AWSセキュリティサービス最新アップデート

Transcript

1. AWSセキュリティサービス 最新アップデート AWS re:Inforce参加者から⾒るクラウドセキュリティの最新動向と応⽤ 1

2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

   APN Ambassador 2023 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

4. 4 re:Inforce 2023に参加してきました ちょー楽しかったです みなさんも来年は是⾮⾏きましょう︕

5. 5 アジェンダ • アップデート⼀覧 • 個⼈的に話したいアップデートの掘り下げ

6. 6 アップデート⼀覧

7. 7 アップデート⼀覧 (1/3) • Amazon Verified Permissions • Amazon EC2

   Instance Connect Endpoint • Amazon Inspector code scanning of Lambda functions • Amazon Inspector SBOM export • Amazon ECR Basic Scan supports CVSS v3 • Amazon CodeGuru Security

8. 8 アップデート⼀覧(2/3) • Amazon GuardDuty Summary View • Amazon Detective

   finding groups • AWS Security Hub Automation Rules • AWS WAF Account Creation Fraud Prevention • AWS Payment Cryptography • AWS Database Encryption SDK

9. 9 アップデート⼀覧(3/3) • AWS DRS VPC configurations recovery • AWS

   Audit Manager third-party risk assessment / CSV • AWS IAM Identity Center supports Google Workspace • AWS CloudTrail Lake dashboard for top trends • Amazon S3 announces dual-layer server- side encryption

10. 10 個⼈的に話したい アップデートの掘り下げ

11. 11 Amazon Verified Permissions アプリケーションの認可を制御できる

12. 12 合わせて読みたい 動作の説明など はこちら https://dev.class method.jp/articles /reinvent2022- sec335-report/

13. 13 Amazon EC2 Instance Connect Endpoint EC2にSSHで接続できる。SSHポートを公開せずに。 Session Managerと違 い作成するエン

    ドポイントが1 つで済む エンドポイント 無料

14. 14 Amazon EC2 Instance Connect Endpoint EC2 Instance Connect Endpointタグの記事15本

    https://dev.classmethod.jp/tags/ec2-instance-connect-endpoint/

15. 15 合わせて読みたい 設定⽅法の説明 はこちら https://dev.classmet hod.jp/articles/upda te-ec2-instance- connect-endpoint/

16. 16 Amazon Inspectorコードスキャン 脆弱性を作り込ん だLambdaのコ ードを検出してく れる ⼤体脆弱性スキャ ンとしての Inspectorのカ

    バレッジが満たさ れた

17. 17 合わせて読みたい OSコマンドイン ジェクションを 実際に検知させ てみたよ https://dev.classmet hod.jp/articles/lamb da-os-command- injection-detect-

    inspector/

18. 18 GuardDutyのサマリーダッシュボード

19. 19 ダッシュボードのウィジェットの種類 • 概要 • 重⼤度別の検出結果 • 最も⼀般的な検出結果タイプ • 最も多い検出結果を含むリソース

    • 最も多く検出したアカウント • 最も低頻度の検出結果 それぞれ活⽤のポイントがある

20. 20 概要 • まずは⾼の検知があるか確認する • ⾼のイベントは特に危険なものが多い、実際にやら れている可能性が⾼い • AWSアカウントの重要度をベースにチェックしてい こう

21. 21 最も低頻度の検出結果 特にこれは要チェック 定常的に検知がある環境 ではノイズを減らしてよ り重要なものを確認でき る

22. 22 最も⼀般的な検出結果タイプ 特に多いタイプのグラフ おそらく問題のある設定 やアーキテクチャにより 検知されている 例えばSecurity Groupで SSHを開放している 堅牢化する必要がある項

    ⽬を⾒つけられる

23. 23 最も多い検出結果を含むリソース これらのリソースは格好の的 重要なリソースであれば即対応

24. 24 Detectiveの検出結果グループ

25. 25 検出結果グループを使った調査 繋げて攻撃の流れがMITRE ATT&CKの戦術にマッピングして 表⽰される ⾼のイベントがあったら、特にグループが作られていないか確 認する 例えばEC2に対するポートプローブから始まって、SSHブルー トフォース成功、Outsideでクレデンシャル漏洩 S3漏洩などのシナリオで簡単に流れを確認しRoot

    Causeが 確認できる

26. 26 合わせて読みたい GuardDuty / Detectiveアップデート https://dev.classmethod.jp/articles/guardduty-summry- dashboard/ https://dev.classmethod.jp/articles/detective-support- finding-group-visualization/

27. 27 AWS Security Hub automation rules Security Hubで検出したFindingsのコントロールが 直接機能でできる

28. 28 合わせて読みたい 設定⽤法や説明 はこちら https://dev.cl assmethod.jp /articles/secu rity-hub- automation- rules/

29. 29