koba_takaブログ

AWSとかインフラとかセキュリティとかリモートワークとかとか

Alert LogicとAWSを組み合わせてみたらどう?

こんにちは。最近、子供と一緒にスイミングをはじめた大阪オフィスの小林です (@koba_taka)です。

いやー、水泳っていいものですね。その後のビールは大慶至極。ただ、二日酔いでの水泳は色々と危険でした。当時の詳しいお話が気になる方は、お気軽に大阪オフィスまで。ぜひ、勝男で飲みましょう。

 

さて、この記事はサーバーワークス Advent Calendar 2016  19日目の記事です。

昨日は、 @nagafuchikがMAについて熱く語ってくれました。本日はセキュリティのお話です。少しですが、Alert Logicについて少しだけマジメに書いていきたいと思います。

 

なぜAlert Logicなの?

ウチが取扱をはじめた & 個人的にAWSPCI-DSSなどの認証取得するなら便利だなーと思ったのがきっかけです。よくできているなぁーと。そして、あまりAlert Logicについての日本語の参考資料も少なかったので、ザッと書きます。

Alert Logic

www.alertlogic.com

↑の内容を、Security as a Serviceとして提供

ちなみにAWS (Amazon Web Services)で提供されているセキュリティのサービスといえば、AWS WAF & AWS ShieldとAWS Inspectorが有名です。AWS Shield Advancedはポチりたいのですが、ビビってポチれていません。どなたか勇気(とお金)をください。($3,000/月です)

 

では、ここからザックリとセキュリティの話を。

セキュリティを考える上での構成要素をザックリと図示してみました。

左の項目が守るための手段、右に図示しているのが守るものです。

f:id:wird-agbu:20161218204908p:plain

  • WAF (Webアプリケーションファイヤーウォール)
  • IDS/IPS (不正プログラム・侵入検知など)
  • SIEM (ログ収集・解析)
  • FIM (改竄検知)
  • F/W (ファイヤーウォール)

実際はもう少し細く分けれるのですが、今回はこの要素でAlert Logicをざっと説明していきたいと思います。

F/W

まずは、F/W。AWSでは、ファイヤーウォールの要素としてセキュリティグループとNACL。VPCを利用すれば、標準で利用できます。IPアドレスとサービス単位で通信制御が可能なF/Wです。例えば、アプリケーションの挙動毎に制御したいなどの制御についてはセキュリティグループやNACLのみでは対応できず、Paloaltoなどのアプライアンス導入をオススメしまっす。

AWSまわりはこの資料(P.37-P.39)が詳しく解説してくれています。

www.slideshare.net

 

FIM

つづいてFIM。File Integrity Monitoringの略。要は改竄検知。改竄検知の機能はAWSでは標準で用意されていません。例えば、AWSでは、Trend Micro社のDeep Securityなどを利用するケースが多かったりします。ちなみにAlert LogicではこちらのFIMについては残念ながら、非対応となります。対応してほしいなー。

 

SIEM

次にいきます、SIEM。Security Information and Event Management.. セキュリテイ情報&イベント管理.. 一言でいうと、「よりイケてるログ解析管理」を提供します。例えば、ネットワークやアプリケーションなどのログを一元管理収集、データ解析を行うことで、一つのログデータではなく、複数のログデータより相関分析を実施し、アクションを実施します。Alert Logicではこちらの機能がかなり優秀です。世界中の約4,000程のテナントから収集した攻撃情報をビッグデータ解析にかけて、インシデントを判定します。もしかするとSIEMについては、Alert Logicに右に出るものはいないんじゃないかってぐらいのレベルです。(USで独自の特許も取得されてるみたいです)

 

IDS/IPS

もう言わずと知れたIDS/IPSですね。侵入検知/侵入防御。Alert Logicについては、IDSの機能を提供しております。Trend Micro Deep Securityとの大きな違いはAlert Logicはネットワーク型IDS、Deep Securityはホスト型IDSとなってます。

 

WAF

最後にWAF。検知処理については、Alert Logic優秀です。しかし、ここで注意点が1点。現状、あくまで検知のみ(防御はしない)となります。(2016年12月 現在)

もし、検知した際に防御を実施する場合、何かのサービスと組み合わせて実装する必要があります。(例えば、AWS WAFとの組み合わせなど)

 

AWSサービスと組み合わせてみた

そこで、今回はAlert LogicのWAF検知機能とAWS WAFとの連携を実施してみました。

概要はこのような図で実装。 

 

f:id:wird-agbu:20161218194119p:plain

 

 Alert Logicからはアラートとして「攻撃内容と攻撃元のIPアドレス」が記載されたメールが予め通知先に設定したメールアドレスに届きます。

 

以下、例ですが件名はこのようなメールです。

[alertlogic-notice] Incident #XXXXX: Web server recon attack from X.X.X.X

 

そこで、このメールを受信した際に、このメール内容と送信元を判定してIPアドレスをブロックするIPアドレスを抽出し、AWS WAFの「IP match conditions」に追記するように設定します。

 

AWS WAFとの連携の流れ

SOCからのメールトリガーとなるため、SESでの受信設定

    ↓

Recipient RuleでS3へ格納

    ↓

Lmabdaで対象IPの抽出

    ↓

AWS WAFのList更新

(S3に一度格納する理由は、マルチパートでのメールとなるため、直接Lambdaへの渡しを抑制するためとなります。)

 

主な手順はこの動画でも紹介されてます。(こちらはCloudWatch Logsからの設定となってます。)

www.youtube.com

こちらの資料も参考になります。

AWS WAF Security Automations

 

実際に実装してみて

無理矢理感は否めないですが..なんとか、これでAlert Logicの高度な検知情報と防御の仕組みをAWS WAFで実装できるかと思います。また、AWS WAFのIP Rule更新はサービス停止も伴わず、即時反映となるため、そのあたりもステキですね。

ただ、メールでのトリガーとなるため、 開始当初は検知回数や誤検知判定はチューニングを実施して運用に載せる必要があるかと思いますので、その辺り良い仕組みが出来れば、またご紹介します。もし、そのあたりいい案がある方教えていただけると泣いて喜びます。ソースは後日あげたいと思います。

まとめ

Alert Logicはホントにいいサービスです。日本語に対応していない部分や、Trend Micro Deep Securityとの住み分けもありますが、ホントにいいサービスです。(大事なことなのでもう一度)

今回のご紹介したサービス以外に、PCI-DSS認証取得に有用なアプローチを行う機能や、Cloud InsightといったAWS内の環境の脆弱性診断やリスク分析に対応したサービスもあります。是非、Alert Logicに興味をもたれましたら、かるーく飲みながらでもお話できればと思ってます。是非、勝男でお待ちしております!

 

サーバーワークス Advent Calender 2016

今年の有馬記念は12/25 そう、クリスマスなのです。明日は、SWXのトウショウボーイ?こと@minom3有馬記念での男気溢れる掛け予想が展開されるハズ! (Questetraなどの話かもしれませんがw ) 期待をしてバトンを渡します!!

 

qiita.com

 

でわっ! 

 

 

 

SIをリモートでやってみて

 この記事は、リモートワーク Advent Calendar 2015 - Adventar の 12月14日の記事になります。

こんにちは。サーバーワークス大阪オフィスで普段仕事をしている小林(@koba_taka)と申します。

あまり普段はブログを書かない性格なのですが、今回は普段の仕事(SIをリモートで)について書きたいと思います。

 SIをリモートで

私は会社の役割はエンジニアです。

2014年にサーバーワークス大阪にジョインしてから、主に大阪から東京のお仕事をしてきました。

通常、SIを行う場合、お客様との対話、信頼関係構築、価値の提供などが重要な要素であると考えているのですが、リモートワークで大変な点は「お客様との対話」です。

開発を行っていくエンジニア同士がモニタ越しに意見交換、プロダクトを作っていくのも難しいと思うのですが、SIの場合、また違う難しさがあり、お客様によってもちろん違います。

また、サーバーワークスは東京が主要拠点のため、東京のチームメンバーがお客様先に伺い、リモートメンバーがWeb会議で参加することも多々あるのですが、この場合リモートならではの悩みが発生します。

なぜなら、現地でのオフラインの会話、空気感、想いはリモートメンバーには届きにくいからです。やっぱりオフラインは最強です。

 

下にリモートでお客様との打ち合わせを行う場合、私の経験上課題と感じる項目を素直に書き出しました。

環境面

  • 電波状況に左右される (雨の日とかブツブツと‥)
  • 音声のみの場合は、集中力は普段の倍ぐらい必要
  • 環境音によってはまったく聞こえない など

 

打ち合わせ面

  • リモートで参加する際、お客様の理解が必要
  • 資料が紙ベースで配布された場合..
  • 笑うタイミング、意見を言うタイミングが..
  • 複数の人が複数の話題で..

 

色々なシーンもあるかと思いますが個人的に課題だなと感じている部分を書いてみました。

 

次に実際に課題に対して行っている項目です。

してみてること

 ・現地のテームメンバーにも課題を共有し内容のフォローをお願いする

・お客様にリモートメンバーがいてる事を認識してもらう

・普段より元気を出す・声を出す

・チャット・議事ツールの活用 (Slack / box notes)

 

 

 一般的な項目だと思いますが、これが意外に難しかったりします。

ただ、少しのチームメンバー同士の心がけで、どんどんとリモートでの働き方が出来上がり、これが一般的になっていくのだと確信しています。そしてチーム内・お客様への信頼も向上すると感じています。

 

最後に

リモートワークは本当に素晴らしいです。一方、課題もあります。でも解決すれば時間効率、働きやすさ、コミュニケーションにおけるベースが向上すると考えています。

ぜひ、2016年もこのような課題、解決を実施して、また新たな課題で悩める年にできるようにしていきたいと思っています。

リモートLTをした結果

はい。最近、気温とプライベートに振り回され気味なkoba_takaです。

 

今日はリモートLTの話題でブログを。

ウチの会社は、毎週金曜日に社内勉強会を行っており、テーマは自由に約10分間、全社員へプレゼンを行うと同時にUstreamで公開を行う機会があります。

 通常は、東京にある社内で10分間のLTを行うのですが、先週、金曜日に大阪からリモートでLTを行ってみました。

 以下、環境です。

■大阪側

Macbook Air (2014 Early) + 無線LAN

■東京側

iMac+有線

■コミュニケーションツール

Skype

 

Skypeでつないで、画面共有を大阪側から実施

おぉ!! こちらの画面とカメラの映像が東京側でも見える!!いけるぞ!!と思い、いざ本番。

 

あれ?向こう側が見えない。間合いがわからない。音声での反応あるので、問題なく聞こえてるのか。。

みたいに探り探りのLTとなってしまった。後ほど、Ustreamで確認した結果、以下のことがわかったのでまとめておきます。

 

■良かった点

SkypeのフリープランでリモートLTができる (コストは無料)

意外に、綺麗に資料・音声は届くらしい (後ほどUstreamで確認) 

 

■改善点

LT中は聞いて貰っている人の映像がみえないので、考えながらLTができない。

(聞いて貰う人の映像・音声をスピーカーにも見せる)

身振り手振りのジェスチャーができないので、伝わる力が半減

(MacBookの場合は別途、カメラを用意したほうが良さそう。)

 

今回のリモートLTをした結果、意外にいけることが判明。

しかし、まだまだ改善点があるので、もしもっといい方法があるようであれば

是非、教えてほしいです!

 

サーバーワークス社内勉強会 on USTREAM