$30 off During Our Annual Pro Sale. View Details »

AWS re:Inforce 2024 re:Cap - Learnings & Actions -

AWS re:Inforce 2024 re:Cap - Learnings & Actions -

2024/08/26 某所登壇資料

Hiroshi Hayakawa (p0n)

August 26, 2024
Tweet

More Decks by Hiroshi Hayakawa (p0n)

Other Decks in Technology

Transcript

  1. SLIDESMANIA.COM 早川裕志 (Hiroshi Hayakawa) Senior Cloud Architect AWS Community Builders

    (Security & Identity) AWS Ambassadors Japan AWS Top Engineers (Services) Japan AWS All Certifications Engineers 好きなサービス: GuardDuty, Step Functions GameDay中毒: 🥇 x2 🥈 x1 🥉 x3 2 Photo from AWS Blog
  2. はじめに • 免責事項 ◦ re:Inforce どころか re:Invent も現地参加経験ナシ ◦ オンライン視聴&YouTube&re:Capイベント等で情報収集

    • 今⽇の⽬的 ◦ すばらしいキーノートを掘り下げ ◦ re:Inforce に参加したい&させなきゃ!を増やしたい 3
  3. AWS re:Inforceとは? • AWSが主催するクラウドセキュリティやコンプライアンスに特化した 学習型カンファレンス • AWS セキュリティのエキスパートやパートナーとともに、最先端の セキュリティ情報を短時間で効率的に収集可能 ◦

    250を超えるセッション(上級者向けが70%以上) ◦ AWSのセキュリティリーダーシップによるセッション ◦ 100を超えるインタラクティブセッション (GameDay, JAM等) ◦ トップマネジメントとのクローズドセッション (Japan Tour限定) • 今年は 6/10-12にフィラデルフィアで開催 (通算5回⽬) • re:Inventと⽐較すると⼩規模&セキュリティにフォーカス AWS re:Inforce 2024⽇本語紹介ページ: https://aws.amazon.com/jp/events/reinforce-2024/ 4
  4. re:Inforce 2024のリアルタイム配信 • Keynote • Innovation Talks ◦ Explorations of

    cryptography research | SEC204 ◦ The building blocks of a culture of security | SEC202 ◦ Securely accelerating generative AI innovation | SEC203 ◦ Provably secure authorization | SEC201 現在はBreakoutも含めオンデマンドで視聴可能 (ワークショップ等は除く) AWS re:Inforce Watch on demand: https://reinforce.awsevents.com/on-demand/ 東海岸&夏時間 のおかげで-13h 5
  5. Keynote 6 • Key speakers ◦ Chris Betz (CISO@AWS[2023-]) ◦

    Steve Schmidt (CSO@Amazon, CISO@AWS[2010-2022]) • Top Themes: ◦ Culture of Security ◦ Secure by Deisgn ◦ Zero-trust ◦ GenAIの活⽤促進
  6. Culture of Security 組織全体でセキュリティを優先していく “カルチャー ” • セキュリティについて CEOやリーダーシップチームと毎週会議を実施 •

    Security Guardian program ◦ セキュリティ意識の高い開発者がチーム内でセキュリティを推進することを自発的に表明し、セキュ リティの考慮をより早く(シフトレフト)、より頻繁に行われるようにすることで、セキュリティ所有権を 分散し、ボトルネックを解消する ”メカニズム ” ◦ セキュリティのオーナーシップはプロダクトチーム (inc. Security Guardian)が保有し、脅威モデリ ングからテストまで積極的に主導。 💡DevSecOpsの実装事例。組織文化論をメカニズムとして実装している点がポイント • Secure by Design(詳細後述) ◦ 最初からセキュリティを考える。 • 一夜で構築できるものではなく、一貫した強化と継続的な努力・投資がなければ失われる 7 Security Guardians program: https://aws.amazon.com/blogs/security/how-aws-built-the-security-guardians-program-a-mechanism-to-distribute-security-ownership/
  7. Secure by Design #1 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • AWS Graviton ◦ クラウドワークロードのためにデザインされたプロセッサ

    ◦ Graviton4ではセキュリティにより高い基準を設定 ▪ DRAM、PCIeを含む高速物理バス全てを暗号化 ▪ PAC (Pointer Authentication Code)とBTI (Branch Target Identification) (Amazon Linux 2023ではカーネル・全ソフトウェアパッケージでこれらを使用) ▪ SMT (Simultaneous Multi-Threading) の排除 8
  8. Secure by Design #2 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • Nitro System ◦ HardwareとFirmwareレベルで、AWS

    オペレーターのアクセスから顧客コンテンツを保護 ◦ AI/MLワークロードでは学習データやモデルを保護 • Nitro Enclaves ◦ 高度な機密データを EC2内で分離処理する仕組み ◦ 強固に分離・制限された仮想マシン ▪ ペアレントインスタンスとのローカルソケットのみ ▪ 永続化ストレージ、外部ネットワーク接続なし ◦ Attestation(認証されたコードのみを実行)のサポート ◦ KMSとの統合 💡多レイヤを横断する統合的なセキュリティ機能( MF化) 9 https://research.nccgroup.com/wp-content/uploads/2023/05/NCC_Group_AWS_Nitro_System_API_Security_Claims_Report_2023-04-11_v1.0.pdf
  9. Secure by Design #3 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • メモリと型セーフなプログラミング言語 (Rustなど) の使用 ◦

    メモリ関連やスレッド関連の問題を排除しアタックサーフェースを削減 ◦ Rust は AWS で最も急速に成長している言語 ▪ 多くのチームが重要なコンポーネントをその言語に書き直したか書き直し中 ▪ 98%以上のワークロードをメモリ安全な言語で実装 ▪ [事例] S3 ShardStore(S3の新ストレージエンジン) • 暗号技術の開発・研究 ◦ AWS Libcrypto for Rust ▪ OSSのRust用暗号化ライブラリ ▪ FIPSをサポート ▪ ポスト量子暗号の実験的サポート ▪ 形式検証のための自動推論による正確性とセキュリティを強化 ◦ 最先端暗号技術の研究( c.f. SEC204-IN: Explorations of cryptography reseach) 10
  10. Secure by Design #4 自動推論によるガードレール • 証明可能な形式論理に基づいて、システムの望ましくない振る舞いを特定 • テストは重要だが入力に制限される ◦

    IAMポリシーの*指定 ◦ IPv6アドレスの組み合わせは 10^94(観測可能な宇宙の原子の数 10^82より多い) • 暗号プロトコルの正確性、ストレージシステムの一貫性、 FW, 侵入検知システム、セキュアコーディング の実践などで活用 ◦ IAM新認可エンジン ▪ 従来比65%の高速化(1秒間に1億リクエスト) ▪ c.f. SEC201-INT: Provably secure authorization ◦ CEDAR ▪ アプリケーションの認可ポリシーを記述するための言語( OSSで公開) ▪ Verfied PermissionsやVerified Accessで使用 ▪ ユーザは自身のアプリケーションで FGACを実現可能 11
  11. Key Takeaways • Inherit a world-class security team ◦ あらゆるレイヤに組み込まれた緩むことのないセキュリティ

    (Security Ratchet) に乗っかる ◦ AWSというプラットフォームを活⽤して、⾃社のコアコンピタンスを強化 • セキュリティを浸透させることでビジネスを加速する ◦ セキュリティとアジリティ&スケールは両⽴可能 ◦ Ownershipの共有と責任の分散させ、セキュリティチームをゲートにしない 💡 DevOps, DevSecOps, FinOps, Platform Engineeringなどの本質に通じる • SDLCにおける横断的関⼼事を誰かに押し付けない • そのためには「広く深く」が求められる 12
  12. さいごに • 時間があれば紹介したかったこと ◦ GenAIのセキュリティ ◦ Zero-trust ◦ 脅威インテリジェンス(⾃⾝を知る+敵を知る) ▪

    TDR305 Cyber threat intelligence sharing on AWS • re:Inforceは2025年もフィラデルフィアで6/16-18に開催! 13