ニュースレター登録
資料ダウンロード
お問い合わせ

SECURITY 510

Cloud Security Controls and Mitigations

※本コースは中止となりました。次回開催をお待ちください。

Cloud Security

English
日程

2024年12月2日(月)~2024年12月6日(金)

期間
5日間
講義時間

1日目:9:00-19:30
2日目~4日目:9:30-19:30
5日目:9:30-17:30

受講スタイル
Live Online
会場

オンライン

GIAC認定資格
GPCS
講師
Brandon Evans|ブランドン エヴァンス
SANS認定インストラクター
言語
英語 英語教材・同時通訳
定員
40名
CPEポイント
38 Points
受講料

早期割引価格:1,220,000 円(税込み 1,342,000 円)
※キャンペーン価格のため、他の割引の重複適用はできません。ご了承ください。

通常価格:1,350,000 円(税込み 1,485,000 円)

申込締切日
早期割引価格:2024年10月18日(金)
通常価格:2024年11月22日(金)
オプション
  • GIAC試験  160,000円(税込み 176,000円)
  • OnDemand  160,000円(税込み 176,000円)
  • NetWars Continuous  270,000円(税込み 297,000円)

※オプションの価格は、コース本体とセットでお申込みいただく場合のみ有効です。
※コース本体のお申込み後にGIAC試験オプションを追加される場合は、事務手数料10,000円(税込11,000円)を申し受けます。
※お申込み締切後はオプションの追加のお申込みを承ることができませんのでご了承ください。
※お申込み締切後にGIAC試験を追加する場合は、こちらのページ(英語)をご参照のうえ、GIACへ直接お申込みください。なお、コース本体とセットでお申込みいただいた場合は特典として模擬試験2回分が付きますが、GIACへ直接お申込みの場合は模擬試験2回分の特典はございません(別途購入可能)

受講に必要なPC環境

演習で使用するノートPCをご準備下さい。受講に必要なPC環境についてご確認ください。

SEC510 PC設定詳細

SEC510コースのラボには、AWS、Azure、GCPのラボ演習が含まれています。ほとんどのラボは、これらのプロバイダーのいずれかで完了できます。しかし、3つのプロバイダーすべてのラボを修了して、それぞれのサービスがどのように異なるかを学ぶことを強くお勧めします。これらのインタラクティブなラボでこのニュアンスを体験することで、各プラットフォームをよりよく防御し、GPCS認定に備えることができます。

SANSは、これらのプロバイダーのラボを完了するために必要なAWSアカウント、Azureサブスクリプション、およびGoogle Cloudプロジェクトを受講生に提供します。

受講生は、授業開始の24時間前に自動的にAWSアカウント、Azureサブスクリプション、Google Cloudプロジェクトにアクセスできるようになります。
受講生は、授業が始まる前日にSANSアカウントにログインし、My Labsページにアクセスしてクラウド認証情報をダウンロードすることができます。

PCの要件

以下の指示に従って設定したPCを用意してください。

このコースに完全に参加するためには、適切に設定されたシステムが必要です。これらの指示を注意深く読み、それに従わなければ、このコースに不可欠な実地演習に参加できないため、満足できないままクラスを去ることになるでしょう。従って、コースで指定されたすべての要件を満たすシステムで参加されることを強くお勧めします。

受講生はシステムのネットワーク設定を完全に制御できなければならない。システムは、非標準ポートの HTTPS、SSH、および SOCKS5 トラフィックの組み合わせを使用して、クラウドでホストされるラボ環境と通信する必要があります。VPN、インターセプトプロキシ、またはイグレスファイアウォールフィルタを実行すると、ラボ環境と通信する際に接続の問題が発生する可能性があります。学生はこれらのサービスを設定または無効にすることができなければなりません。

以下の要件を満たすPCを用意してください。

このコースに参加する各生徒には、適切に設定されたシステムが必要です。コースを開始する前に、以下の説明をよく読み、正確に守ってください:

  • オペレーティングシステムは、最新バージョンのWindows 10、macOS 10.15.x以降、または以下に説明するFirefoxブラウザもインストールおよび実行可能なLinuxディストリビューションである必要があります。
  • クラスの前にホスト・オペレーティング・システムを完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  • Firefoxをインストールし、Firefoxの拡張機能を有効にし、新しい信頼できるルート証明書をマシンにインストールする能力があること。
  • 授業の前に、以下のソフトウェアがホストOSにインストールされていることを確認してください:

まとめ

コースを始める前に

  • 最新のオペレーティングシステムを搭載したノートパソコンを持っていること
  • 最新バージョンのFirefoxとSmartProxyエクステンションをインストールする。
  • SEC510ラボのセットアップ手順をsans.orgアカウントからダウンロードしてください。

SANSは以下のクラウド環境へのアクセスを提供します:AWS、Azure、Google Cloudです。残念ながら、クラウドのセキュリティ管理により、ログイン時にテキストメッセージを受信できる有効な電話番号による認証が必要となる場合があります(バーチャル番号は機能しません)。このような状況が発生した場合、クラウドプロバイダーに電話番号を提供できることをご確認ください。

これらの手順を完了したら、SANSプロバイダのクラウドアカウントにアクセスして、SANSクラウドセキュリティフライトシミュレータに接続します。SEC510フライトシミュレータサーバは、Firefoxブラウザからアクセスできる電子ワークブック、端末、その他のサービスをホストしています。

SANSポータルの「教材ダウンロード」セクションにある「セットアップの手順」にアクセスし、その指示に従ってください。これらの指示に従うには、30分以上かかる場合があります。

あなたのクラスでは、ラボの指示に電子ワークブックを使用しています。この新しい環境では、2台目のモニターおよび/またはタブレット端末が、あなたがコースのラボで作業している間、授業資料を見えるようにしておくのに便利です。

ノートパソコンの仕様に関するその他のご質問は、サポートまでお問い合わせください。

SEC510 コース概要

重要なコントロールで実際の攻撃を防ぐ

マルチクラウド環境の保護は困難である。既定のセキュリティ管理では不十分なことが多く、ビッグ3のCSPの1つでは機能する管理も、他のCSPでは機能しないことがある。企業は、コンプライアンスだけに注目するのではなく、攻撃主導のコントロールを優先して、最も重要なクラウド資産を保護する必要があります。

アプリケーションが自社で開発されたものであれ、サードパーティが開発したものであれ、アプリケーションの欠陥が避けられないことを受け入れることが、クラウドセキュリティ対策を成功させるための鍵となる。脆弱なコードを修正できるサイバーセキュリティの専門家はほとんどいませんが、こうしたリスクを軽減するために安全なクラウド設定を適用することは、多くの場合容易です。CSPのデフォルトや文書だけに頼るのは不十分です。SEC510では、CSPの制御が不正確、不完全、または矛盾している事例が多数あることが明らかになっています。さらに、組織が利用するクラウド・サービスにゼロデイ脆弱性が存在する場合、できる限りの管理を行い、その影響に備えなければなりません。

MITRE ATT&CK Cloud Matrix、Center for Internet Security (CIS) Cloud Provider Benchmarks、Cyber Defense Matrixのような標準やフレームワークは有用なツールですが、それでも限界があります。だからこそSEC510では、それらを超えて、組織にとって重要なものを守るために必要なテクニックを伝授します。重要なクラウド・セキュリティ・コントロールによって、よくあるクラウドのミスのリスクを軽減し、設定のミスをなくすことで攻撃対象を減らすことができます。

このコースでは、クラウドでよくあるセキュリティの設定ミスや間違いについて、1週間とは思えないほど多くの情報や詳細が提供された。非常に包括的な内容だが、恐ろしいことに、ほとんど表面しか見ていないように感じられる!コースの著者には驚かされました。

- Petr Sidopulos

クラウド・セキュリティ・コントロールとは何か?

クラウド・セキュリティ・コントロールは、クラウド資産の露出を制限するためにクラウド・サービス・プロバイダが提供するオプションである。各クラウド・サービス・プロバイダーは、各顧客のビジネス・ケースとニーズを考慮することなく、多くの場合安全でないデフォルトのコントロールを提供している。真のリスクを防止するセキュアなクラウド構成のためには、様々なCSPのニュアンスを理解した専門家が、ビジネス戦略、目標、要件に基づいてクラウド・セキュリティ・コントロールを実装する必要がある。

ビジネス上の利点

  • 組織のクラウド環境の攻撃対象領域を減らす
  • 徹底的な防御により、インシデントが侵害に発展するのを防ぐ
  • ビッグ3のCSPにおけるデータの機密性、完全性、可用性を管理する。
  • 今日のビジネス環境のスピードに対応するため、安全な自動化の利用を増やす。
  • 機密クラウド資産への意図しないアクセスの解決
  • 組織のクラウドデータに影響を及ぼすランサムウェアのリスクを軽減する

本コースで習得できるスキル

Platform as a Service (PaaS)とInfrastructure as a Service (IaaS)のそれぞれの内部構造を理解することで、ビッグ3のクラウドサービスプロバイダーについて十分な情報に基づいた意思決定を行う。
多層防御によるセキュアなアイデンティティ・アクセス管理(IAM)の導入
セグメンテーションとアクセス制御によるマルチクラウドネットワークの構築とセキュリティ確保
各クラウドを通じて、静止時および転送中のデータを暗号化する。
各クラウド・ストレージ・サービスにおけるデータの機密性、完全性、可用性を管理する。
サーバーレスFaaS(Functions as a Service)のような非伝統的なコンピューティング・プラットフォームをサポートする。
長期間の認証情報を使用せずに、各クラウド・プロバイダーを相互に統合する。
クラウドネイティブプラットフォームを使用したセキュリティとコンプライアンスの自動チェック
サードパーティのクラウド・ベンダーにクラウド・リソースへのアクセスを許可することで生じるリスクを最小限に抑えながら、サードパーティのクラウド・ベンダーを迅速に採用する。
TerraformとInfrastructure-as-Code(IaC)を使用したセキュリティ管理の実施において、エンジニアリングチームを指導する。

クラウドセキュリティ対策演習

SEC510:Cloud Security Controls and Mitigationsは、実際のクラウド環境での実習を通して、講義で議論されたすべての概念を強化します。各ラボには、ステップバイステップのガイドだけでなく、サポートなしでスキルを試したい学生のための「ヒントなし」オプションも含まれています。これにより、学生は自分に最適な難易度を選択し、必要に応じてステップバイステップのガイドに戻ることができます。学生は、コース終了後もラボの指示、アプリケーションコード、IaCを使用し続けることができます。これにより、各自のクラウド環境ですべてのラボ演習を何度でも繰り返すことができます。SEC510はまた、学生たちにゲーム化された環境で毎日ボーナス・チャレンジに参加する機会を提供し、同時にビッグ3のCSPや関連する電力会社でより実践的な体験を提供します。あなたはSEC510チャレンジ・コインを獲得できますか?

  • セクション1:IAMの基礎、仮想マシンのクレデンシャル公開、壊れたアクセス制御とポリシー分析、IAM特権のエスカレーション、ボーナスチャレンジ セクション1
  • セクション2:イングレットトラフィックの制御、パブリック仮想マシンの保護、プライベートエンドポイントによるイグレットトラフィックの制御、プライベートエンドポイントの悪用によるリ
    モートコード実行、ボーナスチャレンジ セクション2
  • セクション3:不適切な鍵の使用の検出と防止、「あらゆるものを暗号化せよ!」、ランサムウェアからの回復、機密データの検出と流出、ボーナスチャレンジ セクション3
  • セクション4:サーバーレスの餌食、サーバーレス関数の強化、CIAMの利用と悪用、壊れたFirebaseデータベースアクセス制御、ボーナスチャレンジ セクション4
  • セクション5:セキュアなマルチクラウド統合、自動化されたベンチマーク、クロスクラウドで混乱するデピュティの防止、ボーナスチャレンジ セクション5

先月、3大プロバイダーのうちの1社のコースを受講したが、最初の2~3時間はほとんど毎日が売り込みだった。そのコースはまた、コマンドラインやテラフォームを活用するのではなく、コンソールをクリックしまくる方向に向いていた。

- Philip B, US Military

このコースは、この業界に携わる者にとって必修です。クラウドの物事が(潜在的に)悲惨なものであることは理解していましたが、このコースによって、それが本当に悪いものであることに気づかされました。私はすでに5枚のヘルプデスクチケットを提出し、スタッフに修正を依頼しました。

- Anita Simoni, County of Monterey ITD

練習問題は期待以上でした。各セクションで学んだ情報の実践的な実装であり、相互に積み重ねられ、知識を検証し、問題の複雑さを学ぶためのシームレスな方法を提供します。

- David Wayland

シラバス概要

  • セクション1 - クラウドIAMの安全な利用とIAMクレデンシャルの保護
  • セクション 2 - プライベート・クラウド・ネットワークへのインフラとデータ・アクセスの制限、パブリック仮想マシンの保護、セキュアなリモート・アクセス機能の使用、リモート・コード実行の防止、トラフィック監視機能の有効化
  • セクション3 - 暗号キーの管理、クラウドサービス間での静止時および移動時の暗号化、クラウドストレージサービスでのランサムウェアの防止、データ流出の防止、クラウド内の機密データの検出
  • セクション4 - サーバーレスFaaS上で実行されるアプリケーションの保護、クラウド顧客IDおよびアクセス管理(CIAM)プラットフォームの保護、アプリケーション消費者IDの管理、Firebase(Google Cloudに買収され統合されたサービス群)のセキュリティ問題の軽減
  • セクション5 -クラウド間の安全な認証、誤設定ベンチマークの自動化、クラウド・セキュリティ・ポスチャ管理(CSPM)プラットフォームを含むクラウド・ベンダーとの統合によるリスクの軽減。

無料の参考教材

本コースの提供教材

  • 印刷教材と電子教材
  • コースのMP3オーディオファイル
  • SANSクラウドセキュリティフライトシミュレータへのアクセス
  • 組織で使用できる各クラウドプラットフォームの数千行のIaCと安全な設定

次に受講すべきコース

SANSは、あなたの職務に応じて、SEC510を補完する優れたコースをいくつか提供しています:

セキュリティ・エンジニア

セキュリティ・アナリスト

職務に応じたトレーニングジャーニーについては、こちらをご覧ください。

GIAC Public Cloud Security (GPCS) 認定試験

GIACパブリッククラウドセキュリティ(GPCS)認定資格は、パブリッククラウドとマルチクラウドの両方の環境でクラウドを保護する実務者の能力を検証します。GPCS認定のプロフェッショナルは、AWS、Azure、GCPのニュアンスに精通しており、これらの各プラットフォームを防御するために必要なスキルを持っています。

  • パブリック・クラウド・サービス・プロバイダーの評価と比較
  • パブリッククラウド環境の監査、ハードニング、セキュリティ保護
  • マルチクラウドのコンプライアンスと統合の紹介

詳細はこちら

※SEC510は、GIAC(GPCS)認定試験対象コースです。

受講対象者

前提条件

SEC510では、Terraform Infrastructure-as-Codeを使用して、ラボの各クラウドにサービスをデプロイし設定しますが、学生はTerraformの深い知識や使用されている構文を理解する必要はありません。しかし、学生はこのコードが何を達成するのかについて高いレベルで紹介されます。

以下は、SEC510の前提条件となるコースまたは同等の経験である:

  • SANS SEC488:クラウドセキュリティエッセンシャル、またはAWSとAzureクラウドの実務経験。
  • クラウドIAMとネットワーキングの基本的な概念に精通していること。
  • 受講者はBashコマンドの操作に慣れていなければならない。

注意:このコースはアプリケーションセキュリティのコースではなく、脆弱なアプリケーションコードを修正する方法を教えるものでもありません。その代わりに、AppSec インシデントが侵害になるのを防ぐために使用できる、実践的なコントロールと緩和策を学びます。コードの書き方を知っていることは役に立ちますが、このコースでは必須ではありません。

講義内容

コース開発者より

複数のパブリッククラウドプロバイダーを利用することは、セキュリティとコンプライアンスの専門家にとって新たな課題と機会をもたらす。サービス提供の状況は常に進化しているため、すべてのクラウドで有効でないセキュリティ・ソリューションを処方するのはあまりにも簡単です。マルチクラウドの動きを否定したり、企業レベルでブロックしたりすることは魅力的ですが、これは問題をコントロールすることを難しくするだけです。

そもそもなぜチームは複数のクラウドプロバイダーを採用するのだろうか?自分たちの仕事をより簡単に、あるいはより楽しくするためだ。開発者は、中央のセキュリティ・チームのためではなく、組織の目標を達成するための製品を作っている。あるサービスによって、製品をより早く市場に投入できることを発見したチームは、それを利用することができるし、利用すべきである。セキュリティは、マルチクラウドの必然性を受け入れ、組織が迅速かつ安全に移行できるように、ガードレールを実装する大変な仕事を引き受けるべきである。

マルチクラウドの嵐は、好むと好まざるとにかかわらず、ここに来ている。あなたの組織が雨に溺れるのを防ごう。

- Brandon Evans and Eric Johnson

単に傑出している!すべてにおいて。非常によくできている。

- Ryan Stillions, IBM X-Force IR

  • Day1
  • Day2
  • Day3
  • Day4
  • Day5

Cloud Identity and Access Management

概要

SEC510では、まずクラウド侵害の傾向を簡単に概観し、なぜ侵害の大半がクラウドで起きているのかを探ります。マルチクラウドがどのようにセキュリティを難しくしているのか、なぜ企業はマルチクラウド化を進めているのか、標準化とクラウド不可知論の両方だけでは問題を解決できないのかを探ります。また、攻撃主導のコントロールとミティゲーションを実装するために、コースを通して使用する3つのフレームワーク、MITRE ATT&CK Cloud Matrix、Center for Internet Security (CIS) Cloud Foundational Benchmarks、Cyber Defense Matrixを紹介します。その後、学生はラボ環境を初期化し、最新のウェブアプリケーションをビッグ3の各プロバイダーにデプロイします。

これは、クラウド・セキュリティにおける最も基本的で誤解されている概念の1つを分析することにつながる:アイデンティティとアクセス管理(IAM)です。このモジュールでは、すべての受講生がIAMの基礎知識を身につけ、その上に残りのセクションが構築されるようにします。アクセスを適切にプロビジョニングすることで達成される目標、各クラウドの IAM サービス(AWS IAM、Microsoft Entra ID、Google Cloud Identity)、各サービスが提供するさまざまなタイプのアクセス制御について説明します。

次のモジュールでは、人間のIDからマシンのIDへと議論をシフトします。AWS Elastic Compute Cloud (EC2)、Azure Virtual Machines (VM)、Google Cloud Compute Engine (GCE)上で実行されるワークロードに、一時的なIAM認証情報がどのように付与されるかを学びます。その後、インスタンス・メタデータ・サービス(IMDS)を使用してクラウド仮想マシンから実際のIAM認証情報を漏洩させ、攻撃者がそれを悪用して機密性の高いクラウドデータにアクセスし、クラウドリソースを消費する方法を実際に検証します。

この基礎の上に立って、学生は不適切なパーミッションの付与によって引き起こされる主な脆弱性について議論する:ブロークン・アクセス・コントロール(BAC)。様々なツールを使って、不適切なアクセスを検出し、より良いパーミッションを実装する方法を学びます。この目的のために設計されたクラウドネイティブツール、AWS IAM Access Analyzer、Microsoft Entra ID Permissions Management、Google Cloud IAM Policy Intelligenceについて学びます。また、大規模言語モデル(LLM)とジェネレーティブAI(GenAI)がこの分析をどのように補強できるかを探ります。これらの戦略は、些細な脆弱性が一面的なニュースになるのを防ぐために非常に重要です。

このセクションの最後に、攻撃者が不適切なパーミッションを取得する重要な方法について説明する:特権の昇格である。各クラウド・プロバイダーでデフォルトで利用可能な多くの権限昇格経路を検証する。ポリシーのガードレールを実装することで、特権昇格が有効である可能性を大幅に最小化することができる。

エクササイズ

IAMの基礎
仮想マシンのクレデンシャル公開
壊れたアクセス制御とポリシー分析
IAM特権のエスカレーション
ボーナスチャレンジ(第1節)

トピックス

  • はじめに
    • クラウド侵害の傾向
    • 安全でないデフォルト
    • マルチクラウドの考察
    • シャドークラウドアカウント
    • M&Aによるクラウド調達
    • 標準化とクラウド不可知論
    • MITRE ATT&CK クラウドマトリックス
    • センター・フォー・インターネット・セキュリティ(CIS)クラウド・ファウンデーション・ベンチマーク
    • サイバー防衛マトリックス
    • ラボ環境紹介
    • HashiCorp Terraformの概要
  • クラウド・アイデンティティおよびアクセス管理(IAM)
    • AWS IAM
    • マイクロソフトエントラID
    • Google Cloud Identity
    • アイデンティティ・ベースのポリシー
    • 資源ベースの政策
    • 属性ベースのアクセス制御
    • 組み込みとカスタムのポリシーと役割
    • AWS組織サービスコントロールポリシー(SCP)
    • AWS権限の境界
    • AWSセッションポリシー
    • Azureロールベースアクセスコントロール(RBAC)
    • Googleクラウド許可ポリシー
    • Google Cloud拒否ポリシー
  • クラウド・マネージド・アイデンティティ・メタデータ・サービス
    • クラウド・コンピュート・サービス
    • マシン・アイデンティティ
    • AWS Elastic Compute Cloud (EC2)
    • AWS IAMロール
    • AWSインスタンスプロファイル
    • Azure仮想マシン(VM)
    • Azure Managed Identity
    • グーグル・クラウド・コンピュート・エンジン(GCE)
    • Googleクラウドサービスアカウント
    • インスタンス・メタデータ・サービス(IMDS)
    • IMDSの悪用
    • サーバーサイドリクエストフォージェリ
    • コマンド・インジェクション
    • IMDSハードニング
  • 壊れたアクセス制御とポリシー分析
    • 組み込みのポリシーと役割を悪用する
    • クラウド・リソース・ハイジャック
    • カスタムポリシーを使用してビジネス要件を満たす
    • 壊れたアクセス制御の発見
    • AWS IAMアクセスアナライザー
    • マイクロソフトEntra ID権限管理
    • Google Cloud IAMポリシーインテリジェンス
    • 大規模言語モデル(LLM)と生成AI(GenAI)の概要
    • IAMポリシー分析のための大規模言語モデル(LLM)の使用
    • LLMをセキュリティに応用するための効果的な使用例と非効果的な使用例
    • LLMの幻覚による壊れたアクセス制御
  • IAM特権のエスカレーション
    • IAMパーミッションエディター
    • 遷移的同一性なりすまし
    • 危険な組み込みのポリシーと役割
    • デフォルトのマシン ID 権限
    • 特権の昇格を防ぐ
    • ポリシーのガードレール

Cloud Virtual Networks

概要

セクション2では、仮想プライベート・ネットワーク制御を使ってインフラとデータをロックダウンする方法について説明する。パブリック・クラウドのIPアドレス・ブロックはよく知られており、デフォルトのネットワーク・セキュリティは緩いことが多いため、何百万もの機密資産が不必要にパブリック・インターネットにアクセス可能になっている。このセクションでは、これらの資産のどれもが組織のものではないことを確認する。

各プロバイダー内で、どのように出入国トラフィックを制限できるかを示すことから始める。受講生は、機密情報を含む公開データベースへのアクセスなどを例に、これらの制御を行わないとどのような損害が発生するかを分析する。その後、セキュアなクラウド設定によって不要なイングレス・トラフィックを排除します。

次のモジュールでは、IaaS(Infrastructure as a Service)クラウドプラットフォームで稼働する仮想マシンの保護について深く掘り下げます。まず、AWS Systems Manager (SSM) Session Manager、Azure Bastion、Google Cloud OS Login、Google Cloud Identity-Aware Proxy (IAP)を介したセキュアな管理を可能にしながら、パブリックIPアドレス、管理ポート、シリアルコンソールサービスを削除する方法を示します。これらの技術により、組織は内部システムをパブリック・インターネットから守りながら、効果的に作業することができる。そして、HTTP(S)サーバーを公開しなければならないVMを、クラウド・アプリケーション・ロード・バランサー(ALB)とビルトインWebアプリケーション・ファイアウォール(WAF)サービスで保護する方法について説明します。

インフラをロックダウンした後は、プライベート・エンドポイントを使用して、信頼できないネットワークからPlatform as a Service(PaaS)プラットフォームへのアクセスを防ぐことに焦点を絞ります。内部ネットワークへのデータ・アクセスを制限するために、防御者がどのようにこれらのエンドポイントを使用できるかを実演します。組織の最も機密性の高いデータは、IaaSではなくPaaSに保存されていることが多いため、このトピックは非常に重要です。

プライベートエンドポイントは強力な保護を可能にする一方で、悪用される可能性もあります。具体的には、エンドポイントポリシーが不適切に設定された AWS プライベートエンドポイントを使用して、インターネットに接続されていない孤立したネットワークからリモートコード実行(RCE)を実行し、データを流出させることができます。学生は悪意のあるペイロードを使用して、ターゲットのAWSアカウントから攻撃者のAWSアカウントにデータを流出させます。その後、この攻撃ベクトルを防ぐためにエンドポイントポリシーを修正します。

このセクションでは、ブロックできないネットワーク・チャネル上の悪意のあるトラフィックに対処するために、クラウドベースのネットワーク分析機能を有効にする方法について説明します。受講者は、クラウドのフロー・ログを分析し、侵害の指標を検索します。このモジュールでは、Google Cloud Firewall Rules logging、AWS Traffic Mirroring、Google Cloud Packet Mirroring の 3 つのクラウドすべてにおけるフロー・ロギング・ソリューションを取り上げます。これらのトピックの多くには、関連するボーナス課題があります。

エクササイズ

  • 進入トラフィックの制御
  • パブリック仮想マシンの保護
  • プライベート・エンドポイントによる出口トラフィックの制御
  • プライベートエンドポイントの悪用によるリモートコード実行
  • ボーナスチャレンジ(第2節)

トピックス

  • クラウド仮想ネットワーク
    • ネットワークサービスのスキャン
    • デフォルトのネットワーク構成
    • インターネット・ゲートウェイ
    • NATゲートウェイ
    • AWSセキュリティグループ
    • AWS NACL
    • Azureネットワークセキュリティグループ
    • Google Cloudファイアウォールのルール
  • パブリック仮想マシンの保護
    • パブリックIPアドレスの排除
    • SSHとRDPの管理アクセスをブロックする
    • シリアルコンソールデバッグアクセスを無効にする
    • AWS Systems Manager (SSM) セッションマネージャ
    • アズール・バスティオン
    • Google Cloud OSログイン
    • Google Cloud Identity-Aware Proxy (IAP)
    • クラウドアプリケーションロードバランサー(ALB)
    • 内蔵ウェブアプリケーションファイアウォール(WAF)サービス
  • プライベート・エンドポイント・セキュリティ
    • AWSプライベートリンク
    • Azureプライベートリンク
    • Google Cloud プライベート Google アクセス
    • Google Cloud VPC サービスコントロール
    • カスタム・サービス・エンドポイント
    • ソフトウェアパッケージ経由のサプライチェーン攻撃
    • リモートコード実行(RCE)
  • プライベート・エンドポイントの悪用
    • AWSプライベートエンドポイントポリシー
    • インターネットにアクセスせずにリモートでコード実行
    • S3およびプライベート・エンドポイントを介した悪意のあるペイロード配信
    • AWS CloudTrailを介したデータ流出
  • トラフィック監視の有効化
    • フロー・ロギング
    • Google Cloudファイアウォールのルールログ
    • AWSトラフィックミラーリング
    • Google Cloud パケットミラーリング

Cloud Data Security

概要

クラウドにおけるデータ・セキュリティは、オンプレミスと同様、いやそれ以上に重要である。適切なコントロールがあれば防げたはずのクラウド上のデータ漏えいは数え切れないほどある。このセクションでは、データの暗号化、セキュアなストレージ、ランサムウェア対策、アクセス制御、データ損失の検出、ポリシーの実施などを可能にするクラウド・サービスについて検証する。

セクション3の前半では、クラウドにおける暗号化について知っておくべきことをすべて学びます。各プロバイダーの暗号鍵管理ソリューションと、それを使用して静止時に複数のレイヤーの暗号化を適用する方法について学びます。また、クライアント、ロードバランサー、アプリケーション、データベース・サーバー間の暗号化など、クラウド全体でトランジット中の暗号化がどのように実行されるかを学びます。これらのテクニックは、組織のセキュリティを向上させると同時に、法的およびコンプライアンス上のニーズを満たすものです。

セクション3の後半は、主にクラウドストレージサービスに焦点を当てている。最も基本的なストレージ・セキュリティの手法であるパブリック・アクセスのオフについて簡単に説明した後、組織全体のアクセス制御、ランサムウェアの緩和、ファイルのバージョニング、データの保持など、より高度な制御について説明する。最後に、さらなるデータ流出経路と、機密データの保存を自動的に検出する方法について説明します。

エクササイズ

  • 不適切なキーの使用を検出し、防止する
  • あらゆるものを暗号化する!
  • ランサムウェアからの回復
  • 機密データの検出と流出
  • ボーナスチャレンジ(第3節)

トピックス

  • 暗号鍵管理
    • AWS KMS
    • Azure Key Vault
    • Google Cloud KMS
    • シングルテナントの代替案の概要AWS CloudHSM、Azure Dedicated HSM、Azure Key Vault Managed HSM、Google Cloud Bare Metal (Rack) HSM
    • キー使用監査ログ
  • クラウドサービスによる暗号化
    • ディスクレベルの暗号化
    • サービスレベルの暗号化
    • 列レベルの暗号化
    • 輸送中の暗号化
    • クラウド・サービス全体で一貫した暗号化の実施
  • クラウド・ストレージ・プラットフォーム
    • アクセス・コントロール
    • ランサムウェアの予防と復旧
    • 監査ログ
    • データ保持
    • 開発者ツールによるサプライチェーン攻撃
  • 機密データの流出
    • データ流出経路
    • 署名入りURL
  • 機密データの検出
    • アマゾン・マシー
    • Amazon CloudWatch ログデータ保護
    • Microsoft PurviewとAzure情報保護の概要
    • Google Cloud データ損失防止 / 機密データ保護

Cloud Application Services and User Security

概要

このセクションでは、クラウドベースのアプリケーションを駆動するインフラストラクチャを保護する方法と、それらのアプリケーションのユーザーを保護する方法を学びます。まず、業界を席巻しているコンピューティング・パラダイムであるサーバーレスFaaS(Functions as a Service)について説明します。本書では、サーバーレスがもたらす課題と、製品開発やセキュリティ運用の安全性を確保する上でサーバーレスがもたらす利点について、バランスよく論じている。Serverless Prey(本コースの著者が開発したオープンソースツール)を使用してサーバーレスの実行環境を調査した後、実際の環境で実用的なサーバーレス機能を調査し、強化します。

次のモジュールは、CIAM(Customer Identity and Access Management)が組織のアプリケーションのユーザを追跡し、認証するのにどのように役立つかをカバーします。このモジュールは、AWS の CIAM ソリューションである Amazon Cognito を深く掘り下げ、そのデフォルト構成がどのようにユーザ列挙攻撃とアカウント乗っ取り攻撃を実行するために悪用されるかを説明します。また、Cognito Identity Poolsを使用して、Cognito User Poolsのユーザーがどのように危険なAWS IAM権限を取得できるかを示します。最も重要なことは、これらの攻撃をどのように防ぐことができるかを示すことです。

このセクションでは、Google CloudのCIAMソリューション、Google Cloud Identity for Customers and Partners(CICP)も取り上げる。Google CloudはFirebaseという会社の買収によってこのサービスを手に入れた。このセクションは、このCIAMとFirebaseの主力製品であるRealtime DatabaseとCloud Firestoreとの相互作用の詳細な内訳で締めくくられている。これらのサービスは非常に人気があるが、ほとんどレビューされていないサーバーレスデータベースであり、Google Cloudプロジェクトにとって多くのアクセス制御の考慮事項やセキュリティへの影響がある。

エクササイズ

  • サーバーレスの獲物
  • サーバーレスファンクションを固める
  • CIAMの使用と活用
  • Firebaseデータベースアクセス制御の不具合
  • ボーナスチャレンジ(第4節)

トピックス

  • クラウド・サーバーレス機能
    • AWSラムダ
    • Azure FunctionsとAzure App Service
    • Google Cloud Functions / Google Cloud Run Functions
    • サーバーレスにおけるセキュリティの利点と懸念事項
    • サービスコントロール機能
    • サーバーレスでの永続性
  • クラウド・カスタマー・アイデンティティ・アンド・アクセス・マネジメント(CIAM)
    • OAuth 2.0、OpenID Connect(OIDC)、SAMLの概要
    • Amazon Cognitoユーザープール
    • ユーザー列挙攻撃
    • Amazon Cognitoユーザーアカウント乗っ取り攻撃
    • Amazon Cognitoアイデンティティ・プール
    • Amazon Cognito AWS IAM 壊れたアクセス制御
    • Google Cloud Identity(顧客およびパートナー向け
    • Firebase認証
  • FirebaseデータベースとGoogle Cloudの意義
    • Firebaseリアルタイムデータベース
    • クラウド・ファイアーストア
    • Firebase を介した Google Cloud の特権のエスカレーション
    • コンプライアンスに関する懸念

Multicloud and Cloud Security Posture Management

概要

コースの最後には、複数のクラウドプロバイダーにまたがって組織を運用する方法についての実践的なガイダンスがある。このコースで取り上げるトピックの多くは、組織のクラウドプロバイダーが互いに統合されている場合に、より複雑になる。まず、マルチクラウドの統合がアイデンティティとアクセス管理(IAM)にどのような影響を与えるかについて説明する。多くの組織では、マルチクラウド統合をサポートするために長期間の認証情報を使用している。このような認証情報は、攻撃者にとって短命の認証情報よりもはるかに価値があります。受講者は長寿命のクレデンシャルのベストプラクティスを学びますが、これはリスクを軽減するだけであり、排除するものではありません。このモジュールでは、ワークロード ID フェデレーションを使用して、短命のクラウド認証情報を使用してあるクラウドプロバイダーから別のクラウドプロバイダーに認証する新しい方法を示すことで、さらに一歩進めます。

次のモジュールでは、クラウドネイティブの CSPM(Cloud Security Posture Management)サービスを取り上げます。受講者は、これらのサービスを使用して、コース全体を通じてカバーされる CIS ベンチマ ークのセキュリティ・チェックを自動化する。これらの機能により、組織はSEC510で学んだ教訓を大規模に適用することができます。

最後のモジュールは、これら2つのトピックを結びつける。ほとんどの組織は、単一のプラットフォームを使用してすべてのクラウドをセキュアにすることを望んでいる。そのためには、ベンダーが組織のクラウドアカウントにアクセスできる必要がある。組織は、社内のシステムやユーザーと同等かそれ以上に、外部のサービスを信用しないようにしなければならない。このモジュールでは、このようなベンダーの信頼レベルを最小化し、この信頼が悪用されるリスクを低減するための主な要件を提供します。受講者は、マルチクラウドのCSPMサービスを例に、このトピックを探求します。具体的には、Microsoft Defender for Cloudのクロス・クラウドCSPM機能について学びます。このコースの著者によって発見された Microsoft Defender for Cloud の致命的な脆弱性をケーススタディとして分析し、組織のリンクされた AWS アカウントの機密データにアクセスするために使用される可能性があることを学びます。最後に、サードパーティのクラウドベンダーを経由して同様のタイプのエクスプロイトが実行されるのを防ぐための緩和策を実装します。

エクササイズ

  • 安全なマルチクラウド統合
  • 自動ベンチマーク
  • クロスクラウドでの副保安官の混乱を防ぐ
  • ボーナスチャレンジ(第5節)

トピックス

  • マルチクラウド・アクセス管理
    • 長寿資格のリスク
    • ワークロード・アイデンティティ・フェデレーション
    • 長期間のクレデンシャルを必要としないクロスクラウド認証
  • クラウド・セキュリティ・ポスチャー管理
    • AWSセキュリティハブ
    • クラウド版Microsoft Defender
    • Googleクラウドセキュリティコマンドセンター
  • ベンダー統合とマルチクラウド・セキュリティ体制管理
    • サードパーティ・マルチクラウドのセキュリティ体制管理
    • ベンダー統合の評価基準
    • Microsoft Defender for CloudのクロスクラウドCSPM機能
    • 混乱する副保安官問題
    • クラウド版Microsoft DefenderにConfused Deputyの脆弱性
    • クラウドベンダーを介した顧客間のアクセス制御の破綻を緩和する
    • クラウドベンダーへの過剰な権限付与の拒否
  • まとめ
  • その他のリソース

NRIセキュアではNews BitesやOUCH! を日本語に翻訳して皆さまにお届けしています。
購読制を採っておりますので、
ご希望の方は、ニュースレター登録からお申し込みください。