CCoEセミナー_第33回_AWS_reInvent_社内Recap_v0.1.pdf

Transcript

1. セキュリティ系アップデートの全体像 と現地での思い出を語る 2023, 2024 Japan AWS Top Engineers (Security) クラウドソリューション部

   粟ケ窪 康平 主任

2. ⚫ 粟ケ窪 康平 • 所属：クラウドソリューション部 • 関心：セキュリティとネットワーク ⚫ 経歴 •

   2020年入社 5年目 • 現システムマネジメント本部（2021年10月） • 大和証券向けのネットワーク設計 • 現大和証券システム本部（～2023年10月） • ゼロトラスト導入（Zscalerなど） • 企業システム事業本部（2023年10月～） • クラウド関連業務 • 外販案件、プリセールス、CCoE • 2023-2024 AWS Top Engineer (Security) 受賞 自己紹介 1

3. 2 本日お話しすること ✓ セッションの選択基準 ✓ セキュリティ系のアップデートの全体像 ✓ 個人的に注目している AWS Organizations

   の新機能を深掘り ✓ 参加した GameDay と Jam の思い出話

4. 3 セッションの選択基準：セキュリティとネットワーク ✓ セキュリティとネットワークを中心にセッションを選定 ✓ 現地での体験を重視し、ほぼハンズオンセッション ( GameDay, Jam, WorkShop

   ) で構成、ブレイクアウトセッションは帰 国後に視聴 日程 参加セッション 12月2日(月) ◼ ワークショップ： AWS GameDay : Security and Networking ◼ ワークショップ： サプライチェーン攻撃からコンテナを保護する ◼ ワークショップ： CI/CDパイプラインの信頼を構築する：コンテナセキュリティを大規模にコード化する ◼ 基調講演： ピーター・デサンティスのマンデイナイトライブ  （party）EXPO ウェルカムレセプション 12月3日(火) ◼ ワークショップ: AWS Jam Security ◼ ワークショップ： Amazon DataZone でデータメッシュを構築および管理する  （party）Japan Night 12月4日(水) ◼ ワークショップ： AWSセキュリティサービスを使用した脅威の検出と対応 ◼ ワークショップ： AWS IAM Identity Center: 生成AIアプリケーションへの安全なアクセス  （party）社長懇親会  (party)Fin-JAWS(金融AWSユーザ会) 12月5日(木) ◼ 基調講演： Dr. Werner Vogels基調講演 ◼ AWS GameDay: Winning the DDoS game  （party）re:Play 12月6日(金) ◼ ワークショップ：AWS Control Tower を使用して安全な AWS 環境を構築する 帰国後 ◼ AWS Verified Access を使用した非 HTTP(S) プロトコル経由のゼロトラストアクセス ◼ マルチアカウント環境向けの新しいガバナンス機能 ◼ 設計によるセキュリティ: 中央制御によるルートの姿勢の強化 etc

5. 4 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

   Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Responce IAM Access Analyzer

6. 5 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

   Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Responce ➢ AWS Resource Explorer ➢ セキュリティやコストの情報を一元的に検索・管理可能に ➢ AWS Systems Manager ➢ マルチアカウント/マルチリージョンのノード把握、管理が一元化 ➢ Amazon Security Lake ➢ 新しいパートナー認定 Amazon Security Lake Ready Specialization が発表 ➢ OpenSearch Service との zero-ETL 統合をサポート ➢ AWS CloudTrail ➢ 包括的なダッシュボード追加とクロスアカウントでのデータストア共有 ➢ AI機能が追加され、自然言語でのクエリ生成とクエリ結果の要約機能を提供 ➢ IAM Access Analyzer ➢ 未使用のアクセス分析にて、アカウントIDやロールタグによるスコープの選択が可能に IAM Access Analyzer

7. 6 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

   Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Responce ➢ AWS Resource Explorer ➢ セキュリティやコストの情報を一元的に検索・管理可能に ➢ AWS Systems Manager ➢ マルチアカウント/マルチリージョンのノード把握、管理が一元化 ➢ Amazon Security Lake ➢ 新しいパートナー認定 Amazon Security Lake Ready Specialization が発表 ➢ OpenSearch Service との zero-ETL 統合をサポート ➢ AWS CloudTrail ➢ 包括的なダッシュボード追加とクロスアカウントでのデータストア共有 ➢ AI機能が追加され、自然言語でのクエリ生成とクエリ結果の要約機能を提供 ➢ IAM Access Analyzer ➢ 未使用のアクセス分析にて、アカウントIDやロールタグによるスコープの選択が可能に IAM Access Analyzer

8. 7 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

   Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Responce ➢ AWS IAM ➢ Organizations のメンバーアカウントのルートアクセスを一元管理可能に ➢ AWS Organizations ➢ 宣言型ポリシー (Declarative policy) が追加 ➢ RCP (Resource control policy) が追加 ➢ AWS Control Tower ➢ 宣言型ポリシーを使用した予防コントロールが追加 ➢ RCPを使用した予防コントロールが追加 ➢ AWS Backup と統合。推奨バックアップ設定を一括適用可能に IAM Access Analyzer

9. 8 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

   Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Responce IAM Access Analyzer ➢ Amazon VPC ➢ VPCのブロックパブリックアクセス (BPA) を発表 ➢ CloudFront がVPCオリジンに対応 ➢ AWS Network Firewall ➢ HTTP2、QUIC、PostgreSQLなどの新プロトコル検出に対応 ➢ AWS Verified Access ➢ TCPやSSH、RDPなどの非HTTP(S)リソースへのゼロトラストアクセスが可 能に

10. 9 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

    Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Responce IAM Access Analyzer ➢ Amazon VPC ➢ VPCのブロックパブリックアクセス (BPA) を発表 ➢ CloudFront がVPCオリジンに対応 ➢ AWS Network Firewall ➢ HTTP2、QUIC、PostgreSQLなどの新プロトコル検出に対応 ➢ AWS Verified Access ➢ TCPやSSH、RDPなどの非HTTP(S)リソースへのゼロトラストアクセスが可 能に

11. 10 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

    Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Response IAM Access Analyzer ➢ Amazon GuardDuty ➢ 高度な脅威検出機能が追加。複数ステージの攻撃を自動検出 ➢ AWS Security Incident Responce ➢ 有人でセキュリティインシデントに対応してくれるサービスがGA ➢ 月額料金7000＄～ ➢ AWS Security Incident Responce の新しいパートナープログラム

12. 11 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

    Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Responce IAM Access Analyzer ➢ Amazon GuardDuty ➢ 高度な脅威検出機能が追加。複数ステージの攻撃を自動検出 ➢ AWS Security Incident Response ➢ 有人でセキュリティインシデントに対応してくれるサービスがGA ➢ 月額料金7000＄～ ➢ AWS Security Incident Response の新しいパートナープログラム

13. 12 セキュリティ系アップデートの全体像 ✓ アップデートのあったAWSサービス 識別 - Identify - 防御 -

    Protect - 検知 - Detect - 対応 - Respond - 復旧 - Recover - AWS Resource Explorer AWS Systems Manager AWS IAM Amazon Security Lake AWS CloudTrail AWS Organizations AWS Control Tower AWS Network Firewall Amazon VPC AWS Verified Access Amazon GuardDuty AWS Security Incident Responce ➢ AWS IAM ➢ Organizations のメンバーアカウントのルートアクセスを一元管理可能に ➢ AWS Organizations ➢ 宣言型ポリシー (Declarative policy) が追加 ➢ RCP (Resource control policy) が追加 ➢ AWS Control Tower ➢ 宣言型ポリシーを使用した予防コントロールが追加 ➢ RCPを使用した予防コントロールが追加 ➢ AWS Backup と統合。推奨バックアップ設定を一括適用可能に IAM Access Analyzer 再掲

14. 13 関連するセッション：マルチアカウント環境向けの新しいガバナンス機能

15. 14 宣言型ポリシーとは ✓ サービスの設定を宣言的に記述し、組織全体やアカウント単位で適用できる新しい管理ポリシー ✓ サービスレベルで望ましい設定を定義/適用できる

16. 15 宣言型ポリシーとは ✓ サービスの設定を宣言的に記述し、組織全体やアカウント単位で適用できる新しい管理ポリシー ✓ サービスレベルで望ましい設定を定義/適用できる 使いやすさ AWS Organizations および

    AWS Control Tower コンソールでいく つかの選択を行うか、AWS CLI と AWS SDK を使用していくつかのコ マンドを実行するだけで、AWS サービスのベースライン設定を適用できる

17. 16 宣言型ポリシーとは ✓ サービスの設定を宣言的に記述し、組織全体やアカウント単位で適用できる新しい管理ポリシー ✓ サービスレベルで望ましい設定を定義/適用できる 一度設定すれば忘れてよい サービスのベースライン設定は、サービスに新しい機能や API が導入され

    た場合でも常に維持される 組織に新しいアカウントが追加されたときや、新しいプリンシパルとリソース が作成されたときも、ベースライン設定は維持される

18. 17 宣言型ポリシーとは ✓ サービスの設定を宣言的に記述し、組織全体やアカウント単位で適用できる新しい管理ポリシー ✓ サービスレベルで望ましい設定を定義/適用できる 透明性 カスタマイズ可能なエラーメッセージを作成でき、エンドユーザーを内部 wikiページにリダイレクトしたり、アクションが失敗した理由を理解するのに 役立つ説明メッセージを提供できる

19. 18 そもそも宣言型って...？

20. 19 何がいいのか(宣言型ポリシーがないときの例) ✓ 「結局何がしたいのか」という目的だけを宣言すれば、サービス側がいい感じに設定を維持してくれる EBSを例に取ると... “EBSスナップショットをパブリックに公開したくないです！” ～宣言型ポリシーがないとき～ まずはアカウントレベルで ec2:EnableSnapshotBlockPublicAccess を実行して...

    そのあとに SCP を使って ec2:DisableSnapshotBlockPublicAccess を禁止して... ec2:UpdateSnapshotBlockPublicAccess がアップデートでできてしまった...それも SCP で禁止しないと...

21. 20 ✓ 「結局何がしたいのか」という目的だけを宣言すれば、サービス側がいい感じに設定を維持してくれる EBSを例に取ると... “EBSスナップショットをパブリックに公開したくないです！” ～宣言型ポリシーがないとき～ まずはアカウントレベルで ec2:EnableSnapshotBlockPublicAccess を実行して... そのあとに

    SCP を使って ec2:DisableSnapshotBlockPublicAccess を禁止して... ec2:UpdateSnapshotBlockPublicAccess がアップデートでできてしまった...それも SCP で禁止しないと... 自分で設定を考える必要があり、将来のアップデートも注視する必要がある 何がいいのか(宣言型ポリシーがないときの例)

22. 21 ✓ 「結局何がしたいのか」という目的だけを宣言すれば、サービス側がいい感じに設定を維持してくれる EBSを例に取ると... “EBSスナップショットをパブリックに公開したくないです！” ～宣言型ポリシーがあるとき～ マネジメントコンソールから スナップショットブロックパブリックアクセスをONに 何がいいのか(宣言型ポリシーがあるときの例)

23. 22 ✓ 「結局何がしたいのか」という目的だけを宣言すれば、サービス側がいい感じに設定を維持してくれる EBSを例に取ると... “EBSスナップショットをパブリックに公開したくないです！” ～宣言型ポリシーがあるとき～ 自分で設定を考える必要がなく、将来のアップデート時にもその状態が維持される 何がいいのか(宣言型ポリシーがあるときの例) マネジメントコンソールから スナップショットブロックパブリックアクセスをONに

24. 23 GameDay の思い出話 ✓ AWS GameDay Security and Networking に参加

25. 24 GameDay の思い出話 初日の朝8時から4時間ぶっ続けという超ハードスケジュール (予約は満席だったが、起きれなかった人がいっぱいいたのか それなりに空席があった) 日本人4名のチーム チーム名投票があり、得票数の多かったチームが ポイント獲得というクエストがあった (会場のネットワークが激重)

    途中5位までランク上げました (最終12位)

26. 25 Jam の思い出話 ✓ AWS Jam - Security に参加

27. 26 Jam の思い出話 モントリオール ロンドン サンディエゴ 謎の Jay さんに席を奪われ 30分くらいゲームに参加できず...

    国籍混合の4名チーム

28. 27 ちなみに ✓ GameDay と Jam はたまに日本でもやってます！ ✓ AWS Summit

    や Top Engineer 向けイベントなど ～AWS Hero 吉田真吾さんの格言～ 一緒に戦ってくれる方募集してます！