Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Inforce 2024をおうちで楽しんでみた / Enjoyed AWS re...

AWS re:Inforce 2024をおうちで楽しんでみた / Enjoyed AWS re:Inforce 2024 from home

「JAWS-UG横浜 #72 AWS re:Inforce 2024 re:Cap」で発表した資料
https://jawsug-yokohama.connpass.com/event/321112/

Yuji Oshima

June 27, 2024
Tweet

More Decks by Yuji Oshima

Other Decks in Technology

Transcript

  1. 自己紹介 ◼ 大島 悠司 (Yuji Oshima) • NRI / NRIセキュア

    / ニューリジェンセキュリティ • SREグループマネージャー • AWS Community Builders (Security & Identity) • 2023-2024 Japan AWS Top Engineers (Security) • 2022-2024 Japan AWS All Certifications Engineers • 10大脅威選考会 • 情報処理技術者試験委員会・情報処理安全確保支援士試験委員会 ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • サービス開発、基盤構築運用、研究開発 yuj1osm 2
  2. 自宅から参加できるの? ◼ 自宅から参加できます! ◼ 一部のセッションは中継が行われてました ◼ 今年はキーノートと4本のイノベーショントークが中継 5 6/11 22:00-23:00

    Keynote with Chris Betz 6/12 0:00-1:00 The building blocks of a culture of security (SEC202) 6/12 3:00-4:00 Explorations of cryptography research (SEC204) 6/12 23:00-0:00 Securely accelerating generative AI innovation (SEC203) 6/13 2:00-3:00 Provably secure authorization (SEC201) ※日本時間
  3. どのように中継を視聴していたのか? ◼ 複数のディスプレイを整備して視聴 • 中継画面 • SNS • AWSアップデート •

    コミュティのチャット • AWSマネジメントコンソール ◼ ハッシュタグ「#AWSreInforce」を追い 現地に行ってる人の実況を観察 ◼ 寝落ち防止のエナジードリンクを調達 7
  4. Keynote with Chris Betz ◼ 昨年新たにCISOに就任したChris Betz氏による基調講演 ◼ AWSのCISOに就任してから感じたセキュリティカルチャーの重要性の話 ◼

    AWSの独自開発プロセッサであるGraviton4とAWS Nitro Systemによるデータ保護、 およびAIワークロードとの親和性 ◼ 自動推論によるセキュリティ対策に注力 ◼ Zero Trustによるセキュリティ対策の必要性 9
  5. キーノート中のアップデート ◼ Zero Trustの促進や生成AIを活用した5つの新サービス・機能が発表 10 新サービス・機能 ステータス AWS Private CA

    Connector for SCEP プレビュー PassKeys as 2nd Factor Authentications in AWS IAM 一般提供開始 IAM Access Analyzer unused access findings recommendation 一般提供開始 Amazon GuardDuty Malware Protection for S3 一般提供開始 Generative AI Powered query generation AWS CloudTrail Lake プレビュー
  6. Securely accelerating generative AI innovation (SEC203) ◼ 生成AIワークロードを安全に利用するため、対応すべき脅威や考慮事項について学ぶ必要性 ◼ AWSは「生成

    AI セキュリティスコーピングマトリックス」を提供しており、 利用者は生成AIワークロードに関連するセキュリティ範囲や優先順位を決めることが可能 11 (出典)「生成 AI をセキュアにする: 生成 AI セキュリティスコーピングマトリックスの紹介 | Amazon Web Services ブログ」 https://aws.amazon.com/jp/blogs/news/securing-generative-ai-an-introduction-to-the-generative-ai-security-scoping-matrix/
  7. Neuron Kernel Interface (NKI) ◼ Python / PyTorchといった言語やフレームワークを利用して、 Trainium /

    Inferentiaを搭載したインスタンスに対して独自のモデルや実行方法を定義できる Neuron Kernel Interface (NKI) により、AIモデルを迅速かつセキュアに検証可能 12 (`・ω・´)よろしくニキー (出典)「AWS re:Inforce 2024 - Securely accelerating generative AI innovation (SEC203-INT) - YouTube」 https://www.youtube.com/watch?v=S_4XflTsjZE&list=PL2yQDdvlhXf_-WuiG0HwlDSfKGzdRVItM&index=4
  8. Amazon GuardDuty Malware Protection for Amazon S3 ◼ アップデート概要 •

    選択した S3 バケットへの悪意のあるファイルのアップロードを検出 • GuardDuty Malware Protection for Amazon S3機能のみの有効化もできる • スキャンしたオブジェクトにはGuardDutyMalwareScanStatusというタグが付与され、 タグの値によって脅威と判定されたか分かる • 料金はオブジェクトのサイズと数による従量 • 1カ月のファイルサイズにおいて $0.79 / GB • 1カ月のファイル数において $0.282 / 1k 19 値 説明 NO_THREATS_FOUND 潜在的な脅威を検出しなかった THREATS_FOUND 潜在的な脅威を検出した UNSUPPORTED 当該オブジェクトのスキャンをサポートしていない ACCESS_DENIED オブジェクトにアクセスできない FAILED マルウェアスキャンを実行できない
  9. Amazon GuardDuty Malware Protection for Amazon S3 S3のMalware Protectionを有効化 2

    21 Malware Protection for Amazon S3 機能のためのIAMロールを作成 コピペしてIAMロールを作成し、 再度アクセス許可の項目で選択
  10. Amazon GuardDuty Malware Protection for Amazon S3 マルウェアを検知させる 23 Amazon

    GuardDuty Malware Protection for Amazon S3 マルウェアを検知させる S3バケットにeicarをアップロードしてみる 「GuardDutyMalwareScanStatus : THREATS_FOUND」 というタグが付いており、潜在的な脅威を検出したと判定されている
  11. Amazon GuardDuty Malware Protection for Amazon S3 検出結果の確認 24 重要度が「高」

    検出結果タイプが「Object:S3/MaliciousFile」 さらに、検出理由やオブジェクトの情報も分かる
  12. Amazon GuardDuty Malware Protection for Amazon S3 全体像と検知の仕組み 25 (出典)「AWS

    re:Inforce 2024 - Fully managed malware and antivirus protection for Amazon S3 (TDR204-NEW) - YouTube」 https://www.youtube.com/watch?v=sOaQqxxtcfg&list=PL2yQDdvlhXf8Q4ZXUvRP8VxvBN7_vXAnY&index=4
  13. Amazon GuardDuty Malware Protection for Amazon S3 マルウェアから保護する 26 タグベースのアクセス制御

    (TBAC) を バケットポリシーに仕込むことで、 アクセス元からマルウェアを隔離可能 (例) 以下のタグが付与されたオブジェクト以外へのアクセスを 拒否するバケットポリシー GuardDutyMalwareScanStatus": "NO_THREATS_FOUND" CloudShellでローカルコピーすると、 eicarファイルがブロックされる
  14. Amazon GuardDuty Malware Protection for Amazon S3 所感 ◼ 検出だけでなく、隔離の仕組みを簡単に実装できるのは嬉しい点

    ◼ ユースケースとしては、不特定多数のユーザがS3バケットへファイルをアップロードできるような アプリケーションで効果を発揮すると考えらる ◼ 一方で、ログ保存など内部で使われていて、不特定多数のユーザからアップロードする 余地のないS3バケットには、無理に設定する必要はなさそう ◼ タグの付与やEventBridgeを自由にカスタマイズできるので、運用者に通知メールを送ったり、 他のバケットへ隔離するといったことも可能 ◼ 要件に応じて柔軟に設計するとよい 27
  15. まとめ ◼ やはり生成AI関連の話が多かった ◼ 生成AIの活用や認証を強化するためのアーキテクチャ、そしてより効率の良い運用を 実現するためのアップデートはしばらく続いていく傾向 ◼ 様々なアップデートや現地の実況を見聞きして、おうちでもre:Inforceを楽しめた ◼ しかしながら、現地の体験には勝らない

    • 現地ではワークショップのセッションも豊富 • 新機能を応用したユースケースを学べる • 世界中の参会者と交流できる ◼ 可能な限り現地に行くことがお勧めだが、行けなかった場合でも楽しめる手段はある 28 (出典)「AWS re:Inforce 2024 re:Cap https://pages.awscloud.com/eib-security-240726-reg.html AWS主催のre:Capやるみたいです