AWSには数多くのセキュリティ関連サービスが存在します。また、TrendMicroのCloud Oneなどのサードパーティー製品も数多く存在します。
そんな中、
- AWSネイティブサービス(Inspector ,GuardDuty Malware Protectionなど)だけでセキュリティ対策をするのか?
- サードパーティー製品(Cloud One)も使ってセキュリティ対策をするのか?
がわからなくなったのでいろいろ調べてみました。
結論:守備範囲が異なる。
Cloud OneとAWSネイティブサービスはセキュリティ対策の守備範囲が異なります。
- アプリ側・データ側のセキュリティ:Cloud One
- インフラ側のセキュリティ:GuardDutyやInspectorなどのAWSネイティブサービス
また、AWSには無いセキュリティサービスを補う必要がある際にCloud Oneなどのサードパーティ製品を検討します。
AWSには無いセキュリティサービスの例
- インスタンス単位の強力なIDS/IPS(侵入検知・侵入防護)
- 不正プログラム対策(ウイルス検出、ランサムウェア対策、不正プログラムの隔離など)
※厳密にはGuardDuty Malware Protectionがあるが、諸々制約あり - OSファイルシステム内の改ざん検知
Trend Cloud Oneとは
ウイルスバスターでおなじみのTrend Micro社が作成しているクラウド用のセキュリティ対策ソフトです。旧Deep Securityです。Cloud Oneに名前が変わりました。公式HPはこちら。
Cloud One配下には6つの製品があります。
- Workload Security:もともとのDeep Security。EC2にインストールするして使う。
- Network Security:ファイアウォールとして機能する。
- Container Security:ECRに入っているコンテナイメージをスキャンする。
- File Storage Security:S3のファイルをスキャンする
- Conformity:AWSの設定が脆弱になっていないかスキャンする。(S3が公開されている、EC2のポートがあいているなど)
- Open Source Secur(日本では提供なし):OSSのスキャン
CloudOne(Workload Security) VS Inspector
EC2にインストールして使う系のAWSサービスにInspectorがあります。CloudOne(Workload Security)との違いはどのようなものなのでしょうか。
AWS Inspectorとは
AWS公式によると以下の通り。EC2、Lambda、ECRなどでソフトウェアの脆弱性を検出してくれるようです。
Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークのエクスポージャーがないか継続的に AWS ワークロードをスキャンする自動脆弱性管理サービスです。
https://aws.amazon.com/jp/inspector/
違い
Amazon InspectorはCVE(既知の脆弱性)を検知します。
対してCloud OneはCVE以外にも怪しいプログラムやデータを検知してくれるようです。ランサムウェアやウイルスを検知してくれます。
| 比較 | Inspector | Cloud One |
|---|---|---|
| CVE検知 | 〇 | 〇 |
| ランサムウェア対策 | × | 〇 |
| ウイルス対策 | × | 〇 |
| (個人的)評価 | 既知の脆弱性にのみ有効 | 幅広いマルウェア対策 |
CloudOne VS GuardDuty
GuardDutyにはMalware Protection があります。Cloud Oneと比較してみます。
GuardDuty Malware Protectionとは
GuardDuty Malware Protectionは割と新しいサービスで認知度も低そうなので詳しめに書いてみます。
EC2でマルウェア感染が疑われる挙動を示した場合、GuardDutyがEC2をスキャンしてくれる機能のようです。”EC2がマルウェア感染の疑いがあるか?”はCloudTrailログやVPCフローログから判断します。これらは有効化しておきましょう。
処理の流れは以下(AWSのBlackBelt資料です。)
大まかな流れです。※図中の番号とはマッチしません。
- VPCフローログやCloudTrailログからマルウェア感染の疑う。
- EC2に割当たっているEBSのスナップショットをとる(EBSが暗号化されていてもうまくやってくれるようです)
- スナップショットをスキャンする(ワークロードに影響を与えずエージェントレスで実施するためのスナップショット)
- マルウェア感染を通知
図からわかる通り、スキャンのタイミングはコントロールできないです。また、Protectionと名がついていますが、実施するのは検知までで保護や隔離は実施されません。また、スキャンは24時間以上間をあけて実行されるようです。
GuardDuty Malware Protectionについては以下BlackBelt資料がわかりやすいです。
違い
上の上でも述べましたが、スキャンの実行タイミング、保護隔離まで行うのかが異なります。スキャンの精度や正確性などは情報が公開されていないので何とも言えないです。
また、GuardDutyではマルウェア感染したプログラムが動作しないとスキャンされませんが、Cloud Oneは定期スキャンや手動スキャンでマルウェアが悪さをする前に検知できそうです。
| 比較 | GuardDuty | Cloud One |
|---|---|---|
| EC2スキャン実施(EBS) | 〇 | 〇 |
| 動作前のマルウェア検知 | × (疑わしい動作を検知してからスキャンするため) |
〇 |
| スキャンタイミング | × (コントロール不可) |
〇 (手動/定期) |
| マルウェア隔離 | × | 〇 |
| (個人的)評価 | 発見的対策 | 予防的対策 |
CloudOne VS WAF
WAFとは
セキュリティルールを作成して攻撃をブロックするサービスです。マネージドルールといわれるAWSが用意してくれているルールも使うことができますし、自前で定義することもできます。
API GatewayやELB、CloudFrontにWAFルールを適用することができます。
違い
AWS WAFはアプリケーション層での保護を対象とします。ネットワーク層の保護は対象外となっています。ゆえにOSやミドルウェアの脆弱性をついた攻撃は対応できないようです。
また、個別のEC2インスタンスの保護など細かい防御はできないようです。
これも用途に応じて併用するのがよさそうです。
| 比較 | AWS WAF | Cloud One |
|---|---|---|
| アプリケーション層の保護 | 〇 | – |
| ネットワーク層の保護 | × | 〇 |
| 個別のEC2の保護 | × | 〇 |
| ホスト間の通信の保護 | × | 〇 |
| (個人的)評価 | 定義するルール次第 | うまくやってくれる |
まとめ
調べてみていろいろわかりました。AWSの公式ドキュメントを確認していると、AWSのネイティブサービスだけでセキュリティ対策をできそうに感じていましたが、要件によってはCloud Oneなどのサードパーティ製品も組み合わせるのが適切と感じました。
特にCloud Oneでは一見AWSネイティブサービスと重複している機能がありそうでしたが、よくよく確認してみるとカバーしている範囲が異なることが良くわかりました。
皆様のクラウドセキュリティを考える際に参考になればうれしく思います。
PR
当ブログはWordPressテーマSWELLを使用しています。非常に使いやすく、簡単にプロのようなデザインを使えるのでお勧めです!!
SWELL – シンプル美と機能性両立を両立させた、圧巻のWordPressテーマ
システムエンジニア
AWSを中心としたクラウド案件に携わっています。
IoTシステムのバックエンド開発、Datadogを用いた監視開発など経験があります。
IT資格マニアでいろいろ取得しています。
AWS認定:SAP, DOP, SAA, DVA, SOA, CLF
Azure認定:AZ-104, AZ-300
ITIL Foundation
Oracle Master Bronze (DBA)
Oracle Master Silver (SQL)
Oracle Java Silver SE
■略歴
理系の大学院を卒業
IT企業に就職
AWSのシステム導入のプロジェクトを担当
