Embed Size (px)
Citation preview
AMAZON INSPECTOR
2015.10.30 サーバーワークス 小林 孝剛
WHO AM I?
小林 孝剛 (こばやし たかよし)
▸ 技術1課 エンジニア
▸ サーバーワークス 大阪オフィス
▸ takayoshi.kobayashi.16
▸ koba_taka
▸ 保育園の先生のあたりがキツい
最近こんなことが▸ 保育園の担当の先生から
▸ 昨日も小林さんのところだけエプロンがありませんでしたよ…
▸ この服寒そうじゃないですか?
▸ しっかりしてくださいよー
▸ おねがいしますよー
▸ 大丈夫ですかー
▸ もっとがんばってくださいよー
最近の悩み
あれ?
プレッシャー?
いや、この感じ
もしかして?
小林の脆弱性 突かれてる?
「返報性」「コミットメントと一貫性」 「社会的証明」「好意」「権威」「希少性」
Robert. B. Cialdini
ソーシャル・エンジニアリング
「6つの人間の脆弱性」
「返報性」「コミットメントと一貫性」 「社会的証明」「好意」「権威」「希少性」
Robert. B. Cialdini
ソーシャル・エンジニアリング
「6つの人間の脆弱性」
本題
ということで、今日の本題は脆弱性診断のお話です
質問
脆弱性診断のテストを行ったことがある方
▸
▸
▸
脆弱性診断ツール
脆弱性診断ツールの種類
オープンソース
有料
1DVD形式のペネトレーションツール
何ができるの?
脆弱性診断のパターン▸ Vulnerable Javascript library (Javascriptライブラリの脆弱性)
▸ Development configuration file (Configファイルへのアクセス)
▸ HTML form without CSRF protection (CSRF対策がされているか)
▸ Slow HTTP Denial of Service Attack
▸ Cookie without HttpOnly flag set
▸ Cookie without Secure flag set
▸ Content type is not specified など
今日のお話
AMAZON INSPECTOR
▸ Amazon Inspector
▸ re:Invent 2015で発表
▸ AWSが提供する脆弱性診断
▸ 対応OS (バージョンは要確認)
▸ Amazon Linux
▸ Ubuntu Server
▸ 現在、オレゴンリージョンでのみ利用可能 (2015/10/30 現在)
▸ プレビュー中
AMAZON INSPECTORってどんな脆弱性に対応してるの
脆弱性診断対応
▸ Authentication Best Practices (認証)
▸ Network Security Best Practices (ネットワーク)
▸ Application Security Best Practices (アプリケーション)
▸ Common Vulnerabilities and Exposures (CVE)
▸ Operating System Security Best Practices (OS)
▸ PCI DSS 3.0 Readiness (PCI DSS)
▸ 診断タイプ
AUTHENTICATION BEST PRACTICE (認証)
▸Disable root log in over SSH ▸ rootでのSSHログイン
▸Support SSH Version 2 Only ▸ SSHv2のみ
▸Disable Password Authentication Over SSH ▸ Over SSHのパスワード認証
▸Configure Password Maximum Age ▸ パスワード期限
▸Configure Password Minimum Length ▸ パスワード長
▸Configure Password Complexity ▸ パスワードの複雑性
▸ 診断タイプ
NETWORK SECURITY BEST PRACTICES (ネットワーク)
▸ Use Secure Protocols
▸ セキュアプロトコル
▸ FTP, Telnet, HTTP, IMAP, POPv3, SMTP, SNMPv1 and v2 など
▸ Enable Packet Signing on SMB Servers
▸ SMBサーバーにパケット証明
▸ 診断タイプ
APPLICATION SECURITY BEST PRACTICES (アプリケーション)
▸ Stack Cookies Enabled
▸ スタッククッキーをサポートしているか
▸ スタックバッファオーバーフローの攻撃に有効
▸ Data Execution Prevention Enabled
▸ DEPのサポートをしているか
▸ ゼロデイ攻撃に有効
▸ 診断タイプ
COMMON VULNERABILITIES AND EXPOSURES (CVE)
▸ CVEで公開されている識別子をインスタンスがカバーされているか
▸ Amazonから対応CVE識別子が公開されています
▸ https://s3-us-west-2.amazonaws.com/rules-engine/CVEList.txt
▸ 診断タイプ
OPERATING SYSTEM SECURITY BEST PRACTICES (OS)
▸ DEP Enabled
▸ DEPの有効
▸ Address Space Layout Randomization Enabled
▸ ASLRの有効
▸ System Directories Writable for Root Users Only
▸ システムディレクトリへの書き込み権限
▸ Secure Access to High Privilege Processes
▸ 特権プロセスへのアクセス
▸ 診断タイプ
PCI DSS READINESS BEST PRACTICES (PCI DSS)
▸ Requirement 1.1.6 - Use Secure Protocols
▸ Requirement 2.2.1 - Do not run multiple major services on a single EC2 instance
▸ Requirement 2.2.3 - Use Secure Protocols
▸ Requirement 2.2.2 - Do not have unused protocols running
▸ Requirement 2.2.5 - Do not have unused protocols running
▸ Requirement 2.3 - Use Secure Protocols
▸ Support SSH Version 2 Only
▸ Requirement 7.0 - Leave no high privilege processes vulnerable to tampering
▸ Requirement 8.1.8 - Limit user's idle session time
▸ Requirement 8.2 - Configure Password Maximum Age
▸ Requirement 8.2 - Configure Password Minimum Length
▸ Requirement 8.2 - Configure Password Complexity
利用してみよう
AWS INSPECTOR利用イメージ
▸ IAMロール作成
利用してみよう
AWS INSPECTOR利用イメージ
▸ リソースにタグ付け
利用してみよう
AWS INSPECTOR利用イメージ
▸ Agentのインストール
利用してみよう
AWS INSPECTOR利用イメージ
▸ Applicationを設定
利用してみよう
AWS INSPECTOR利用イメージ
▸ Assessmentを設定
利用してみよう
AWS INSPECTOR利用イメージ
▸ Assessmentを設定
対決
今日のLT 対決
VS
対決
今日のLT 対決
VS
環境
対決環境▸ EC2 (us-east2)にzabbixを導入 (Amazon Linux)
▸ Zabbixは基本設定のみ
▸ 監視対象はなし
▸ Amazon Inspectorの設定
▸ ルールは全部のせ
対決
いざ、対決
▸ 検査時間 1時間
▸ 検査対象 2096メッセージ
対決
結果
対決
結果▸ Medium 2件
▸ Application Security Best Practices (Stack Cookies Enabled) 1件
▸ Authentication Best Practices (Disable root log in over SSH) 1件
▸ Information 8件
▸ PCI DSS 3.0 Readiness 5件
▸ Network Security Best Practices 1件
▸ Common Vulnerabilities and Exposures 1件
▸ Operating System Security Best Practices 1件
対決
結果
完敗…Highなし
まとめ
▸サービスローンチ前に脆弱性診断は大事
▸ Amazon Inspectorの利用は簡単
▸これからに期待
▸脆弱性はないようにキチンと設計しよう
ありがとうございました!
