、受講生は実環境でサーバーレス環境の実際の機能を確認・調査し、ハードニングを行います。
講義の後半では、クラウドの機能と相互に関連することが多いApp Servicesについて説明します。最後に、2014年のGoogleによる買収以来、Google Cloud Platformと徐々に統合されつつあるサーバーレスアプリケーションプラットフォーム"Firebase"の詳細について説明します。
このコースの最後では、複数のクラウドアカウントやプロバイダーをまたがった運用方法に関する実践的なガイダンスを提示して締めくくります。これまでの講義で説明したトピックの多くは、ある1つのアカウントから複数のアカウントに移行する場合やプロバイダが相互に統合される場合、非常に複雑なものとなります。まず、複数のアカウントとクラウドを使用することでアイデンティティとアクセス管理 (IAM) がどのように変わるのかを説明します。
セキュアなユーザーID管理は、シングル・サインオン (SSO) について触れないかぎり、完全には説明しきれないものです。SSOによって、組織のメンバーは、同じ認証情報を使用してさまざまなアプリケーションにサインオンできるようになります。メンバーが組織から離脱する場合、管理者はコマンド1つでメンバのすべてのアクセスを終了させられます。この日の講義の後半では、各クラウドでのネイティブSSOソリューション、複数のAWSアカウントを管理する際のAWS SSOの重要性、各クラウドのエンドユーザーIDサービスについて説明します。
講義の最後には、このコースで学習したベンチマークに基づきコンプライアンス上のチェックを自動化するツールとサービスを紹介します。これには、オープンソースソリューションやクラウドベースのセキュリティサービスが含まれます。こうした機能を利用すれば、SEC 510で身に付けた知識を大規模な環境へ実際に適用することができるようになります。