Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Inforce 2023 re:Cap

AWS re:Inforce 2023 re:Cap

こちらのイベントでお話した資料です。
「AWS AmbassadorによるAWS re:Inforce re:Cap ~NRIネットコム TECH AND DESIGN STUDY #10~」
https://techplay.jp/event/910937

fumiakiueno

July 25, 2023
Tweet

More Decks by fumiakiueno

Other Decks in Technology

Transcript

  1. AWS Security Jamの紹介 ※以下「2022年 AWS Security Jam 開催のご案内」より AWS Security

    Jam は、権限管理、ネットワークセキュリティ、暗号化、自動化、 CI/CD、インシデントレスポンスなどに関連するサービスを利用して、参加者が各課 題ごとに AWS 環境を適切に修正しポイントを競うゲーミング形式のイベントです。 出典:2022年 AWS Security Jam 開催のご案内 https://aws.amazon.com/jp/blogs/news/aws-security-jam-2022-intro/ ⚫4~5人程度でイベントで会った方々とチームを組む ⚫AWSアカウント(環境)がイベントから払い出される ⚫環境の修正を行ってポイントを稼ぐ ⚫多く、早く修正を行ったチームが優勝!景品あり ⚫Security Jamはセキュリティ関連の機能、サービスが多い
  2. サイバーセキュリティにおいては HOWの特定が役立つこともある WHY 動機は? HOW どうやったのか? WHO 誰が? 例: 恨みのある人が

    例: 混乱を招くために いたずら心で 例: データの削除を 実行 ここを特定、予測 して防御
  3. Good enough is never good enough ⚫毎年数千の機能をリリースし、多くのテストを行なっている ⚫ハイパーバイザーの脆弱性を減らすため、Nitro Systemの開発も続けている ⚫AWSのオペレータでさえもAWS上のデータにはアクセスできない

    ⚫英国のセキュリティコンサルティング会社NCCから第三者評価も獲得している ⚫LambdaやFargateなどのサーバーレスについても、基盤となるFirecrackerが セキュアに実装されており使うだけでそのメリットを享受できる 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE
  4. AWSでは大量の情報量を扱っている 300GB/秒 VPCフローログ 3,500億/日 AWS WAF Managed Rule アクセス 70万/年

    DDoS攻撃を軽減 10億/秒 AWS IAMのAPI実行 数値情報の出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE
  5. AWSでは大量の情報量を扱っている 300GB/秒 VPCフローログ 3,500億/日 AWS WAF Managed Rule アクセス 70万/年

    DDoS攻撃を軽減 10億/秒 AWS IAMのAPI実行 数値情報の出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE Amazon GuardDuty Resolver DNS firewall AWS Shield 大量の情報を分析してサービ スにも取り込んでいる ⇨AWS上の脅威検知は AWSサービスでやると良い
  6. セキュリティ意識を組織として持つ 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE ⚫デルタ航空CISO Debbie氏より事例の紹介あり ⚫セキュリティが重要になる航空会社で、組織のセキュリティ文化を育成している
  7. AWSの事例 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    ⚫AWSではサービスチームがセキュリティのオーナーシップを持つ ⚫コードスキャンツールなどを活用し、自動化も組み合わせる ⚫こうすることでスピーディかつよりセキュアな開発プロセスが実現できる
  8. AWSパートナーとの強化も強くなっている 出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE

    出典:AWS re:Inforce 2023 - Keynote with CJ Moses https://www.youtube.com/watch?v=_piUB5FrYVE Amazon Security Lake
  9. Amazon CodeGuru Security ⚫ static application security testing (SAST) ツール

    ⚫ コードの脆弱性を検知してくれる ⚫ MLベースで誤検知(False Positive)を減らす 出典:AWSマネジメントコンソール CodeGuru
  10. Amazon Inspector Code Scans for AWS Lambda function ⚫ Inspectorから有効にすることでLambaのコードを自動スキャン

    ⚫ 検出内容はCodeGuruがベースになっている ⚫ 影響を受けているコード箇所や修正案の提示まで行ってくれる ⚫ 料金は0.36USD+0.65USD/1関数(スタンダード+コードスキャン) 出典:AWSマネジメントコンソール Inspector
  11. CloudTrail Lake dashboards 出典:Announcing AWS CloudTrail Lake Dashboards – Visualize

    and Analyze CloudTrail data https://aws.amazon.com/jp/blogs/mt/announcing-aws-cloudtrail-lake-dashboards-visualize-and-analyze-cloudtrail-data/ ⚫CloudTrail Lakeを有効にすることで自動的にダッシュボードを表示
  12. Amazon EC2 Instance Connect Endpoint ⚫プライベートなEC2インスタンスへSSH/RDPアクセスが可能に ⚫Session Managerと比べて、VPCエンドポイントやSSMエージェントが不要と いう特徴がある ⚫Session

    Managerの持つ操作ログ出力機能は無い 出典:Security groups for EC2 Instance Connect Endpoint https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/eice-security-groups.html