SECURITY 545 | ||||||||||||||||||||||||||||||||
Cloud Security Architecture and Operations |
||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||
受講に必要なPC環境
演習で使用するノートPCをご持参下さい。受講に必要なPC環境についてご確認ください。
SEC545 PC設定詳細
SEC545にご参加いただく受講生は、トレーニングにおいてインストールや設定変更のほか、講義でお伝えしたツールやテクニックを試していただく時間があります。SANSからVMをUSBメモリに格納して配付しますが、トレーニングに参加する前に、いくつかの設定などを適切に行なっていただく必要があります。多くはAWSクラウドによるオンラインで行なわれますので、以下に掲げるガイドをお読みいただき、準備を行ってください。
重要:ホストOSとして動作するWindowsやMac OSX、あるいはLinuxは64ビット版をご用意いただき、仮想化ソフトウエアのVMwareが動作するようにしてください。実装メモリは最低でも8GB以上でなければVM機能などが適切に処理できません。また、VMwareは、トレーニングが始まる前までにインストールを済ませておいてください。その際、BIOSなどの設定を確認して、仮想化テクノロジーが有効になっていること、忘れずにご確認ください。
最低システム要件
- ホストOSは64ビット版のWindows、Linux、またはMac OS X
- 最低でも8GB以上の実装メモリ
- 40GB以上の空きストレージ領域(なるべく多く確保していただくことを推奨)
- ホストOSに対する管理者権限アクセスが行なえること
- ウイルス対策ソフトウエアを無効に設定することができること(ツールのインストールや実行に制限をかけるようなものがあれば、それも対象に含まれます)
- USBポート
- 無線ネットワークアクセスが可能なこと
- 組織の重要な情報や個人情報などがPCに保存されていないこと
- BIOSにおいて仮想化技術サポートの設定を「有効」に変更できること
必要な事前ダウンロードファイル等
- 64ビット版のホストOS(Windowsを推奨します)
- VMware Workstation 11、VMware Fusion 7、または VMware Workstation Player 7よりも新しいVMware仮想化ソフトウエア(こちらはインストールまで済ませておいてください)
- Adobe Acrobat または PDF閲覧ソフトウエア
- Microsoft Excel (Mac OS XやLinux向けのOpenOfficeでも構いません)
事前に登録が必要なアカウントサービス
演習ではAWSを使用するため、有効なAWS(Amazon Web Service)アカウントを、トレーニング開始前までに取得しておいてください。アカウントの作成や設定に関する説明は、こちらのドキュメントを参考にしてください(英語)。 https://www.sans.org/media/security-training/laptop/Creating_your_SEC545_AWS_Account.pdf
今回のシステム要件の中で最も重要なのは、CPUが64ビットでの動作を行なえるかということです。SANSが提供するVMも64ビット版のため、ホストOSも64ビット版、CPUも64ビット動作が有効でなければなりません。VMwareでは、お持ちのマシンが64ビットで動作するかを検証するツールをWindowsとLinux環境向けに提供しています。また、Mac OSについては、Appleのサイトをご確認いただき、トレーニングに持参を予定しているノートPCが64ビットで動作するかどうかを事前にご確認ください。
VMware Workstation 11、VMware Fusion 7、または VMware Workstation Player 7を事前にダウンロードしてインストールしていただくことを、トレーニングが始まる前までに準備としておねがいをしていますが、VM ware WorkstationやVMware Fusionは、商用ソフトウエアのため、ライセンス購入をためらわれている方がいらっしゃるかもしれません。しかし、この2つのソフトウエアは、トライアルライセンス制度を設けているため、VMwareにリクエストをすると30日間無償で使えるライセンスを発行してくれます。トライアルライセンスについての詳細とリクエストについては、VMwareのWebサイトをご覧ください。
最後にSEC545のチェックリストを以下に示します。
- ホストOSとシステムは64ビットで動作していること
- ホストOSの管理者権限を行使できること
- ウイルス対策ソフトウエアに代表されるエンドポイント保護ソフトウエアの機能を無効化できること
- システムでUSBポートを使用可能な状態に設定されていること
- 仮想化ソフトウエアのVMware Workstation、Fusion、またはWorkstation Playerをダウンロードしインストールまで完了させていること
コース概要
組織によるデータ保存やネットワーク基盤構築にクラウドを活用するケースが増加している今日、セキュリティの確保は最大優先事項であると言えます。運用チームや開発チームはクラウドサービスに新しい活用方法を見出し、経営層は経費節減とともに新しい可能性と運用の効率化に期待しています。しかし、過大な期待を寄せるのは少し早すぎで、場合によって情報セキュリティはアキレス腱のような位置づけになる可能性があります。多くのクラウド事業者は内部環境に関する詳細な情報提供を行っているケースは少なく、内部で適用されている一般的なセキュリティ施策がそのままパブリッククラウドに適用されるケースは、残念ながら少ないと言えます。
SEC545 Cloud Security Architecture and Operationsではこの課題を一つひとつ解決するために、クラウドセキュリティの基本について理解することを手始めに、セキュリティプロフェッショナルが知っておくべきクラウドポリシーとガバナンスに関する重要なコンセプトについて解説します。初日と2日目は、技術的なセキュリティの原理原則について学習し、代表的なクラウド(SaaS、PaaS、IaaS)の制御について理解します。また、クラウド制御向けのクラウドセキュリティアライアンスフレームワークを学習し、クラウドサービスのリスクについても掘り下げて評価を行うなど、特に取り組むべきテクニカル分野について追求していきます。
講義では、新規のアーキテクチャーを構築し、実証済みのセキュリティツールとプロセスをクラウドに組み込むために必要なクラウドアーキテクチャーとセキュリティデザインについて進めていきます。また、ネットワークセキュリティを取り巻くファイアウォール、アクセスコントロール、IDSなどについてはもちろん、その他のクラウドセキュリティに関するレイヤーについても包括的な議論を行っていきます。その際、セキュアインスタンスの構築、データセキュリティ、アカウント管理など、それぞれのレイヤーについて触れていきます。さらに、脆弱性マネジメントやペネトレーションテストなど最新かつ最良のクラウドセキュリティリサーチに切り込んでいき、クラウドにおける攻撃の焦点について理解します 。防御の観点では、インシデントハンドリング、フォレンジック、イベント管理、アプリケーションセキュリティに関して深い知識を得ることを目指します。
最終的には、DevSecOpsとオートメーションに目を向け、オーケストレーションとクラウドライフサイクルにおけるそれぞれの事項に対してセキュリティを埋め込む方法を習得します。実践的なツールや戦術について学習し、さらにAPIやスクリプトを用いたインシデントハンドリングとその導入など、自動化されたセキュリティの最新の仕組みをいくつかのケーススタディを交えて学習します。
本講座受講にあたっての前提
- TCP/IP、ネットワークセキュリティ、セキュリティアーキテクチャに関する基本知識がある
- CLI操作(LinuxによるCLI操作推奨)ができる
- VMware仮想化に関する基本知識があり操作できることが望ましい
受講対象者
- クラウド環境を利用するユーザー組織のセキュリティ技術者
- セキュリティアナリスト
- セキュリティアーキテクト
- シニアセキュリティエンジニア
- テクニカルセキュリティマネージャ
- セキュリティ監視アナリスト
- クラウドセキュリティアーキテクト
- DevOpsとDevSecOpsエンジニア
- システム管理者
- クラウド管理者
講義内容の一例
- クラウドセキュリティに関する適切な事象を取り込んだ内部ポリシーの修正と構築
- クラウドに関連する脅威、脆弱性とその影響を加味したリスクの理解
- 重要なセキュリティトピックとSaaS、PaaS、IaaSに関連するリスクの明確化
- より良いSaaS展開の保護とモニタリングを行うためのCASB(Cloud Access Security Brokers)の評価
- ハイパーバイザーからアプリケーションのレイヤー管理などハイブリッドクラウド環境全てのレイヤーにおけるセキュリティ構築
- 基本的な仮想化ハイパーバイザーセキュリティ管理の評価
- パブリッククラウドにおけるネットワークセキュリティアクセスコントロールとモニタリングデザインおよび実装
- IPSecトンネルを含むクラウドネットワークアーキテクチャのデザイン
- セキュリティアーキテクチャへのクラウドアイデンティティ・アカウント管理(IAM)統合
- 様々なクラウド暗号種別とフォーマットの評価と実装
- サブネット、有効ゾーン、ゲートウェイ、NATを使用したPVCにおけるマルチティアクラウドアーキテクチャーの構築
- DevOpsへセキュリティを統合しDevSecOps構造を構築
- AWSとネイティブツールを用いた自動展開ワークフローの構築
- クラウド環境における脆弱性管理、スキャニング、ペネトレーションテストの併用
- AWS-IR、CloudWatch、CloudTrail、AWS Lambdaなどを用いた柔軟性のある検知と対応プログラムの構築
- AWS CLIを活用した自動的タスクの実行
- エンタープライズオートメーションプラットフォーム(Ansible)を活用したタスクの自動設定とオーケストレーション
- CloudWatch、CloudFormationなどのオートメーションツールを使用した自身のクラウドセキュリティプログラムへの自動セキュリティコントロールの統合
ハンズオン
本コースでは、数々のハンズオンを通じてナレッジトランスファーを行い、受講生のスキルを補強します。このアプローチは従来までのレクチャー形式の講義よりもより実践に即した形で進められるためより良い結果となります。ハンズオンは毎日実施され、講義で行った内容を実際のツールや設定を自身の手を動かしながら実践していくことで効果的なセキュリティスキルを習得することが可能です。また、ラボは以下の複数のテーマから構成されています。
- ポリシーとガバナンスラボ
- SaaSラボ
- アーキテクチャーとデザインラボ
- セキュリティオートメーションラボ
- 攻撃と防御ラボ
- ログ収集とレビューラボ
- flAWSの実行(クラウドCTF)
クラウドはますます早いスピードで姿形を変えています。セキュリティチームは流動資産をクラウドへ移動するのに早急に適応する必要があります。しかし、残念なことに多くのセキュリティチームはクラウド環境をセキュアにするために必要とされるツールや管理コンソール、デザインモデルについてあまり表情が明るくありません。さらに、多くのDevOpsチームは自動展開システムパイプラインの構築を行っていますが、セキュリティチームはこのワークフローには組み込まれていません。このコースではクラウドに関するポリシー、契約、ガバナンスなど全てのレイヤーで必要となるコントロールを習得していきます。クラウドアーキテクチャー、IAMや暗号、攻撃者と防御者の視点の違いについてもカバーします。最終的にはDevOpsチームと効果的に連携し合い、持続可能なクラウドセキュリティプログラムを構築する支援を行います。
- Dave Shackleford
Cloud Security Foundations
Day1は用語、分類、基本的な技術的前提を含むクラウドの解説を行います。また、今日クラウド環境周辺で起きている事象と14項目から構成されるCloud Controls Matrixを含むCloud Security Allianceなどのガイドラインやクラウドセキュリティについて学習します。
また、組織が適切にクラウドを取り込むために必要なセキュリティおよびITポリシーの変更についても議論します。ひと通りの作業が終わった後、それぞれ異なるクラウドモデルについての技術的な懸念事項について学習します。SaaS(Software-as-a-Service)を手始めに、主なセキュリティ管理について見ていき、CASB(Cloud Access Security Brokers)で知られるSecaaS(specialized type of Security-as-a-Service)についても触れます。そしてさらに、PaaS(Platform-as-a-Service)とIaaS(Infrastructure-as-a-Service)に関して解説します。
演習
- AWSとそのセキュリティ
- クラウドポリシーの評価
- クラウド契約書の評価
- クラウドコンテナのセキュア化とデプロイ
- CloudPassageによるSecaaS
CPE/CMU Credits: 6
トピック
- クラウドとその基本的なセキュリティについての解説
- Cloud Security Alliance Guidance
- Cloud Policy and Planning
- SaaSセキュリティ
- CASB (Cloud Access Security Brokers)
- PaaSとIaaSのセキュリティ管理の解説
クラウドコンピューティングのためのコアセキュリティコントロール
従来までのインハウス型管理とクラウドによる管理との違いについて議論します。両者の多くは類似しており相互関係にあるものの、全てがそうではありません。多くのクラウド環境が仮想技術の上に実装されており、その基本的なセキュリティを理解することで、内部の仮想資産を統合したハイブリッドクラウド構築やクラウド事業者が提供しているセキュリティコントロールの適切な評価に役立つことになります。そして、従来のセキュリティ管理と大きく異なるクラウドのネットワークセキュリティ管理とそのトレードオフについて分類を行い、相違点を把握します。
またこの日は、PaaSとIaaS環境について、仮想マシン(インスタンス)やそこから展開するイメージを安全に保つことに焦点を当てます。これは非常に重要です。さらに、クラウド環境にいつ誰がアクセスし、何をしているかを把握するためのアイデンティティ・アクセス管理も重要です。データセキュリティ管理と暗号化、トークン化などの方法についても忘れてはいけません。アプリケーションセキュリティについても触れていきます。こうして全てのセキュリティ管理に関する事項を理解することで、クラウド事業者によるセキュリティ管理を適切に評価することが可能になります。
演習
- ハイパーバイザーのセキュリティ
- VPCとクラウドネットワークの設定
- AWS設定のコントロールとアセスメント
- クラウドのリスクアセスメント
CPE/CMU Credits: 6
トピック
- クラウドセキュリティ: インハウス対クラウド
- 仮想化セキュリティの基礎
- クラウドネットワークセキュリティ
- インスタンスとイメージのセキュリティ
- アイデンティティ・アクセス管理
- クラウド向けのデータセキュリティ
- クラウド向けのアプリケーションセキュリティ
- クラウドプロバイダーのセキュリティ: Cloud Risk Assessment
クラウドセキュリティアーキテクチャとデザイン
クラウドの個別レイヤーに注目する代わりに、3日目はコアセキュリティコンポーネットの構築から始めます。ある環境に対してセキュリティ管理とプロセスを構築または追加するにあたり、最もパフォーマンスが高いクラウドセキュリティコントロールのベストプラクティスと原理原則を掘り下げて行きます。前日までに学習した事項を活かしてクラウドインフラとコンポーネットのセキュリティを習得します。
また、アーキテクチャーとセキュリティデザインも学びます。最初に取り掛かるのは複数種類のアクセスコントロールとコンパートメントの構築です。ここではアイデンティティ・アクセスコントロール(IAM)とネットワークセキュリティの2つのカテゴリに分類します。正しいクラウドセキュリティ戦略の屋台骨になるため、分類した内容については詳細を掘下げます。暗号技術やその管理、現在選択可能な実装方式などデータセキュリティのアーキテクチャーとデザインについても解説します。3日目の最後は可用性について掘り下げます。冗長化と可用性は今まで以上に重要になっており、クラウドプロバイダーによるツールと位置情報を活用することが求められます。同時に、クラウドプロバイダーが提示するディザスタリカバリと継続性についても評価を行わなければなりません。
演習
- S3におけるIAM
- EC2とIAMロール
- EC2システムマネージャーを使用したクラウドインスタンス管理
- コンテナシークレットと複雑なIAM
- Bastionホストとセキュアネットワークアーキテクチャー
トピック
- クラウドセキュリティアーキテクチャーの全容
- クラウドアーキテクチャーとセキュリティの原理原則
- インフラストラクチャとコアコンポーネントセキュリティ
- アクセスコントロールとコンパートメント
- 機密性とデータ保護
- 可用性
クラウドセキュリティ - 攻撃と防御
Day4ではクラウド資産に対する様々な脅威について事例をもとに掘下げていきます。STRIDEなどのメソッドや攻撃ツリー、ライブラリを用いてクラウドに特化した脅威モデルのデザインを行います。
以前はクラウドへのスキャンやペネトレーションテストの実施に際しては、クラウドプロバイダーによる様々な制限が存在しハードルの高いものでしたが、現在では比較的容易に実施が可能になってきています。ただし、クラウドの脆弱性管理戦略を計画する上ではいくつかの重要な注意事項が存在します。講義ではスキャンにより最大限の結果を得るために、クラウドプロバイダーとのスキャン実施に関する調整やスキャン実施そのものに関するノウハウ、適切な検査ツールについて解説します。
防御に関しては、ネットワークベースとホストベースのIDSについてどのように監視を行うかや、より高い検知をするためのプロセスの自動化について掘り下げます。このノウハウやテクニックは、従来までのインハウス型で実施していた手法と明らかに異なります。ぜひこの新しいプロセスを取り入れてください。さらに、クラウドの運用によりこちらも様子が大きく変化したインシデントレスポンスとフォレンジックについても学びます。ツールやプロセスが異なるため、自動化とイベントドリブンによる防御がますます重要になってきています。
演習
- AWS Inspectorを使用した脆弱性アセスメント
- クラウド脅威のモデリング
- クラウドペネトレーションテストのためのKali展開
- flAWS: クラウドベースのCTF
- クラウドのログ管理とイベント管理
CPE/CMU Credits: 6
トピック
- クラウドコンピューティングに対する脅威
- クラウドにおける脆弱性管理
- クラウドに対するペネトレーションテスト
- クラウドにおける侵入検知
- クラウドにおけるインシデントハンドリングとイベント管理
- クラウドフォレンジック
クラウドセキュリティの自動化とオーケストレーション
最終日はクラウドにおけるセキュリティの自動化をどのように進めていくかに焦点を当てて進めます。AWS CLIやAWS Lambdaを用いて自動化における前提条件を描き、DevSecOpsの原理原則に注目していきます。DevSecOpsとは何か、どのようにセキュリティをDevOpsに効果的に組み込んでいくか、クラウド開発の錬度を上げていくかについても触れていきます。AnsibleやChefなどのツールを用いて自動化とオーケストレーションの解説を行い、AWS CloudFormationやその他のツールを用いて高効率なワークフローを構築するまでをカバーしていきます。スクリプトを書くテクニックがなくとも理解できるでしょう。
また、前日からいくつかのトピックを継続し、イベントドリブン検知とイベント管理、有効とされる対応と防御に関する戦略をカバーします。全てを自動化するわけではなく、いくつかのシナリオについてはCloudWatchなどのツールを用いてセキュリティプロセスの中で必要となるアセットを識別するためのタグ付けや、様々な事象に対する自動応答と緩和対応を行います。最終的に講義では有効とされるいくつかのツールと戦略について、実践的なサンプルケースを用いて解説します。
演習
- AWS CLI自動化
- Ansibleの基礎
- Ansibleロールとセキュリティ
- AWS CloudFormation
- AWS CloudWatch
- AWS Lambdaによる自動化
CPE/CMU Credits: 6
トピック
- クラウドによるスクリプティングと自動化
- DevSecOps原理原則
- セキュアクラウドワークフローの作成
- 自動イベントマネージャの構築
- 自動防衛戦略の構築
- ツールと戦略
- 現実的なユースケース
- クラス要約