10分で完全に理解するGuardDutyのS3マルウェア保護

Transcript

1. 10分で完全に理解する GuardDutyのS3マルウェア保護 ハッシュタグ: #jawsug #secjaws #jawsugchiba #AWSreinforce re:Inforce 2024 re:cap

   2024/06/12 1

2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN

   Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

4. 4 GuardDutyのS3マルウェア保護がでたよ︕ だいたいブログ に書いてありま す 書いてないこと も話すよ https://dev.classmethod.jp/ articles/release-guardduty- s3-malware-protection/

5. 5 3⾏まとめ • アプリに組み込む機能だよ • ブロックできるよ︕ • 従量課⾦で使いやすいよ

6. 6 アプリに組み込む機能だよ

7. 7 これまでのGuardDuty • AWSアカウント全体(リージョン単位)で有効化する • 全体の様々な脅威を検出する(ガバナンス寄り) • マルウェアスキャンはEC2(EBS)に対応していた

8. 8 S3マルウェア保護は新しい仕組み • オプションの機能だけど、これまでと扱いが違う • 追加でS3を指定して組み込む • アプリケーション要件として利⽤する

9. 9 実際の画⾯ 有効化画⾯から選択が分かれる(なぜかベータ)

10. 10 ブロックできるよ︕

11. 11 検出例 タイプはObject:S3/MaliciousFile

12. 12 ブロック⽅法 TBAC(ABAC)で⽌める バケットポリシーを設定 する GuardDutyMalware ScanStatus: NO_THREATS_FOUND 以外を⽌めるようにする S3

    のマルウェア対策でタグベースのアクセス制御 (TBAC) を使用する - Amazon GuardDuty https://docs.aws.amazon.com/guardduty/latest/ug/tag-based-access-s3-malware-protection.html

13. 13 S3イベントを使ったパターン例 • マルウェアを検出したら削除 • マルウェアを検出したら隔離

14. 14 従量課⾦で使いやすいよ

15. 15 料⾦体系 従量課⾦ ファイル数とファイルサイズ • Per GB / month $0.79

    per GB • Objects evaluated / month $0.282 per 1k objects EBSの参考値 • Per GB / month $0.05 per GB

16. 16 C1FSSとの料⾦⽐較 コストの⽐較記 事あるよ https://dev.classmethod.jp/ articles/202406-guardduty- s3-malware-protection- c1fss-cost-01/

17. 17 C1FSSとの料⾦⽐較 1時間あたり200スキャン 約2.4MB ※ライセンス費用との比較でLambdaなどの料金が含まれていないので、参考値としてください

18. 18 まとめ

19. 19 まとめ • アプリに組み込む機能だよ • ブロックできるよ︕ • 従量課⾦で使いやすいよ

20. 20 おまけ • IAM作るのちょっと⼤変かも • バケットポリシーを作るのちょっと⼤変かも • なるべく参考になる記事をこれから書いていくので 参考にしてね

21. 21 宣伝

22. 22 オフラインre:Capやります︕ ⽇⽐⾕に来れる⽅はどうぞ︕ https://classmethod.connpass.com/event/320489/

23. 23