Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Inforce 2023 re:Cap

AWS re:Inforce 2023 re:Cap

こちらのイベントでお話した資料です。
「AWS AmbassadorによるAWS re:Inforce re:Cap ~NRIネットコム TECH AND DESIGN STUDY #10~」
https://techplay.jp/event/910937

Avatar for fumiakiueno

fumiakiueno

July 25, 2023
Tweet

More Decks by fumiakiueno

Other Decks in Technology

Transcript

  1. AWS Security Jamの紹介 ※以下「2022年 AWS Security Jam 開催のご案内」より AWS Security

    Jam は、権限管理、ネットワークセキュリティ、暗号化、自動化、 CI/CD、インシデントレスポンスなどに関連するサービスを利用して、参加者が各課 題ごとに AWS 環境を適切に修正しポイントを競うゲーミング形式のイベントです。 出典:2022年 AWS Security Jam 開催のご案内 https://aws.amazon.com/jp/blogs/news/aws-security-jam-2022-intro/ ⚫4~5人程度でイベントで会った方々とチームを組む ⚫AWSアカウント(環境)がイベントから払い出される ⚫環境の修正を行ってポイントを稼ぐ ⚫多く、早く修正を行ったチームが優勝!景品あり ⚫Security Jamはセキュリティ関連の機能、サービスが多い
  2. サイバーセキュリティにおいては HOWの特定が役立つこともある WHY 動機は? HOW どうやったのか? WHO 誰が? 例: 恨みのある人が

    例: 混乱を招くために いたずら心で 例: データの削除を 実行 ここを特定、予測 して防御
  3. Good enough is never good enough ⚫毎年数千の機能をリリースし、多くのテストを行なっている ⚫ハイパーバイザーの脆弱性を減らすため、Nitro Systemの開発も続けている ⚫AWSのオペレータでさえもAWS上のデータにはアクセスできない

    ⚫英国のセキュリティコンサルティング会社NCCから第三者評価も獲得している ⚫LambdaやFargateなどのサーバーレスについても、基盤となるFirecrackerが セキュアに実装されており使うだけでそのメリットを享受できる 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE
  4. AWSでは大量の情報量を扱っている 300GB/秒 VPCフローログ 3,500億/日 AWS WAF Managed Rule アクセス 70万/年

    DDoS攻撃を軽減 10億/秒 AWS IAMのAPI実行 数値情報の出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE
  5. AWSでは大量の情報量を扱っている 300GB/秒 VPCフローログ 3,500億/日 AWS WAF Managed Rule アクセス 70万/年

    DDoS攻撃を軽減 10億/秒 AWS IAMのAPI実行 数値情報の出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE Amazon GuardDuty Resolver DNS firewall AWS Shield 大量の情報を分析してサービ スにも取り込んでいる ⇨AWS上の脅威検知は AWSサービスでやると良い
  6. セキュリティ意識を組織として持つ 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE ⚫デルタ航空CISO Debbie氏より事例の紹介あり ⚫セキュリティが重要になる航空会社で、組織のセキュリティ文化を育成している
  7. AWSの事例 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    ⚫AWSではサービスチームがセキュリティのオーナーシップを持つ ⚫コードスキャンツールなどを活用し、自動化も組み合わせる ⚫こうすることでスピーディかつよりセキュアな開発プロセスが実現できる
  8. AWSパートナーとの強化も強くなっている 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE Amazon Security Lake
  9. Amazon CodeGuru Security ⚫ static application security testing (SAST) ツール

    ⚫ コードの脆弱性を検知してくれる ⚫ MLベースで誤検知(False Positive)を減らす 出典:AWSマネジメントコンソール CodeGuru
  10. Amazon Inspector Code Scans for AWS Lambda function ⚫ Inspectorから有効にすることでLambaのコードを自動スキャン

    ⚫ 検出内容はCodeGuruがベースになっている ⚫ 影響を受けているコード箇所や修正案の提示まで行ってくれる ⚫ 料金は0.36USD+0.65USD/1関数(スタンダード+コードスキャン) 出典:AWSマネジメントコンソール Inspector
  11. CloudTrail Lake dashboards 出典:Announcing AWS CloudTrail Lake Dashboards – Visualize

    and Analyze CloudTrail data https://aws.amazon.com/jp/blogs/mt/announcing-aws-cloudtrail-lake-dashboards-visualize-and-analyze-cloudtrail-data/ ⚫CloudTrail Lakeを有効にすることで自動的にダッシュボードを表示
  12. Amazon EC2 Instance Connect Endpoint ⚫プライベートなEC2インスタンスへSSH/RDPアクセスが可能に ⚫Session Managerと比べて、VPCエンドポイントやSSMエージェントが不要と いう特徴がある ⚫Session

    Managerの持つ操作ログ出力機能は無い 出典:Security groups for EC2 Instance Connect Endpoint https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/eice-security-groups.html