セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート

Transcript

1. セキュリティ系まとめと 地味だけど今すぐ設定すべき モニタリングアップデート 2022/12/06 ⾅⽥佳祐 1

2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

   APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)

4. 4 re:Invent 2022の感想 セキュリティ系アップデートは いっぱい出たので お腹いっぱい

5. 5 今回の概要 Control Towerのガバナンス強化とか GuardDutyのランタイムセキュリティとか 気になることは⾊々あるけど より汎⽤的で地味なモニタリングを 今回は深堀りする

6. 6 セッションの概要 1. セキュリティ系まとめ 2. AWSインフラの障害検知に使えるAWS Network Managerのリアルタイムパ フォーマンスモニタリング 3.

   AWS外部のインターネットの局所障害を ⾒極めるAmazon CloudWatch Internet Monitor

7. 7 1.セキュリティ系まとめ

8. 8 あわせて読みたい いっぱい出た のでこちらを 参照 (まとめきれて ないですが) https://dev.clas smethod.jp/arti cles/reinvent-

   2022-security/

9. 9 セキュリティ系まとめ - モニタリング • Amazon CloudWatchのクロスアカウントオブ ザーバビリティ • Amazon

   CloudWatch Internet Monitor • AWS Network Managerリアルタイムパフォーマ ンス • Amazon VPC Reachability AnalyzerのAWS Organizations ネットワーク到達性分析

10. 10 セキュリティ系まとめ - 可⽤性 • RDS Blue/Greenデプロイ対応 • AWS Elastic

    Disaster Recovery クロスリージョン/ク ロスアベイラビリティーゾーンフェイルバック • S3 マルチリージョンアクセスポイント フェイルオーバ 制御 • Route 53 Application Recovery Controller zonal shift • ELB クロスゾーン負荷分散オフとか • Amazon Connect Global Resiliency • Amazon Redshift Multi-AZ

11. 11 セキュリティ系まとめ - バックアップ • AWS BackupがCloud Formationを対象とした バックアップ対応 •

    AWS BackupのRedshift対応 • EFS ファイルシステム 1⽇設定ライフサイクルポリ シー • Amazon S3 Glacier 復元スループット最⼤10倍

12. 12 セキュリティ系まとめ - ガバナンス • AWS Backup Audit ManagerのOrganizations向け 集中型マルチアカウントレポート

    • AWS Organizationsのポリシー管理委任 • AWS Backup リーガルホールド延⻑機能 • AWS Backup Organizations委任 • AWS Config Rules Proactive • AWS Control Tower Proactiveガードレール • AWS Control Tower Account Factory Customization(AFC) • Control Tower包括的な統制管理

13. 13 セキュリティ系まとめ - データセキュリティ • AWS Clean Rooms • Amazon

    Macie ⾃動検出 • Amazon CloudWatch Logs 機密情報保護 • Amazon Redshift 動的データマスキング • AWS KMS 外部キーストア • Amazon Redshift data sharingのAWS Lake Formationによる集中アクセス制御 • S3アクセスポイント クロスアカウント作成

14. 14 セキュリティ系まとめ - その他セキュリティ • AWS CloudTrail LakeのAWS Config対応 •

    Amazon InspectorのAWS Lambda脆弱性スキャ ン • AWS Nitro EnclavesのAmazon EKS/Kubernetes対応 • GuardDutyコンテナランタイム脅威検知 • Amazon Security Lake • Amazon Verified Permissions • AWS Verified Access

15. 15 2. AWSインフラの障害検知に使える AWS Network Managerの リアルタイムパフォーマンス モニタリング

16. 16 AWS Network Managerとは ネットワーク 管理周りの サービス群 他にもTGW ネットワーク マネージャー

    やリーチャビ リティアナラ イザーなど

17. 17 [課題]サービスの接続問題をどう切り分ける︖ • AWSを利⽤したサービス提供をしている時に外形監 視で問題を確認した場合どうする︖ • 切り分けポイント • ⾃分たちのアプリか ←

    メトリクス取れる • AWSリソースの問題か ← メトリクス取れる • AWSのネットワークの問題か ← メトリクス取れない • これまではAWSのヘルスイベントぐらいしか確認で きなかった • グレーな症状の場合の具体的なパフォーマンスは︖

18. 18 [new]リアルタイムパフォーマンスモニタリング • 3種類のモニタリング • リージョン間 • AZ間 • AZ内

19. 19 リアルタイムパフォーマンスモニタリング使い⽅ • ⼤きく2パターン • いざというときに⾒に⾏く • 利⽤している場所をサブスクライブする

20. 20 いざというときに⾒に⾏く • マネジメント コンソールで 指定した期間 の各種パ フォーマンス が⾒れる •

    ⻩⾊いパ フォーマンス 低下があるか 確認する

21. 21 利⽤している場所をサブスクライブする サブスクライブすると CloudWatchメトリクス を受け取れる 利⽤しているAZ内とAZ間 は取っておいていいかも

22. 22 その他メモ • リソース間のパフォーマンスではないので注意 • ⾒る分には(たぶん)無料 • サブスクライブすると(たぶん)CloudWatchのカス タムメトリクス分かかる •

    5分おきなのでそんなに気にしなくてよさそう • 送信元->送信先毎にメトリクスがあるが、今の所逆⽅向 のメトリクスが同じ値に⾒えるので、取らなくてもいい かも︖

23. 23 3. AWS外部のインターネットの 局所障害を⾒極める Amazon CloudWatch Internet Monitor

24. 24 [課題]AWS外部のネットワーク監視どうする︖ • 外形監視は問題ないが実際の顧客のサービス利⽤に 影響が出ている場合 • 例えば地域的な障害やISPの障害 • ⾃分たちのインフラの⼿前の問題 •

    ⾃分たちでは⼿を出せない場所だが把握はしたい • あるいは、ユーザーを別リージョンのサーバーに誘導す ることで暫定対処できるかも

25. 25 Amazon CloudWatch Internet Monitor インターネット全体の障害をモニタリング

26. 26 Amazon CloudWatch Internet Monitorの仕組み AWS各リージョンやエッジ側などを利⽤して、各ネッ トワークプロバイダーやISPを介したパフォーマンス測 定を⽇々⾏っている 通常AWSのオペレーターが利⽤している プロアクティブに問題を検知している

    https://docs.aws.amazon.com/AmazonCloud Watch/latest/monitoring/CloudWatch-IM- inside-internet-monitor.html

27. 27 Amazon CloudWatch Internet Monitor使い⽅ 対象 • CloudFront • VPC

    • WorkSpaces 時間軸で表⽰し 95%以下のパ フォーマンスは⾊ がつく

28. 28 その他メモ • Amazon CloudWatch Internet Monitorは現在 プレビュー • 今のところ直接費⽤はかからない

    • ただしメトリクスとログはでる • ログ4種1⽇100KBずつ

29. 29