SECURITY 545

Cloud Security Architecture and Operations

日程 2020年10月5日(月)~9日(金)、10月12日(月)~16日(金)(10日間)
講義時間 9:00 ~ 13:00
会場

オンライン

講師

Dave Shackleford(SANSシニアインストラクター)>> 講師プロフィール

定員 40名  英語教材・同時通訳
CPEポイント 30 point
受講料 760,000円(税抜)
コース内で実施する演習用に有償のAWS機能が必要です。
詳細は下記「事前に登録が必要なアカウントサービス」を参照ください。
申込締切日 2020年9月25日(金)
オプション
■OnDemand 95,000円(税抜)
■NetWars Continuous 174,000円(税抜)
 
 
↓↓以下の「お申込み」を押すと、NRIセキュアのお申し込みサイトに遷移します。↓↓
ev_entry

受講に必要なPC環境

演習で使用するノートPCのご準備をお願いいたします。受講に必要なPC環境についてご確認ください。

SEC545 PC設定詳細

SEC545にご参加いただく受講生は、トレーニングにおいてインストールや設定変更のほか、講義でお伝えしたツールやテクニックを試していただく時間があります。SANSからVMをUSBメモリに格納して配付しますが、トレーニングに参加する前に、いくつかの設定などを適切に行なっていただく必要があります。多くはAWSクラウドによるオンラインで行なわれますので、以下に掲げるガイドをお読みいただき、準備を行ってください。

重要:ホストOSとして動作するWindowsやMac OSX、あるいはLinuxは64ビット版をご用意いただき、仮想化ソフトウエアのVMwareが動作するようにしてください。実装メモリは最低でも8GB以上でなければVM機能などが適切に処理できません。また、VMwareは、トレーニングが始まる前までにインストールを済ませておいてください。その際、BIOSなどの設定を確認して、仮想化テクノロジーが有効になっていること、忘れずにご確認ください。

最低システム要件

  • ホストOSは64ビット版のWindows、Linux、またはMac OS X
  • 最低でも8GB以上の実装メモリ
  • 40GB以上の空きストレージ領域(なるべく多く確保していただくことを推奨)
  • ホストOSに対する管理者権限アクセスが行なえること
  • ウイルス対策ソフトウエアを無効に設定することができること(ツールのインストールや実行に制限をかけるようなものがあれば、それも対象に含まれます)
  • USBポート
  • 無線ネットワークアクセスが可能なこと
  • 組織の重要な情報や個人情報などがPCに保存されていないこと
  • BIOSにおいて仮想化技術サポートの設定を「有効」に変更できること

必要な事前ダウンロードファイル等

  • 64ビット版のホストOS(Windowsを推奨します)
  • VMware Workstation 15.5、VMware Fusion 11.5、または VMware Workstation Player 15.5よりも新しいVMware仮想化ソフトウエア(こちらはインストールまで済ませておいてください)
  • Adobe Acrobat または PDF閲覧ソフトウエア
  • Microsoft Excel (Mac OS XやLinux向けのOpenOfficeでも構いません)

事前に登録が必要なアカウントサービス

演習ではAWSを使用するため、有効なAWS(Amazon Web Service)アカウントを、トレーニング開始前までに取得しておいてください。 アカウントの作成や設定に関する説明は、こちらのドキュメントを参考にしてください(英語)。 https://www.sans.org/media/security-training/laptop/Creating_your_SEC545_AWS_Account.pdf

本コースでは、一部のハンズオンでAWSの有償機能を利用します。
トレーニング中に有償機能の有効化・支払いが必要となりますため、クレジットカードをお持ちください。
受講費用とは別におおよそ15~25米ドルが必要となります。

今回のシステム要件の中で最も重要なのは、CPUが64ビットでの動作を行なえるかということです。SANSが提供するVMも64ビット版のため、ホストOSも64ビット版、CPUも64ビット動作が有効でなければなりません。VMwareでは、お持ちのマシンが64ビットで動作するかを検証するツールをWindowsとLinux環境向けに提供しています。また、Mac OSについては、Appleのサイトをご確認いただき、トレーニングに持参を予定しているノートPCが64ビットで動作するかどうかを事前にご確認ください。

VMware Workstation 11、VMware Fusion 7、または VMware Workstation player7以降のバージョンを事前にダウンロードしてインストールしていただくことを、トレーニングが始まる前までに準備としておねがいをしていますが、VM ware WorkstationやVMware Fusionは、商用ソフトウエアのため、ライセンス購入をためらわれている方がいらっしゃるかもしれません。しかし、この2つのソフトウエアは、トライアルライセンス制度を設けているため、VMwareにリクエストをすると30日間無償で使えるライセンスを発行してくれます。トライアルライセンスについての詳細とリクエストについては、VMwareのWebサイトをご覧ください。

最後にSEC545のチェックリストを以下に示します。

  • ホストOSとシステムは64ビットで動作していること
  • ホストOSの管理者権限を行使できること
  • ウイルス対策ソフトウエアに代表されるエンドポイント保護ソフトウエアの機能を無効化できること
  • システムでUSBポートを使用可能な状態に設定されていること
  • 仮想化ソフトウエアのVMware Workstation、Fusion、またはWorkstation Playerをダウンロードしインストールまで完了させていること

コース概要

組織によるデータ保存やネットワーク基盤構築にクラウドを活用するケースが増加している今日、セキュリティの確保は最大優先事項であると言えます。運用チームや開発チームはクラウドサービスに新しい活用方法を見出し、経営層は経費節減とともに新しい可能性と運用の効率化に期待しています。しかし、過大な期待を寄せるのは少し早すぎで、場合によって情報セキュリティはアキレス腱のような位置づけになる可能性があります。多くのクラウド事業者は内部環境に関する詳細な情報提供を行っているケースは少なく、内部で適用されている一般的なセキュリティ施策がそのままパブリッククラウドに適用されるケースは、残念ながら少ないと言えます。

SEC545 Cloud Security Architecture and Operationsではこの課題を一つひとつ解決するために、クラウドセキュリティの基本について理解することを手始めに、セキュリティプロフェッショナルが知っておくべきクラウドポリシーとガバナンスに関する重要なコンセプトについて解説します。初日と2日目は、技術的なセキュリティの原理原則について学習し、代表的なクラウド(SaaS、PaaS、IaaS)の制御について理解します。また、クラウド制御向けのクラウドセキュリティアライアンスフレームワークを学習し、クラウドサービスのリスクについても掘り下げて評価を行うなど、特に取り組むべきテクニカル分野について追求していきます。

講義では、新規のアーキテクチャーを構築し、実証済みのセキュリティツールとプロセスをクラウドに組み込むために必要なクラウドアーキテクチャーとセキュリティデザインについて進めていきます。また、ネットワークセキュリティを取り巻くファイアウォール、アクセスコントロール、IDSなどについてはもちろん、その他のクラウドセキュリティに関するレイヤーについても包括的な議論を行っていきます。その際、セキュアインスタンスの構築、データセキュリティ、アカウント管理など、それぞれのレイヤーについて触れていきます。さらに、脆弱性マネジメントやペネトレーションテストなど最新かつ最良のクラウドセキュリティリサーチに切り込んでいき、クラウドにおける攻撃の焦点について理解します 。防御の観点では、インシデントハンドリング、フォレンジック、イベント管理、アプリケーションセキュリティに関して深い知識を得ることを目指します。

最終的には、DevSecOpsとオートメーションに目を向け、オーケストレーションとクラウドライフサイクルにおけるそれぞれの事項に対してセキュリティを埋め込む方法を習得します。実践的なツールや戦術について学習し、さらにAPIやスクリプトを用いたインシデントハンドリングとその導入など、自動化されたセキュリティの最新の仕組みをいくつかのケーススタディを交えて学習します。

本講座受講にあたっての前提

  • TCP/IP、ネットワークセキュリティ、セキュリティアーキテクチャに関する基本知識がある
  • CLI操作(LinuxによるCLI操作推奨)ができる
  • VMware仮想化に関する基本知識があり操作できることが望ましい

受講対象者

  • クラウド環境を利用するユーザー組織のセキュリティ技術者
    • セキュリティアナリスト
    • セキュリティアーキテクト
    • シニアセキュリティエンジニア
    • テクニカルセキュリティマネージャ
    • セキュリティ監視アナリスト
    • クラウドセキュリティアーキテクト
    • DevOpsとDevSecOpsエンジニア
    • システム管理者
    • クラウド管理者

講義内容の一例

  • クラウドに関連する脅威、脆弱性とその影響を加味したリスクの理解
  • 重要なセキュリティトピックとSaaS、PaaS、IaaSに関連するリスクの明確化
  • より良いSaaS展開の保護とモニタリングを行うためのCASB(Cloud Access Security Brokers)の評価
  • ハイパーバイザーからアプリケーションのレイヤー管理などハイブリッドクラウド環境全てのレイヤーにおけるセキュリティ構築
  • 基本的な仮想化ハイパーバイザーセキュリティ管理の評価
  • パブリッククラウドにおけるネットワークセキュリティアクセスコントロールとモニタリングデザインおよび実装
  • IPSecトンネルを含むクラウドネットワークアーキテクチャのデザイン
  • クラウドアーキテクチャ設計に役立つSASE(Secure Access Service Edge)の評価
  • セキュリティアーキテクチャへのクラウドアイデンティティ・アカウント管理(IAM)統合
  • 様々なクラウド暗号種別とフォーマットの評価と実装
  • サブネット、有効ゾーン、ゲートウェイ、NATを使用したPVCにおけるマルチティアクラウドアーキテクチャーの構築
  • DevOpsへセキュリティを統合しDevSecOps構造を構築
  • AWSとネイティブツールを用いた自動展開ワークフローの構築
  • クラウド環境における脆弱性管理、スキャニング、ペネトレーションテストの併用
  • AWS-IR、CloudWatch、CloudTrail、AWS Lambdaなどを用いた柔軟性のある検知と対応プログラムの構築
  • AWS CLIを活用した自動的タスクの実行
  • エンタープライズオートメーションプラットフォーム(Ansible)を活用したタスクの自動設定とオーケストレーション
  • CloudWatch、CloudFormationなどのオートメーションツールを使用した自身のクラウドセキュリティプログラムへの自動セキュリティコントロールの統合

ハンズオン

本コースでは、数々のハンズオンを通じてナレッジトランスファーを行い、受講生のスキルを補強します。このアプローチは従来までのレクチャー形式の講義よりもより実践に即した形で進められるためより良い結果となります。ハンズオンは毎日実施され、講義で行った内容を実際のツールや設定を自身の手を動かしながら実践していくことで効果的なセキュリティスキルを習得することが可能です。また、ラボは以下の複数のテーマから構成されています。

  • ポリシーとガバナンスラボ
  • SaaSラボ
  • アーキテクチャーとデザインラボ
  • セキュリティオートメーションラボ
  • 攻撃と防御ラボ
  • ログ収集とレビューラボ
  • flAWSの実行(クラウドCTF)
コース開発者より

クラウドはますます早いスピードで姿形を変えています。セキュリティチームは流動資産をクラウドへ移動するのに早急に適応する必要があります。しかし、残念なことに多くのセキュリティチームはクラウド環境をセキュアにするために必要とされるツールや管理コンソール、デザインモデルについてあまり表情が明るくありません。さらに、多くのDevOpsチームは自動展開システムパイプラインの構築を行っていますが、セキュリティチームはこのワークフローには組み込まれていません。このコースではクラウドに関するポリシー、契約、ガバナンスなど全てのレイヤーで必要となるコントロールを習得していきます。クラウドアーキテクチャー、IAMや暗号、攻撃者と防御者の視点の違いについてもカバーします。最終的にはDevOpsチームと効果的に連携し合い、持続可能なクラウドセキュリティプログラムを構築する支援を行います。
- Dave Shackleford

Day 1

クラウドサービスモデルとコントロール
Cloud Service Models and Controls

Day1は、用語解説、分類、基本的な技術的条件を含むクラウドの紹介から始まります。また、クラウド・コントロール・マトリックス、クラウドセキュリティの14大テーマなど、CSA(Cloud Security Alliance)から入手可能なガイダンスや、その他入手可能なガイダンスについても紹介します。

この日の大半は、SaaS(Software-as-a-Service)とPaaS(Platform-as-a-Service)に関する主な技術的考慮事項を学習します。まず、SaaSをブレイクダウンし、利用可能な主なセキュリティコントロールの種類を、有名なSaaSプロバイダーのオプションの例を交えて解説します。また、CASB(Cloud Access Security Brokers)で知られるSecaaS(specialized type of Security-as-a-Service)についても、そのようなサービスに何を求めるべきかの例を挙げながら説明します。また、SASE(Secure Access Service Edge)のような追加のブローカーサービスや、そのためのアーキテクチャやコントロールの概念についても触れます。次に、コンテナ、構成管理、サーバーレスに重点を置いて、PaaS(Platform-as-a-Service)のコントロールとアーキテクチャに移ります。主要なクラウドプロバイダーにおけるこれらすべてのセキュリティ管理をブレイクダウンし、これらの環境の安全性と監視を向上させるためのセキュリティアーキテクチャの原則と実装方法について概説します。

演習

  • VMのセットアップとAWSの調査
  • CloudPassageによるSecaaS
  • Dockerとコンテナのセキュリティ基礎
  • 仮想化セキュリティ

CPE/CMU Credits: 6

トピック

  • クラウドと基本的なクラウドセキュリティについての基礎
  • Cloud Security Alliance Guidance
  • SaaSセキュリティコントロールとその事例
  • CASB(Cloud Access Security Brokers )
  • SASE(Secure Access Service Edge )
  • PaaSセキュリティコントロールの基礎
  • コンテナセキュリティコントロールとそのアーキテクチャ
  • 構成管理ツールとセキュリティコントロール
  • サーバーレスセキュリティコントロールとそのアーキテクチャ
  • IaaaSセキュリティコントロールの基礎
  • 仮想化セキュリティ
Day 2

クラウドセキュリティアーキテクチャとその運用 (Part 1)
Cloud Security Architecture and Operations (Part 1)

Day2は、クラウド・セキュリティ・アーキテクチャと運用設計の領域への旅を開始します。まずは、あらゆるプロジェクトやクラウドの導入シナリオにおいて、すべての組織がベストプラクティスを活用するのに役立つ、コアとなるアーキテクチャの原則から説明します。その後、3つの主要なクラウドプロバイダーが提唱するアーキテクチャのベストプラクティスを分析します。Amazon, Microsoft,  Googleはいずれも、クラウドのセキュリティ設計に適用できる推奨事項を持っています。コアとなるセキュリティ・アーキテクチャを解説した後は、ネットワーク・セキュリティとアイデンティティ・アクセス管理(IAM)という2つの大きなトピックに焦点を当てていきます。まず、主要なプロバイダのすべてのクラウド・ネイティブなネットワーク・セキュリティコントロールを分解し、従来のオンプレミスのネットワーク管理とクラウドを比較します。次に、ネットワーク・セキュリティ・アーキテクチャ・モデルを確認し、クラウドプロバイダに関係なく、さまざまな組織に最適なネットワーク・セキュリティ・アーキテクチャ・モデルを比較します。

ネットワーク・セキュリティの話が終わったら、IAM の基本方針と、各クラウドプロバイダで利用可能なサービスオプションについて、時間をかけて議論します。次に、フェデレーション、ロール、アセットプロファイル、分離とセグメンテーションの戦術としてのIAMの使用を含む認証の設計の構造を組み立て始めます。最後に、複数の仮想プライベート・クラウド(VPC)とクラウド・アカウントを採用した大規模なネットワークと ID 設計の活用について議論します。

演習

  • VPC とネットワークコントロール
  • Bastion Host の実装
  • IAMの基礎
  • インスタンスプロファイルとアセット中心のIAM

CPE/CMU Credits: 6

トピック

  • クラウドセキュリティアーキテクチャーの原則の基礎
  • AWSフレームワーク:優れたアーキテクトとクラウド導入(より深く)
  • Azureクラウド導入フレームワークとクラウド+アセスメント(Azureアーキテクチャレビュー、クラウドジャーニートラッカー、ガバナンスベンチマーク)
  • Googleクラウドネイティブアーキテクチャの5つの原則
  • ネットワークセキュリティ管理と設計
  • ネットワークセキュリティアーキテクチャモデルと設計
  • アイデンティティ・アクセス管理のコアなコントロールとポリシー
  • IAM の先進的なコントロール: フェデレーション,ロール, インスタンスプロファイル, 認証 の"分離"
  • マルチVPCとマルチアカウントのアーキテクチャと戦略
Day 3

クラウドセキュリティアーキテクチャとその運用 (Part2)
Cloud Security Architecture and Operations (Part 2)

Day3は、クラウドワークロードセキュリティと運用管理から始まり、コントロールとアーキテクチャの検討のブレークダウンを継続します。それから、データセキュリティのためのアーキテクチャと設計、暗号技術、鍵管理、さまざまなオプションに触れていきます。また、もう一つの重要なトピックである可用性についても触れます。冗長で可用性の高い設計はこれまでと同様に重要ですが、クラウドプロバイダーのツールや地域を最大限に活用する必要があります。 .同時に、クラウド事業者のDRや継続性を評価する必要もあり、これもカバーしていきます。

演習

  • クラウドワークロードセキュリティと管理
  • PaaSインフラにおける機密管理
  • クラウド構成
  • アウトバウンドプロキシのアーキテクチャ

トピック

  • クラウド構成
  • アウトバウンドプロキシのアーキテクチャ
  • データセキュリティコントロールとそのアーキテクチャ
  • 可用性設計とそのアーキテクチャ
  • DR+BCPに関する検討
  • クラウドコントロールプレーンセキュリティ(クラウドセキュリティ態勢管理)
  • マルチクラウドセキュリティのアーキテクチャ
Day 4

クラウドセキュリティの攻撃と防御の運用
Cloud Security Offense and Defense Operations

Day4は、クラウド上にある資産には多くの脅威が存在するため、そこに存在する脅威の種類の詳細ブレークダウンから始まり、数多くの事例を見ていきます。また、STRIDEやアタックツリー、ライブラリなどの有名な手法を用いて、クラウドに焦点を当てた適切な脅威モデルを設計する方法も紹介します。
防御面では、ネットワークベースとホストベースの侵入検知、そしてより良く検知するためにプロセスをどのように監視し、自動化するかから始めます。この分野は、私たちが社内で使用しているものとは明らかに変わっているため、セキュリティ担当者は、どのようなオプションが最適で、どのようにしてこれを実行するかを知る必要があります。続いて、インシデントレスポンスとフォレンジック(これもクラウドにおいて大きく変化したトピックです)について説明します。ツールやプロセスが異なるので、これまで以上に自動化やイベントドリブンの防御に注力する必要があります。

クラウドをスキャン、ペンテストすることは、かつてはクラウドプロバイダー自身の制限のために困難なものでした。しかし今日では、ほとんどの熟練したソリューションがクラウド・プロバイダの環境にうまく適応しており、大きな進歩が見られます。クラウドにおける脆弱性管理に関する戦略を計画する際に考慮すべき重要なポイントがいくつかあり、クラウド資産を最適にスキャンする方法や、それを実現するために利用できるツールについても触れていきます。ペンテストの話はこの議論の中で自然とついてくるので、クラウド事業者と連携してテストを調整する方法や、自分でテストを実施する方法などについて議論します。

演習

  • クラウド脅威モデル
  • クラウドディフェンスガードレール
  • クラウドでのロギングとイベント監視
  • AWS Inspectorを使ったスキャン
  • クラウドペネトレーションテスト
  • ガードレールの分析と検証
  • オプション:クラウドCTFチャレンジ(Cloud Capture-the-Flag Challenge)

CPE/CMU Credits: 6

トピック

  • クラウド脅威と脅威モデル
  • クラウドディフェンスガードレールの構築
  • クラウドのフォレンジックとインシデントレスポンス
  • クラウドの脆弱性評価
  • クラウドペンテスト+RedTeam運用
Day 5

クラウドセキュリティの自動化と構成管理
Cloud Security Automation and Orchestration

Day5の最終日は、クラウドのセキュリティを自動化する方法について、スクリプトを使用した場合と使用しない場合の両方に焦点を当てます。まず、AWS CLIやAWS Lambdaのようなツールを使って自動化の前提を説明し、次にDevSecOpsの原則に目を向けます。それから、DevOpsの原理原則の意味を説明し、セキュリティチームがどのようにDevOpsやクラウドの開発とデプロイのプラクティスに統合するのがベストなのかを説明します。さらに、AnsibleやChefなどの自動化ツールや構成管理ツール、AWS CloudFormationなどのツールを使ってより良い、より効率的なワークフローを開発する方法を取り上げます。

Day4のトピックの一部を引き続き、イベントドリブンの検知とイベント管理、そして機能的なレスポンスと防御戦略について見ていきます。すべてを自動化するわけではありませんが、いくつかのアクションやシナリオは、CloudWatch のようなツールを監視したり、セキュリティプロセスで資産にタグ付けして識別したり、程度の差はあれ、自動化されたレスポンスや修復を開始したりすることに適しています。授業の最後には、さらにいくつかのツールと戦術について説明し、その後、実際のユースケースのサンプルを紹介します。

演習

  • インフラストラクチャ・アズ・コード
  • クラウドコンフィグマネジメントと構成管理
  • クラウド防御の自動化

CPE/CMU Credits: 6

トピック

  • 自動化とAWS CLIの基礎
  • DevOps + DevSecOps の基礎 (パイプラインセキュリティ)
  • インフラストラクチャ・アズ・コード
  • システム管理と構成管理
  • 自動化された検知とレスポンス
  • 最終的なツールと考察
本サイトに記載されている、各会社名、各製品名は、各社の商標または登録商標です。