2017/08/17

AWS のパケットキャプチャ ー 古くからある問題を新しい方法で解決する

2017 年 8 月 17 日 Teri Radichel 著

セキュリティ調査では、ハードウェアネットワーク機器の SPAN ポートにパケットキャプチャセキュリティアプライアンスを接続し、データセンタ内のネットワークパケットをキャプチャすることがよくあります。AWS では、ユーザが SPAN ポートやネットワーク機器本体にアクセスすることはできません。そのため、AWS にはパケットキャプチャソリューションを実装できないと考えるセキュリティ専門家もいます。

実際には、AWS でのパケットキャプチャは可能ですが、セキュリティ専門家が AWS で提供されているツールを利用し、通常とは異なる方法でパケットキャプチャを実装する必要があります。私は最近、SANS の Gold 認定の課題として提出した「Packet Capture on AWS」という論文で、AWS のパケットキャプチャソリューションにおけるアーキテクチャオプションの概要を説明しました。SANS は、世界最大の情報セキュリティトレーニングのソースです。この論文は、SANS の情報セキュリティエンジニアリングプログラムでマスター認定を受けるための課題として、提出したものです。

Black Hat での 2 人のセキュリティ研究者による「Fighting the Previous War (AKA: Attacking and Defending in the Era of the Cloud)」というプレゼンテーションでも、セキュリティ研究者がクラウド時代に直面することになるいくつかの変化が説明されていました。この 2 人の研究者は、セキュリティのツールやソリューションをデータセンタからクラウドにそのまま移行しようとすると、新たな重要な攻撃経路が見過ごされてしまうと説明していました。最近の情報流出の中にも、AWS S3 バケットの構成ミスが原因だったものがいくつも含まれていました。

AWS などのクラウドプラットフォームには、セキュリティ専門家が新しい革新的セキュリティソリューションを作成するのに役立つ新しいツールが提供されています。セキュリティアーキテクチャは、正しく実装されることで、非常に堅牢なものとなります。セキュリティ運用チームは、自動化されたソリューション、人工知能、できるだけ詳細なログ機能を提供するソリューションによって、攻撃への迅速な対応が可能になります。セキュリティポリシーの自動適用があれば、エラーを防止し、習得した内容をソフトウェア展開プロセスに統合できます。

パケットキャプチャは、クラウドへの移行によって、これまでとは違う方法で設計しなければならなくなるセキュリティソリューションの一例にすぎません。同じアプローチというわけではありませんが、これまでのやり方が無駄になるわけではありません。情報漏洩のニュースが連日のように報道されることを考えれば、今は、セキュリティチームが新しい考え方や方法による古い問題の解決を検討する良い時期なのかもしれません。

— Teri Radichel(@teriradichel)