CloudOneとInspector/GuardDutyマルウェア等の使い分け

Cloud One とAWSサービスの比較アイキャッチ

AWSには数多くのセキュリティ関連サービスが存在します。また、TrendMicroのCloud Oneなどのサードパーティー製品も数多く存在します。

AWSのセキュリティサービス一覧

そんな中、

  • AWSネイティブサービス(Inspector ,GuardDuty Malware Protectionなど)だけでセキュリティ対策をするのか?
  • サードパーティー製品(Cloud One)も使ってセキュリティ対策をするのか?

がわからなくなったのでいろいろ調べてみました。

目次

結論:守備範囲が異なる。

Cloud OneとAWSネイティブサービスはセキュリティ対策の守備範囲が異なります。

  • アプリ側・データ側のセキュリティ:Cloud One
  • インフラ側のセキュリティ:GuardDutyやInspectorなどのAWSネイティブサービス

厳密なことを言うとCloud OneとAWSネイティブサービスで重複している範囲があります。あくまで基本的な考えです。

CloudOneとAWSのセキュリティ守備範囲の図解

また、AWSには無いセキュリティサービスを補う必要がある際にCloud Oneなどのサードパーティ製品を検討します。

AWSには無いセキュリティサービスの例

  • インスタンス単位の強力なIDS/IPS(侵入検知・侵入防護)
  • 不正プログラム対策(ウイルス検出、ランサムウェア対策、不正プログラムの隔離など)
    ※厳密にはGuardDuty Malware Protectionがあるが、諸々制約あり
  • OSファイルシステム内の改ざん検知

Trend Cloud Oneとは

ウイルスバスターでおなじみのTrend Micro社が作成しているクラウド用のセキュリティ対策ソフトです。旧Deep Securityです。Cloud Oneに名前が変わりました。公式HPはこちら

CloudOneの機能一覧


Cloud One配下には6つの製品があります。

  • Workload Security:もともとのDeep Security。EC2にインストールするして使う。
  • Network Security:ファイアウォールとして機能する。
  • Container Security:ECRに入っているコンテナイメージをスキャンする。
  • File Storage Security:S3のファイルをスキャンする
  • Conformity:AWSの設定が脆弱になっていないかスキャンする。(S3が公開されている、EC2のポートがあいているなど)
  • Open Source Secur(日本では提供なし):OSSのスキャン

CloudOne(Workload Security) VS Inspector

EC2にインストールして使う系のAWSサービスにInspectorがあります。CloudOne(Workload Security)との違いはどのようなものなのでしょうか。

AWS Inspectorとは

AWS公式によると以下の通り。EC2、Lambda、ECRなどでソフトウェアの脆弱性を検出してくれるようです。

Amazon Inspector は、ソフトウェアの脆弱性や意図しないネットワークのエクスポージャーがないか継続的に AWS ワークロードをスキャンする自動脆弱性管理サービスです。

https://aws.amazon.com/jp/inspector/

違い

Amazon InspectorはCVE(既知の脆弱性)を検知します。

対してCloud OneはCVE以外にも怪しいプログラムやデータを検知してくれるようです。ランサムウェアやウイルスを検知してくれます。

比較 Inspector Cloud One
CVE検知
ランサムウェア対策 ×
ウイルス対策 ×
(個人的)評価 既知の脆弱性にのみ有効 幅広いマルウェア対策
InspectorとCloudOneの違い

Inspectorとよく似たサービスにAmazon Macieがあります。Macieは機械学習により機密情報が含まれていないかのチェックをしてくれるサービスです。例:クレジットカード番号、電話番号、住所やマイナンバーなどの個人情報

CloudOne VS GuardDuty

GuardDutyにはMalware Protection があります。Cloud Oneと比較してみます。

GuardDuty Malware Protectionとは

GuardDuty Malware Protectionは割と新しいサービスで認知度も低そうなので詳しめに書いてみます。
EC2でマルウェア感染が疑われる挙動を示した場合、GuardDutyがEC2をスキャンしてくれる機能のようです。”EC2がマルウェア感染の疑いがあるか?”はCloudTrailログやVPCフローログから判断します。これらは有効化しておきましょう。

処理の流れは以下(AWSのBlackBelt資料です。)

大まかな流れです。※図中の番号とはマッチしません。

  • VPCフローログやCloudTrailログからマルウェア感染の疑う。
  • EC2に割当たっているEBSのスナップショットをとる(EBSが暗号化されていてもうまくやってくれるようです)
  • スナップショットをスキャンする(ワークロードに影響を与えずエージェントレスで実施するためのスナップショット)
  • マルウェア感染を通知
GuardDuty Malware Protectionの説明

図からわかる通り、スキャンのタイミングはコントロールできないです。また、Protectionと名がついていますが、実施するのは検知までで保護や隔離は実施されません。また、スキャンは24時間以上間をあけて実行されるようです。

GuardDuty Malware Protectionについては以下BlackBelt資料がわかりやすいです。

違い

上の上でも述べましたが、スキャンの実行タイミング、保護隔離まで行うのかが異なります。スキャンの精度や正確性などは情報が公開されていないので何とも言えないです。

また、GuardDutyではマルウェア感染したプログラムが動作しないとスキャンされませんが、Cloud Oneは定期スキャンや手動スキャンでマルウェアが悪さをする前に検知できそうです。

比較 GuardDuty Cloud One
EC2スキャン実施(EBS)
動作前のマルウェア検知 ×
(疑わしい動作を検知してからスキャンするため)
スキャンタイミング ×
(コントロール不可)

(手動/定期)
マルウェア隔離 ×
(個人的)評価 発見的対策 予防的対策
GuardDutyとCloudOneの比較

CloudOne VS WAF

WAFとは

セキュリティルールを作成して攻撃をブロックするサービスです。マネージドルールといわれるAWSが用意してくれているルールも使うことができますし、自前で定義することもできます。

API GatewayやELB、CloudFrontにWAFルールを適用することができます。

違い

AWS WAFはアプリケーション層での保護を対象とします。ネットワーク層の保護は対象外となっています。ゆえにOSやミドルウェアの脆弱性をついた攻撃は対応できないようです。

また、個別のEC2インスタンスの保護など細かい防御はできないようです。

これも用途に応じて併用するのがよさそうです。

比較 AWS WAF Cloud One
アプリケーション層の保護
ネットワーク層の保護 ×
個別のEC2の保護 ×
ホスト間の通信の保護 ×
(個人的)評価 定義するルール次第 うまくやってくれる
WAFとCloudOneの比較

まとめ

調べてみていろいろわかりました。AWSの公式ドキュメントを確認していると、AWSのネイティブサービスだけでセキュリティ対策をできそうに感じていましたが、要件によってはCloud Oneなどのサードパーティ製品も組み合わせるのが適切と感じました。

特にCloud Oneでは一見AWSネイティブサービスと重複している機能がありそうでしたが、よくよく確認してみるとカバーしている範囲が異なることが良くわかりました。

皆様のクラウドセキュリティを考える際に参考になればうれしく思います。

PR
当ブログはWordPressテーマSWELLを使用しています。非常に使いやすく、簡単にプロのようなデザインを使えるのでお勧めです!!

SWELL – シンプル美と機能性両立を両立させた、圧巻のWordPressテーマ

ランキング

ランキングに参加しています。クリックして応援いただけると嬉しいです。
にほんブログ村 IT技術ブログ クラウドコンピューティングへ
にほんブログ村
AWSランキング
AWSランキング

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次