AWSネイティブなセキュリティを考える

Transcript

1. AWSネイティブな セキュリティを考える CloudNative Days Summer 2024 札幌市電貸切LT会 KDDIアジャイル開発センター 若松剛志

2. Who am I ? 若松 剛志 AWS ﾁｮｯﾄﾃﾞｷﾙ エンジニア 秋田出身、札幌在住

   @t_wkm2

3. Who am I ? ぽんず 生後8ヶ月 北海道足寄町生まれ 趣味：新築の家を破壊すること

4. このセッションは考えるだけで 正解を示すものではありませんｗ

5. セキュリティってムズい

6. どこまでやれば安全と言えるのだろうか

7. キリがない

8. ある程度の指標がほしい

9. セキュリティの分野別に考えてみる

10. ネットワーク • トランスポート(TCP/UDP) ◦ ACL/セキュリティグループ ◦ AWS Network Firewall ◦

    Amazon GuardDuty

11. ネットワーク • アプリケーション ◦ AWS WAF ◦ AWS Shield ◦

    AWS Certificate Manager（ACM）

12. 検知/管理 • 脆弱性管理 ◦ Amazon Inspector • 設定管理 ◦ AWS

    Config ◦ AWS Security Hub

13. 検知/管理 • 分析/調査 ◦ Amazon Detective • 監査ログ ◦ AWS

    CloudTrail

14. アクセス管理 • AWS権限管理 ◦ AWS IAM • 認証/認可 ◦ Amazon

    Cognito

15. 押したいセキュリティサービス

16. 押したいセキュリティサービス Security Hub + GuardDuty + Inspector

17. Security Hub + GuardDuty + Inspector なるべく楽に ある程度の指標を持って セキュリティを担保したい

18. AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化 し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体 的なセキュリティの体制を把握することができます。 出典：https://aws.amazon.com/jp/security-hub/ AWS

    Security Hubとは AWSによると... AWSベストプラクティスなど 様々なルールから必要なルールを選 択し、それに逸脱していないか

19. Amazon GuardDuty は、AWS および主要なサードパーティーの ML と統合脅威インテ リジェンスを組み合わせて、AWS アカウント、ワークロード、およびデータを脅威から保 護します。 出典：https://aws.amazon.com/jp/guardduty/

    Amazon GuardDutyとは AWSによると... AWSサービスに対して 悪意のある通信がないか

20. Amazon Inspector は、Amazon EC2 インスタンス、コンテナ、Lambda 関数などの ワークロードを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークの露出 がないかをスキャンします。 出典：https://aws.amazon.com/jp/inspector/ Amazon

    Inspectorとは AWSによると... EC2、コンテナ、Lambdaに 脆弱性がないか

21. Security Hub + GuardDuty + Inspector これらをSeverity(深刻度)ごとに Security Hubでリストアップ それぞれに対して対策を打っていくことで、

    セキュリティを担保していく

22. Security Hubの画面

23. AWSセキュリティサービスを 使いこなして楽しましょう！