ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 510

Public Cloud Security: AWS, Azure, and GCP
※本イベントでは本コースは中止となりました。次回開催をお待ちください。

Blue Team Operations

English
日程

2022年12月5日(月)~12月9日(金)

期間
5日間
講義時間

1日目:9:00-19:30
2日目~5日目:9:30-19:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GPCS
講師
Kenneth G.Hartman|ケネス ハートマン
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
38 Points
受講料

1,130,000円(税込み 1,243,000円)

申込締切日
2022年11月25日(金)
オプション
  • GIAC試験  135,000円(税込み 148,500円)
  • NetWars Continuous  220,000円(税込み 242,000円)
  • OnDemand 価格:135,000円(税込 148,500円)

※オプションの価格は、コース本体と同時にお申し込みいただく場合のみ有効です。

※コース本体のお申し込み後にGIAC試験を追加される場合、事務手数料(10,000円(税込み11,000円))をいただきます。

※GIAC試験はご自身で直接お申し込みいただくことも可能です。こちらのページ(英語)を参照ください。

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC510 PC設定詳細

重要なお知らせ

ラボの準備とセットアップのため、初日の講義の30分前にはコースに参加するよう計画してください。初日のこの時間帯には、各クラウドのアカウントが正しく設定されていること、ラップトップで仮想化が有効になっていることを確認し、演習用のファイルをコピーしてLinux仮想マシンが起動することを確認します。また、インストラクターがノートパソコンの準備とセットアップをサポートします。

このコースの最初の実習であるラボ0は、残りのコースの基礎となるものです。ラボ0を終了しないと、他のラボ演習を実施することができなくなります。受講生は、最初のセッションの前に、できるだけ多くのラボ0を完了する必要があります。

必須のクラウドアカウント

受講者は、コースラボを完了するために、自分のAWSAzureGCPのアカウントを持参する必要があります。

SEC510コースのラボには、AWSAzureGCPのラボ演習が含まれています。ほとんどのラボは、これらのいずれかのプロバイダで完了することができます。しかし、各プロバイダのサービスのわずかな、しかし重要な違いを学ぶために、3つのプロバイダすべてのラボを完了することを強くお勧めします。このインタラクティブなラボでこのニュアンスを体験することで、各プラットフォームをよりよく守り、GPCS認証の準備をすることができるようになります。

研修開始前に、利用するプロバイダーのクラウドアカウントを作成しておく必要があります。Firebaseラボを完了したい学生は、残りのGCP演習を完了しないことを選択した場合でも、GCPアカウントを作成する必要があります。3つのプロバイダをすべて有効にしてラボを実行するための平均コストは、1プロバイダー1日あたり5米ドル未満です。

ライブイベント(OnsiteまたはLiveOnline)

受講者は、教材で提供される期間限定(ライブ授業期間中)のSANS Managed AWSアカウントを使用することが必要です。

Azureラボ演習を受講する方は、授業開始前にAzureアカウントを作成する必要があります。

授業開始前にAzureアカウントと有料サブスクリプションを新規登録する(https://azure.microsoft.com

GCPまたはFIrebaseの演習を受講する方は、授業開始前にGCPアカウントを作成する必要があります。

授業開始前にGCPアカウントを新規登録(無料トライアル) https://cloud.google.com

ノートパソコンの必須条件

受講者は、以下の説明に従って設定された自分のシステムを持参する必要があります。

このコースに完全に参加するためには、正しく設定されたシステムが必要です。この説明書をよく読み、それに従わない場合は、このコースに不可欠な実習に参加できないため、満足のいく授業が受けられない可能性が高くなります。したがって、このコースで指定されているすべての要件を満たすシステムで出席することを強くお勧めします。

受講者は、VM を実行しているネットワークを完全に制御できる必要があります。VMは、HTTPSSSH、その他の非標準ポートを介して、いくつかの外部サービス(AWSAzureGCPなど)と通信を行います。VPN、インターセプトプロキシ、またはイグレスファイアウォールフィルタを備えたホスト上でコースの仮想マシンを実行すると、これらのサービスと通信する際に接続の問題が発生する可能性があります。受講生は、ラボ環境が適切に機能するように、これらのサービスを設定または無効にすることができなければなりません。

次の手順でノートパソコンを構成してください

このコースに参加する方には適切に構成されたシステムが必要です。コースが開始される前に、次の指示をよく読み従ってください。

  • ホストのオペレーティングシステム。Windows 10macOS 10.15.x以降、またはLinuxの最新バージョンで、以下のVMware仮想化製品をインストールして実行できること。

  • 受講前にホストOSを完全にアップデートし、最新のUSB3.0デバイスを利用するための正しいドライバとパッチがインストールされていることを確認してください。

  • Linuxホストを使用する方は、適切なカーネルまたはFUSEモジュールを使用してexFATパーティションにアクセスできるようにする必要があります。

  • 7-Zip (Windows ホスト用) または Keka (macOS) をダウンロードし、インストールしてください。これらの抽出ツールがないと、授業で提供する大きなアーカイブを抽出することができません。

  • VMware Workstation Pro 15.5.x, VMware Player 15.5.x, または Fusion 11.5.x またはそれ以上のバージョンを授業前にダウンロードし、インストールしておいてください。

  • VMware WorkstationまたはFusionのライセンスをお持ちでない方は、VMware社から30日間の無料体験版をダウンロードすることができます。VMware社のウェブサイトで試用版に登録すると、期間限定のシリアルナンバーが送付されます。

  • VirtualBoxHyper-Vなどの他の仮想化ソフトウェアは、互換性や授業中に遭遇する可能性のあるトラブルシューティングの問題があるため、適切ではありません。

  • Windows 10上のVMware Workstation ProおよびVMware Playerは、Windows 10Credential GuardおよびDevice Guardテクノロジーと互換性がありません。これらの機能がシステム上で有効になっている場合、授業中はこれらの機能を無効にしてください。

必須のホストハードウェア要件

  • CPU:64ビット2.5 GHz以上のマルチコアプロセッサ
  • BIOS/UEFI:VT-x、AMD-V、または同等の機能をBIOS/UEFIで有効にできること
  • ディスクドライブ: SSDが必須。50 GB以上の空きディスク容量
  • メモリ:16 GB以上のRAM(重要!16 GB以上のRAMが必須です)
  • 有効に稼働するUSB 2.0以上のポート
  • ワイヤレスイーサネット802.11 B/G/N/AC
  • ホスト・オペレーティング・システムにおけるローカル管理者権限

必須のホストOS要件

VMイメージと互換性が検証済みの次のいずれかのOSを搭載した、64ビットのラップトップを使用する必要があります。

  • Windows 10macOS 10.15.x以降、Linuxの最新版で、後述のVMware仮想化製品もインストール、実行可能なもの。

必須のソフトウェア要件

講義に参加する前に、次のソフトウェアがホスト・オペレーティング・システムにインストールされていることを確認してください。

  • VMware Workstation Pro 15.5以降、VMware Player 15.5以降、または Fusion 11.5以降

  • Zipファイルユーティリティ (7 Zipまたはオペレーティングシステムに組み込まれているzipユーティリティ)

クラウド仮想マシン(AWS AMI)

ワークステーションやネットワークが上記の要件を満たさない場合、講師、TA、またはOnDemand SMEに連絡して、SEC510 Amazon Machine ImageAMI)にアクセスするようにしてください。AMIを共有した後、リモートデスクトップ(RDP)で仮想マシンを起動し、接続するための手順を説明します。このオプションは、ノートパソコンの要件を満たせない受講生に必要です。

まとめ:コースを開始する前に、次のことを実施・確認する必要があります

  • ラボ0の完了。

  • ソリッドステートドライブ (SSD) 、16 GBのRAM、64ビットオペレーティングシステムを搭載したノートパソコンを所有。
  • VMware (WorkstationまたはFusion) をインストールします。
    Windowsの場合のみ:BIOS設定でIntel VT virtualization extensionsが有効になっていることを確認します。
  • SEC 510 Lab Setup Instructions and Course MediaをSANSポータルのご自身のアカウントからダウンロードします。
  • https://aws.amazon.com/ にアクセスし、新しいAWSアカウントを登録します。
  • https://azure.microsoft.com/en-us/free/ にアクセスし、新しいAzureアカウントを登録します。
  • https://console.cloud.google.com/freetrial にアクセスし、新しいGCP無料利用枠アカウントを登録します。

コースウェアはダウンロードで配信されます。ファイルのサイズは大きく、40 -50 GBになる場合があります。ダウンロードを完了させるためには十分な時間が必要です。インターネット接続と速度はさまざまでありいろいろな要因によって異なるため、コースウェアのダウンロードにかかる時間を見積もることはできません。コースウェアのダウンロードのためのリンクを取得したら、すぐにダウンロードを開始してください。講義の初日にはすぐ教材が必要になります。講義開始の前夜までダウンロードを待つと、講義への参加がうまくいかなくなる確率が高くなります。

SANSではPDF形式のドキュメントの提供を開始しています。また、PDFに加えて電子版のワークブックを使用するクラスがあります。電子版のテキストを使用するクラスの数は急速に増加していますので、2台目のモニタやタブレットデバイスを用意し、インストラクターがプレゼンテーションを行っているときや、実習を行っているときに、講義の資料を表示できるようにしておくと便利です。

SEC510 コース概要

マルチクラウド環境では、さまざまなソリューションが必要になります

SEC510: Public Cloud Security: AWS, Azure, and GCPでは、主要なクラウドプロバイダの仕組みと、それらのサービスおよびPlatform as a Service (PaaS) を安全に設定、使用する方法について解説します。

複数のクラウドには複数のソリューションが必要

SEC510は、クラウドセキュリティの実務家、アナリスト、研究者が、最も人気のあるパブリッククラウドプロバイダの内部構造を深く理解できるようにするための教材です。このコースでは、Amazon Web Services (AWS)Microsoft AzureGoogle Cloud Platform (GCP)など、最も人気の高いパブリッククラウドプロバイダーの内部構造を深く理解することができます。MITRE ATT&CK Cloud Matrix CIS Cloud Benchmarks などの業界標準や方法論を学び、その知識を実践的な演習で応用し、各プロバイダのクラウドネイティブサービスを活用した最新のWebアプリケーションを評価します。学生は、硬化していないサービスを起動し、セキュリティ設定を分析し、セキュリティが不十分であることを検証し、パッチを展開し、修復を検証します。また、各クラウドのサービスやPaaSPlatform as a Service)、IaaSInfrastructure as a Service)を導入する際に必要な知識を身につけることができます。

ビッグ3のクラウドプロバイダーだけでも、1社で消費しきれないほどのサービスを提供しています。セキュリティの専門家としては、開発者が使用するものを、過去の実績のあるソリューションに限定したくなることもあるでしょう。しかし、このようなアプローチは、変化を嫌うセキュリティ・エンティティを製品開発部門が傍観することになり、必然的に失敗します。セキュリティではなく、機能性が採用を促進するのです。もしチームが、競合他社よりも早く製品を市場に投入するのに役立つサービスを発見したら、それを利用することができますし、そうすべきです。SEC510は、このようなチームに対して、適切かつ最新のガイダンスとガードレールを提供し、迅速かつ安全に行動できるようにする能力を身に付けます。

"このクラスは素晴らしい投資でした。3大クラウドプロバイダーのデフォルトサービスやデフォルト設定の様々な長所と短所、そして簡単には軽減できない固有のセキュリティについて、非常に多くのことを学ぶことができました。クライアントのクラウド環境の安全性を監視し、支援するために、私のチームに持ち帰ることができる実用的な内容がたくさんあります。"". 
- John Senn, EY

ビジネス上の持ち帰り

  • マルチクラウドのトレンドを安全に取り込むために、積極的に行動すること。組織が単一のクラウドプロバイダーに標準化することは不可能です。Forrester社の調査によると、86%の組織がマルチクラウドと認識しています。複数のクラウドを利用したくない場合でも、合併や買収によって、マルチクラウドの利用は避けられないのです。
  • クラウド・セキュリティの専門家は、ビッグ3のプロバイダーがどのように異なるかを知っておく必要があります。セキュリティの概念は、クラウド間で必ずしも同じではありません。あるプロバイダにとっては優れた戦略でも、別のプロバイダにとっては破滅的なものになる可能性があります。
  • ほとんどのクラウド・サービスはデフォルトで非常に安全でないため、セキュリティを重視する組織はすべて専門家による再設定を必要とします。
  • ストレージのセキュリティは、単に公開バケットを閉鎖するだけではありません。プライベートな資産でさえ、有能な攻撃者により危険にさらされる可能性があります。
  • セキュリティは開発から5年以上遅れており、キャッチアップする必要がある。サーバーレスのように、セキュリティが最先端と考える技術は、非常に長い間、本番環境で使用されてきました。

このコースの受講生は、次の事柄についての知識を身に付けることができます

  • クラウドサービスとPlatform as a Service (PaaS) サービスの内部動作を理解し、より多くの情報に基づいてクラウドに関して意思決定する
  • 各クラウド・プロバイダの設計理念を理解し、セキュリティ・ソリューションを正しく適用できるようにする。設計理念が各プロバイダのサービスにどのような影響しているかを理解する
  • セキュリティ管理が完全に実装される前に、多くのクラウドサービスが導入決定されてしまっているという残念な事実を発見する
  • Amazon Web Services (AWS) 、Microsoft Azure、Google Cloud Platform (GCP) について深く理解する
  • アイデンティティおよびアクセス管理(IAM)の複雑さを理解する。IAMは、クラウドの最も基本的な概念の1つでる一方で、まだ十分に理解されていない概念の1つです。
  • クラウド・ネットワークを理解し、それをロック・ダウンすることがクラウドにおける防御の重要な側面であることを理解する
  • 機密データの損失を防ぐため、各プロバイダが格納・転送するデータをどのように暗号化するかを分析する
  • クラウド・ストレージ内のデータを保護するために多層防御を適用する
  • 各プロバイダのサーバーレスプラットフォームを比較する
  • マルチクラウドプラットフォームの導入が促進される要員となっているサービスを概観し、最先端のサービスのセキュリティを評価する
  • マルチクラウドIAMとクラウドシングルサインオンを利用して、クラウドアカウントおよびプロバイダー間でリソースへの安全なアクセスを提供する
  • クラウドネイティブなプラットフォームとオープンソースのソリューションを使用して、セキュリティとコンプライアンスのチェックを自動化する
  • このコースで説明したコントロールを実装するための出発点として、Terraform Infrastructure-as-Codeを十分に理解し、エンジニアリングチームと共有する

ラボ演習について

SEC 510では、講義で説明したすべての考え方をハンズオン型のラボ演習により振り返ります。ラボ演習では各プロバイダのクラウドネイティブ製品を活用し、Next.js、React、およびSequelizeで記述された最新のWebアプリケーションを評価します。各実習には、ステップごとのガイドが用意されているほか、追加のサポートなしでスキルをテストしたい受講生のためには「ノーヒント」のオプションが用意されています。これにより、受講生は最適な難易度を選択し、必要に応じてステップ・バイ・ステップ・ガイドに戻ることができます。

SEC 510では、ゲーミフィケーションによるCloudWars Bonus Challengesに毎日参加する機会を受講生に提供するとともに、クラウドのセキュリティと関連ツールに関する実践的なハンズオン演習を提供します。

セクション1VMクレデンシャルの露出、AWS IAMポリシーのハード化、AzureGCPポリシーのハード化、高度なIAM機能、CloudWars Section 1

セクション2:ネットワークのロックダウン、ネットワークトラフィックの分析、プライベートエンドポイントセキュリティ、クラウドVPNとマネージドSSHCloudWars Section 2

セクション3: 復号イベントの監査, あらゆるものを暗号化!, ストレージサービスのロックダウン, 不正なファイル共有, CloudWars Section 3

セクション4: サーバーレスの餌食、サーバーレス機能のハード化、アプリサービスのセキュリティ、Firebaseのアクセス制御、CloudWars Section 4

セクションマルチクラウド統合、Azure ADによるログイン、ベンチマークの自動化、Lab teardownCloudWars Section 5

「ラボは素晴らしい。講義で学んだ内容をすべてカバーしている」
 - Enrique Gamboa, ALG

「ラボは正気ではありません。とても素晴らしい設定です。私は多くのことを学んでおり、さらにこの素晴らしい基礎の上に構築することができるでしょう。」
 - Kevin Sahota, 604 Security

ラボは非常によく構成されており、何がなぜ起こっているのかを正確に説明するために詳細です。"」
- Gareth Johnson, Close Brothers

 

シラバスの概要

  • セクション1:アイデンティティとアクセス管理(IAM)の安全な使用とIAMクレデンシャルの保護
  • セクション2: 信頼できるネットワークへのインフラストラクチャとデータアクセスの制限
  • セクション3: 休止中および転送中のデータの暗号化、ストレージのロックダウン、ログの監査
  • セクション4: サーバーレスファンクション、アプリサービス、Firebase プラットフォームの検討
  • セクション5: クラウドアカウント間の安全な統合と設定ミスの自動化ベンチマーク

その他各種リソース

Head in Clouds, Episode 11: Terraformのステートファイルにリソースをインポートする

Secure Service Configuration:AWS, Azure, GCPポスター
マルチクラウド コマンドラインインターフェイスのチートシート
Firebase:Google Clouds Evil Twin (Brandon Evans作)
Detecting and Lockdown Malware in Azure (Brandon Evans作)
マルチクラウドセキュリティのための5つの考慮事項 (Brandon Evans作)

受講生が受け取るもの

  • 印刷および電子版のテキスト
  • 講義のMP3オーディオファイル
  • 再実行可能なすべての演習を含む仮想マシン (VM)
  • クラウドプラットフォームごとの数千行のコード

次のステップ

クラウドセキュリティアナリスト

SEC541: Cloud Security Attacker Techniques, Monitoring, and Threat Detection

SEC557: Continuous Automation for Enterprise and Cloud Compliance

クラウドセキュリティエンジニア

SEC540: Cloud Security and DevSecOps Automation

SEC541: Cloud Security Attacker Techniques, Monitoring, and Threat Detection

クラウドセキュリティアーキテクト

SEC549: Enterprise Cloud Security Architecture (coming Summer 2022)

SEC540: Cloud Security and DevSecOps Automation

MGT520: Leading Cloud Security Design and Implementation

本講座受講にあたっての前提

SEC510では、Terraform Infrastructure-as-Codeを使用して各クラウドのサービスを展開・設定しますが、Terraformに関する深い知識や使用する構文を理解する必要はありません。しかし、このコードが何を実現するのか、高いレベルで紹介されます。

SEC 510への参加の前提となるSANSコースまたは経験は次の通りです。

  • SANS SEC488: Cloud Security Essentials or hands-on experience using the AWS and Azure Cloud
  • 本コースの受講生は、クラウドIAMとネットワークの基本的な知識が必要です。
  • 本コースの受講生は、Bashコマンドの操作に慣熟している必要があります。
  • 受講前に予習をされたい方は、『Terraform Getting Started Guide』 (Terraformスタートアップガイド) をご確認ください。https://learn.hashicorp.com/terraform/getting-started/install

Terraform の実践については、Kenneth Hartman Tech Tuesday Workshop - Use Terraform to Provision You Own Cloud-Based Remote Browsing Workstation https://github.com/Resistor52/terraform-cloud-workstation を参照してください。

前もって準備したい方は、Terraform Getting Started Guide をチェックしてください: https://learn.hashicorp.com/terraform/getting-started/install

このクラスでは、HTMLJavaScriptなどのWebアプリケーション技術やコンセプトの基本的な理解が必要です。このコースでは、より多くの方に受講していただくために、プログラミング言語にとらわれないディスカッションを行う予定です。データベース(SQL)やスクリプト言語など、最新のWebアプリケーションで使用される概念についてある程度理解していることが望ましいです。

受講対象者

セキュリティアナリスト、セキュリティエンジニア、セキュリティ研究者、クラウドエンジニア、DevOpsエンジニア、セキュリティ監査人、システム管理者、運用担当者、および次の担当者:
  • 新しいクラウドサービスの評価と導入
  • クラウドのセキュリティに関する新たな脆弱性や動向の調査
  • IDおよびアクセス管理
  • クラウドベースの仮想ネットワークの管理
  • 安全な構成管理

GIAC Public Cloud Security (GPCS認定)

GPCS認定は、パブリッククラウド環境とマルチクラウド環境の両方でクラウドを保護する実践者としての能力を証明するものです。GPCS認定プロフェッショナルは、AWS、Azure、GCPの微妙な違いに精通しており、これらの各プラットフォームを保護するために必要な次のスキルを備えたメンバーです。

  • パブリッククラウドサービスプロバイダの評価と比較
  • パブリッククラウド環境の監査、強化、セキュリティ確保
  • マルチクラウドのコンプライアンスと統合の概要

※SEC510は、GIAC(GPCS)認定試験対象コースです。

コース開発者より

複数のパブリッククラウドプロバイダーを利用する最近の傾向により、セキュリティとコンプライアンスの専門家には新たな機会がもたらされると同時に、課題についても発生しています。提供されるクラウドサービスの環境は絶えず進化しているため、好ましくないセキュリティソリューションを導入してしまうようなことはいつでも簡単に起こり得ます。そのため、マルチクラウド利用の意向を無視したり、企業レベルで阻止したりしがちではありますが、これは問題のコントロールを難しくするだけです。

そもそも、なぜ企業は新たなクラウドソリューションを採用するのでしょうか?それは、彼らの仕事をより簡単かつ楽しく行うためです。開発者は、企業本部のセキュリティチームのためではなく、ビジネスのために利益を上げる製品を開発しているのです。もし、競合他社よりも早く製品を市場に出すのに役立つようなサービスを見つけたら、それを使うことができるのだし、使うべきなのです。セキュリティ担当者は、マルチクラウド利用の動向がもはや避けられないものであることを受け入れ、組織が迅速かつ安全に利用開始へと動きだすための「ガードレールを実装する」という困難な作業に取り組む必要があります。好むと好まざるとにかかわらず、マルチクラウドの嵐がやってくるです。

-Brandon EvansEric Johnson

このコースは、いろんな意味においてシンプルにずば抜けたものです! よくできています!

-Ryan Stillions、IBM X-Froce IR

  • DAY1
  • DAY2
  • DAY3
  • DAY4
  • DAY5

SEC510.1: Cloud Credential Management

概要

SEC 510では、まず大手3社のクラウドプロバイダの概要を説明するところからスタートします。ここでは、複数のクラウドプロバイダの採用が進んでいる要因と、これまでAWSに大きく遅れをとっていたAzureとGCPの人気の高まりについてチェックしていきます。受講生はラボ環境を立ち上げ、最新のWebアプリケーションを大手3社の各クラウドに導入する作業を行います。

これらの講義・作業を通じ、クラウドセキュリティにおいて最も基本的であるにもかかわらず誤解されている概念である、アイデンティティ・アクセス管理 (IAM) の複雑さに関する理解が進みます。受講生はラボ環境で攻撃者の役割を演じることによって、アプリケーションの脆弱性を利用して実際のIAM認証情報を危険にさらし、機密データにアクセスします。

この日の講義の残りの部分では、適切に記述されたIAMポリシーの活用により攻撃で引き起こされる損害を最小限に抑える方法に焦点を当てます。最終的な解決策はアプリケーションのバグを修正することに他なりませんが、この方針によって、些細なインシデントがニュースの一面を飾るようなことを防ぐことができます。

演習

  • VMのクレデンシャル情報の露呈
  • AWS IAMポリシーの強化
  • AzureとGCPのポリシー強化
  • 高度なIAM機能
  • CloudWars (セクション1) :パブリッククラウドセキュリティDevOpsの課題

トピック

マルチクラウドの動向
  • クラウドマーケットのトレンド
  • マルチクラウドに関する考慮事項
  • シャドウクラウドアカウント
マルチクラウド環境におけるセキュリティ評価
  • MITRE ATT&CKクラウドマトリックス
  • ラボ環境の解説
  • HashiCorp Terraformの概要
アイデンティティ・アクセス管理
  • アイデンティティ
  • ポリシー
  • 組織全体のコントロール
  • AWS IAM
  • Azure Active Directory
  • GCP IAM
クラウド資格情報管理
  • クラウドインスタンスメタデータAPI
  • Credential Management Postmortems (ケース・スタディ)
アプリケーションの脆弱性の概要
  • 過度に許可されたアクセス許可
  • コマンドインジェクション
  • サーバサイド・リクエスト・フォージェリ
  • サプライチェーン攻撃

SEC510.2: Cloud Virtual Networks

概要

2日目は、仮想プライベートネットワーク内のインフラをロックダウン(封鎖)する方法について説明します。デフォルトのネットワークセキュリティは緩いことが多く、何百万もの機密性の高い資産がパブリックインターネットに不用意にアクセス可能になっています。このセクションでは、そのような資産があなたの所属する組織に存在していないことを確認します。

最初に、各プロバイダー内で入力トラフィックと出力トラフィックを制限する方法を示します。受講生は、公開データベースにアクセスして、各環境でリバースシェルセッションを作成することにより、こうした制限がない場合に起こりうるダメージについて分析します。次に、セキュアなクラウド構成で攻撃ベクトルを排除します。

ネットワークにおける多層防御のメカニズムの解説に加え、避けられないネットワークベースの攻撃に対処するためのクラウドベースの侵入検知機能についても紹介します。生徒たちはクラウド上のトラフィックを分析し、データ侵害の兆候を見つけ出します。

演習

  • ネットワークのロックダウン(封鎖)
  • ネットワークトラフィックの解析
  • プライベートエンドポイントセキュリティ
  • クラウドVPNとマネージドSSH
  • CloudWars (セクション2) :パブリッククラウドセキュリティDevOpsへの挑戦

トピック

クラウド仮想ネットワーク
  • ネットワークサービススキャン
  • デフォルトのネットワーク構成
  • ネットワークセキュリティグループ
ネットワークトラフィック分析
  • フローロギング
  • トラフィックミラーリング
プライベートエンドポイント
  • AWS Private Link
  • Azure Private Link
  • GCP VPCサービスコントロール
高度なリモートアクセス
  • マネージドSSH
  • ハイブリッドVPNゲートウェイ
  • セッションマネージャ
  • Azure Bastion

  • OSログイン

  • アイデンティティ・アウェア・プロキシ(IAP)

コマンド/コントロール・サーバ
  • リバースシェル

SEC510.3: Cloud Encryption, Storage, and Logging

概要

3日目の講義の前半では、クラウドにおける暗号化に関連するトピックの全般について説明します。受講生は、各プロバイダの暗号鍵ソリューションと、それらのソリューションを使った格納データの暗号化について学習します。また、クライアント、ロード・バランサ、アプリケーション、データベース・サーバ間の暗号化など、エンド・ツー・エンドでのデータ転送の暗号化をクラウドで行う方法についても学習します。

適切な暗号化は、セキュリティにとって重要なだけではありません。これは、法的およびコンプライアンス上の重要な考慮事項でもあります。この日の講義では、オーディターに監査用の情報パッケージを送付するために必要なすべての情報を、組織でしっかりと掌握できているようにします。

講義の後半では、クラウドへのデータの保存、詳細な防御メカニズム、アクセス・ロギング、ファイル・システムの永続性などについて説明します。

演習

  • 復号イベントの監査
  • すべてを暗号化する
  • ストレージサービスのロックダウン(封鎖)
  • 不正なファイル共有
  • CloudWars (セクション3) :パブリッククラウドセキュリティDevOpsへの挑戦

トピック

クラウドキー管理
  • AWS KMS
  • Azure Key Vault
  • Google Cloud KMS
クラウドサービスによる暗号化
  • ディスクレベルでの暗号化
  • レコードレベルでの暗号化
  • データ転送における暗号化
クラウドストレージプラットフォーム
  • アクセス制御
  • 監査ログ
  • データ保持
データ流出の経路

SEC510.4: Serverless Platforms

概要

4日目の講義では、業界を席巻するパラダイムであるサーバレスについて詳しく説明することにより、絶えず変化するテクノロジーのトレンドに取り組んでいきます。また、サーバーレスがもたらす課題と、開発およびセキュリティ運用での安全性を確保する点でのメリットについても説明します。

講義の前半では、AWS Lambda、Azure Functions、Google Cloud Functionsにおけるサーバーレスクラウドの機能について説明します。Serverless Prey (このコースの著者によって書かれた、人気のオープンソースツール) を使ってサーバーレスランタイム環境の内部を概観した後、受講生は実環境でサーバーレス環境の実際の機能を確認・調査し、ハードニングを行います。

講義の後半では、クラウドの機能と相互に関連することが多いApp Servicesについて説明します。最後に、2014年のGoogleによる買収以来、Google Cloud Platformと徐々に統合されつつあるサーバーレスアプリケーションプラットフォーム"Firebase"の詳細について説明します。

演習

  • Serverless Prey
  • サーバーレス機能のハードニング
  • Appサービスのセキュリティ
  • Firebaseアクセスコントロール
  • CloudWars (セクション4) :パブリッククラウドセキュリティDevOpsの課題

トピック

クラウドサーバレスの機能
  • セキュリティ上の利点
  • サービス防御としての機能
サーバーレスでの永続性
アプリケーションサービス
  • AWS Elastic Beanstalk
  • Azure App Service
  • Google App Engine
ファイアベース
  • リアルタイムデータベース
  • Cloud Firestore
  • 認証

SEC510.5: Cross-Account and Cross-Cloud Assessment

概要

このコースの最後では、複数のクラウドアカウントやプロバイダーをまたがった運用方法に関する実践的なガイダンスを提示して締めくくります。これまでの講義で説明したトピックの多くは、ある1つのアカウントから複数のアカウントに移行する場合やプロバイダが相互に統合される場合、非常に複雑なものとなります。まず、複数のアカウントとクラウドを使用することでアイデンティティとアクセス管理 (IAM) がどのように変わるのかを説明します。

セキュアなユーザーID管理は、シングル・サインオン (SSO) について触れないかぎり、完全には説明しきれないものです。SSOによって、組織のメンバーは、同じ認証情報を使用してさまざまなアプリケーションにサインオンできるようになります。メンバーが組織から離脱する場合、管理者はコマンド1つでメンバのすべてのアクセスを終了させられます。この日の講義の後半では、各クラウドでのネイティブSSOソリューション、複数のAWSアカウントを管理する際のAWS SSOの重要性、各クラウドのエンドユーザーIDサービスについて説明します。

講義の最後には、このコースで学習したベンチマークに基づきコンプライアンス上のチェックを自動化するツールとサービスを紹介します。これには、オープンソースソリューションやクラウドベースのセキュリティサービスが含まれます。こうした機能を利用すれば、SEC 510で身に付けた知識を大規模な環境へ実際に適用することができるようになります。

演習

  • マルチクラウドの統合
  • Azure ADを使ったログイン
  • 自動ベンチマーク
  • ラボの分解・分析
  • CloudWars (セクション5) :パブリッククラウドセキュリティDevOpsの課題

トピック

マルチクラウドアクセス管理
クラウドシングルサインオン
  • AWS SSO
  • Microsoft Identity PlatformとAzure AD
  • Google Cloud ID
エンドユーザーID管理
  • Amazon Cognito User Pools
  • Microsoft Identity PlatformとAzure AD B 2 C
  • Google CICPおよびFirebase認証
ベンチマークの自動化
  • Amazon Cognito User Pools
  • Azure Security Center
  • GCP Security Command Center
  • オープンソース・ソリューション
サマリ
その他のリソース

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。