AWS re:Inforce 2024 re:Cap - Learnings & Actions -

Transcript

1. SLIDESMANIA.COM 2024-08-26 AWS Community Builders集合！

2. SLIDESMANIA.COM 早川裕志 (Hiroshi Hayakawa) Senior Cloud Architect AWS Community Builders

   (Security & Identity) AWS Ambassadors Japan AWS Top Engineers (Services) Japan AWS All Certifications Engineers 好きなサービス: GuardDuty, Step Functions GameDay中毒: 🥇 x2 🥈 x1 🥉 x3 2 Photo from AWS Blog

3. はじめに • 免責事項 ◦ re:Inforce どころか re:Invent も現地参加経験ナシ ◦ オンライン視聴＆YouTube＆re:Capイベント等で情報収集

   • 今⽇の⽬的 ◦ すばらしいキーノートを掘り下げ ◦ re:Inforce に参加したい＆させなきゃ！を増やしたい 3

4. AWS re:Inforceとは？ • AWSが主催するクラウドセキュリティやコンプライアンスに特化した 学習型カンファレンス • AWS セキュリティのエキスパートやパートナーとともに、最先端の セキュリティ情報を短時間で効率的に収集可能 ◦

   250を超えるセッション（上級者向けが70%以上） ◦ AWSのセキュリティリーダーシップによるセッション ◦ 100を超えるインタラクティブセッション (GameDay, JAM等) ◦ トップマネジメントとのクローズドセッション (Japan Tour限定) • 今年は 6/10-12にフィラデルフィアで開催 (通算5回⽬) • re:Inventと⽐較すると⼩規模＆セキュリティにフォーカス AWS re:Inforce 2024⽇本語紹介ページ: https://aws.amazon.com/jp/events/reinforce-2024/ 4

5. re:Inforce 2024のリアルタイム配信 • Keynote • Innovation Talks ◦ Explorations of

   cryptography research | SEC204 ◦ The building blocks of a culture of security | SEC202 ◦ Securely accelerating generative AI innovation | SEC203 ◦ Provably secure authorization | SEC201 現在はBreakoutも含めオンデマンドで視聴可能 （ワークショップ等は除く） AWS re:Inforce Watch on demand: https://reinforce.awsevents.com/on-demand/ 東海岸＆夏時間 のおかげで-13h 5

6. Keynote 6 • Key speakers ◦ Chris Betz (CISO@AWS[2023-]) ◦

   Steve Schmidt (CSO@Amazon, CISO@AWS[2010-2022]) • Top Themes: ◦ Culture of Security ◦ Secure by Deisgn ◦ Zero-trust ◦ GenAIの活⽤促進

7. Culture of Security 組織全体でセキュリティを優先していく “カルチャー ” • セキュリティについて CEOやリーダーシップチームと毎週会議を実施 •

   Security Guardian program ◦ セキュリティ意識の高い開発者がチーム内でセキュリティを推進することを自発的に表明し、セキュ リティの考慮をより早く（シフトレフト）、より頻繁に行われるようにすることで、セキュリティ所有権を 分散し、ボトルネックを解消する ”メカニズム ” ◦ セキュリティのオーナーシップはプロダクトチーム (inc. Security Guardian)が保有し、脅威モデリ ングからテストまで積極的に主導。 💡DevSecOpsの実装事例。組織文化論をメカニズムとして実装している点がポイント • Secure by Design（詳細後述） ◦ 最初からセキュリティを考える。 • 一夜で構築できるものではなく、一貫した強化と継続的な努力・投資がなければ失われる 7 Security Guardians program: https://aws.amazon.com/blogs/security/how-aws-built-the-security-guardians-program-a-mechanism-to-distribute-security-ownership/

8. Secure by Design #1 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • AWS Graviton ◦ クラウドワークロードのためにデザインされたプロセッサ

   ◦ Graviton4ではセキュリティにより高い基準を設定 ▪ DRAM、PCIeを含む高速物理バス全てを暗号化 ▪ PAC (Pointer Authentication Code)とBTI (Branch Target Identification) （Amazon Linux 2023ではカーネル・全ソフトウェアパッケージでこれらを使用） ▪ SMT (Simultaneous Multi-Threading) の排除 8

9. Secure by Design #2 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • Nitro System ◦ HardwareとFirmwareレベルで、AWS

   オペレーターのアクセスから顧客コンテンツを保護 ◦ AI/MLワークロードでは学習データやモデルを保護 • Nitro Enclaves ◦ 高度な機密データを EC2内で分離処理する仕組み ◦ 強固に分離・制限された仮想マシン ▪ ペアレントインスタンスとのローカルソケットのみ ▪ 永続化ストレージ、外部ネットワーク接続なし ◦ Attestation（認証されたコードのみを実行）のサポート ◦ KMSとの統合 💡多レイヤを横断する統合的なセキュリティ機能（ MF化） 9 https://research.nccgroup.com/wp-content/uploads/2023/05/NCC_Group_AWS_Nitro_System_API_Security_Claims_Report_2023-04-11_v1.0.pdf

10. Secure by Design #3 物理DCからソフトウェアアーキテクチャまで、あらゆるレベルでセキュリティを実装 • メモリと型セーフなプログラミング言語 (Rustなど) の使用 ◦

    メモリ関連やスレッド関連の問題を排除しアタックサーフェースを削減 ◦ Rust は AWS で最も急速に成長している言語 ▪ 多くのチームが重要なコンポーネントをその言語に書き直したか書き直し中 ▪ 98%以上のワークロードをメモリ安全な言語で実装 ▪ [事例] S3 ShardStore（S3の新ストレージエンジン） • 暗号技術の開発・研究 ◦ AWS Libcrypto for Rust ▪ OSSのRust用暗号化ライブラリ ▪ FIPSをサポート ▪ ポスト量子暗号の実験的サポート ▪ 形式検証のための自動推論による正確性とセキュリティを強化 ◦ 最先端暗号技術の研究（ c.f. SEC204-IN: Explorations of cryptography reseach） 10

11. Secure by Design #4 自動推論によるガードレール • 証明可能な形式論理に基づいて、システムの望ましくない振る舞いを特定 • テストは重要だが入力に制限される ◦

    IAMポリシーの*指定 ◦ IPv6アドレスの組み合わせは 10^94（観測可能な宇宙の原子の数 10^82より多い） • 暗号プロトコルの正確性、ストレージシステムの一貫性、 FW,　侵入検知システム、セキュアコーディング の実践などで活用 ◦ IAM新認可エンジン ▪ 従来比65%の高速化（1秒間に1億リクエスト） ▪ c.f. SEC201-INT: Provably secure authorization ◦ CEDAR ▪ アプリケーションの認可ポリシーを記述するための言語（ OSSで公開） ▪ Verfied PermissionsやVerified Accessで使用 ▪ ユーザは自身のアプリケーションで FGACを実現可能 11

12. Key Takeaways • Inherit a world-class security team ◦ あらゆるレイヤに組み込まれた緩むことのないセキュリティ

    (Security Ratchet) に乗っかる ◦ AWSというプラットフォームを活⽤して、⾃社のコアコンピタンスを強化 • セキュリティを浸透させることでビジネスを加速する ◦ セキュリティとアジリティ＆スケールは両⽴可能 ◦ Ownershipの共有と責任の分散させ、セキュリティチームをゲートにしない 💡 DevOps, DevSecOps, FinOps, Platform Engineeringなどの本質に通じる • SDLCにおける横断的関⼼事を誰かに押し付けない • そのためには「広く深く」が求められる 12

13. さいごに • 時間があれば紹介したかったこと ◦ GenAIのセキュリティ ◦ Zero-trust ◦ 脅威インテリジェンス（⾃⾝を知る＋敵を知る） ▪

    TDR305 Cyber threat intelligence sharing on AWS • re:Inforceは2025年もフィラデルフィアで6/16-18に開催！ 13

14. SLIDESMANIA.COM