タグ付けされた質問 セキュリティ
コンテンツの言語: 日本語
並べ替え 最新
以下に記載されている質問と回答を閲覧したり、フィルタリングして並べ替えて結果を絞り込んだりできます。
現状以下のようなアーキテクチャの認証APIがあります
[aws cloud front] -> [aws waf] -> [aws alb] -> [(自前の認証API)aws ecs] -> [RDS]
上記、自前の認証APIへの攻撃を検知する方法を模索しているのですが、本ケースにマッチするようなサービス、サービスの組み合わせはありますでしょうか?(WAFで防げるよということであれば、その辺りの詳細もご教示いただけると幸いです)
検知したいのは以下のような攻撃のケースです。
* 同一アクセス元IPアドレスから複数ユーザに対するアクセス試行
* 通常とは大きく地理的に異なる位置からのユーザに対するアクセス試行
認証のURIは全ユーザで同じで、ユーザのIDはpostメソッドのbodyに含まれています。
上記が必要になった背景として、SIEMの導入を検討しており、SplunkとAWSサービス群での比較を行っています。
現状Open Searchでアーキテクチャの各コンポーネントのログをとれているのですが、Open Searchでこのようなケースを検出するQueryの書き方もわからず、手詰まり状態となっています。
理想は自動で検知されてアラートが上がることですが、ログから分析して兆候を検知できればOKな状態です。
AWS Abuse Reportを含むメールが送られてきて、内容としては
あなたの管理しているIPから特定のサービスへのDDoS攻撃が観測されたので、調査と対策を行ってください
といった内容でした。
AWSからの指摘該当の時間帯のリソース状況などを確認したところ、そのような形跡が見当たらなかったのですが、指摘を受けている以上何かしらの対応は必要かと思っております。
ただ、何をどのように確認し、対策を施せばよいか全くわかっておらずなにかアドバイスいただけることがあればお願いしたくQuestionをあげさせていただきました。
よろしくお願いいたします。
以下のページに沿ってアカウントの閉鎖を試みています。
https://docs.aws.amazon.com/ja_jp/quicksight/latest/user/closing-account.html
下記の画面でトグルが動かず、先に進めません。
画面表示は以下の通りです。
ーーーーーーーーーーーー
アカウントの終了保護
アカウントの終了保護は、アカウントが誤って削除されるのを防ぐための追加の安全策です。アカウントを削除する場合は、アカウントの終了保護をオフにしてください。
(トグル)アカウントの終了保護は on です。
ーーーーーーーーーーーーーーーーーーーーー
「アカウントの終了保護は on です。」の前のトグルが動かせず、quick sightのサブスクリプションが削除できません。
どう対処して削除すれば良いでしょうか。
社外秘の情報を持つPCからAWSマネジメントコンソールにログインする場合、
我々が管理するアカウントは厳密な権限分離とアクセスを許可する端末の制御が行われており、またアクセス先もドメインレベルの制御でhttps://aws.amazon.com/への接続のみを許可しています。
しかし例えば悪意のあるユーザーが社外秘の情報を持つPCから、事前に社外で作成しておいた全く関係の無いアカウントを用いてログインし、
オブジェクトストレージなどを利用し社外にデータを持ち出すことが可能だと考えています。
これを防ぐにはどのような構成が取れますでしょうか?
VPC内のEC2サービスに対するDDoS対策について確認したいと思います。
まず、Shield Standardによる基本的なDDoS防御は、EC2インスタンスに割り当てられたグローバルIPにも適用されている認識です。
参考:https://forums.aws.amazon.com/thread.jspa?messageID=758266
この場合、Shield StandardによるDDoS防御は、ネットワークACLやセキュリティグループより内側で働く認識で間違いないでしょうか?
Edited by: matsushy on Mar 21, 2018 8:52 PM
Edited by: matsushy on Mar 22, 2018 1:34 AM