Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します

cm-usuda-keisuke
December 08, 2023
Technology
0
1.1k

 re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します

CM re:Growth 2023にて登壇した資料です。
解説は以下をご確認ください。
https://dev.classmethod.jp/articles/regrowth2023-security/

cm-usuda-keisuke

December 08, 2023
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
AWSセンセーション 私とみんなが作ったAWSセキュリティ
cmusudakeisuke
3
3.9k
新しい初心者向けのSecurity-JAWSをやるよ!って話
cmusudakeisuke
0
870
AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう
cmusudakeisuke
2
8.4k
AWSセキュリティサービス最新アップデート
cmusudakeisuke
2
1.5k
GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう!
cmusudakeisuke
0
2.6k
re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)
cmusudakeisuke
0
1.4k
初級から上級までセキュアなAWS環境の作り方
cmusudakeisuke
7
9.3k
セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート
cmusudakeisuke
0
2k
APN AWS Top Engineersが語るAWSの最新セキュリティ
cmusudakeisuke
0
2.3k

Other Decks in Technology

See All in Technology
アクセシビリティを考慮したUI/CSSフレームワーク・ライブラリ選定
yajihum
2
1k
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
0
100
JAWS-UG Bedrock Claude Night
yamahiro
3
620
MapLibreとAmazon Location Service
dayjournal
1
160
今日からできる!簡単 .NET 高速化 Tips -2024 edition-
xin9le
3
790
LayerXにおけるLLMプロダクト開発の今までとこれから
layerx
PRO
1
430
リテール金融(キャッシュレス・ネット銀行・ネット証券)の競争環境と経済圏
8maki
0
1.3k
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
0
300
web-application-security
matsuihidetoshi
0
180
GraphQL 成熟度モデルの紹介と、プロダクトに当てはめた事例 / GraphQL maturity model
mh4gf
7
1.4k
Janus
bkuhlmann
1
490
Terraformあれやこれ/terraform-this-and-that
emiki
8
1.5k

Featured

See All Featured
Building Flexible Design Systems
yeseniaperezcruz
319
37k
The Power of CSS Pseudo Elements
geoffreycrofte
60
5k
10 Git Anti Patterns You Should be Aware of
lemiorhan
648
58k
Fantastic passwords and where to find them - at NoRuKo
philnash
37
2.5k
Typedesign – Prime Four
hannesfritz
36
2.1k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
The World Runs on Bad Software
bkeepers
PRO
61
6.7k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
2
1.3k
Automating Front-end Workflow
addyosmani
1356
200k
Code Reviewing Like a Champion
maltzj
514
39k
Practical Orchestrator
shlominoach
182
9.7k
For a Future-Friendly Web
brad_frost
172
9k

Transcript

  1. re:Invent2023の セキュリティまとめして GuardDutyとQとコストの話します 1

  2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

  3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN

    Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

  4. 4 本題の前に re:Invent楽しかったですね︕︕

  5. 5 セッション以外のアクティビティ すべり台したり ドラ◯ンボール集めたり

  6. 6 セッション以外のアクティビティ ドットを打って遊んだり

  7. 7 セッション以外のアクティビティ 私もドットを打ってみました まずは設計図

  8. 8 ドットを打つ 10⼈くらいで作りました

  9. 9 ドットといえば どうしてもこれもやりたかった 反省はしている 後悔はしていない︕

  10. 10 合わせて読みたい このボードは LiteZillaという 製品でSTEM教 材にも使われて いるそうです https://dev.classm ethod.jp/articles/r einvent2023-

    litezilla- classmethod-logo/

  11. 11 アジェンダ • セキュリティまとめ • GuardDutyの話 • Qの話 • コストの話

  12. 12 セキュリティまとめ

  13. 13 22個ブログがあります • Control Tower • APIによるランディングゾーン 操作の⾃動化 • 65個のコントロール追加(OU

    単位のリージョン制限等) • GuardDuty • ECS Runtime Monitoring • EC2のランタイム保護(プレビ ュー) • Security Hub • コントロールのパラメータカ スタマイズ • 組織の設定強化(コントロール 設定とカスタマイズ) • サマリダッシュボードでフィ ルタリング機能 • 検出結果にアカウント名等の 新たな項⽬ • Detective • ⽣成AIで解説 • IAMリソースの調査とレポー ト⽣成 • Security Lakeとの統合 • ECS Runtime Monitoringサ ポート • Inspector • ⽣成AIで修復コード提⽰ • エージェントレススキャン • 拡張イメージスキャンCI/CD • コスト • AWS Config定期的記録 • Cost Optimization Hub • ログ • AWS CloudTrail Lakeを Athenaで検索 • その他 • AWS Fault Injection Service がマルチアカウント対応 • AWS FIS⼤規模障害シミュレ ーション • Amazon EFSがレプリケーシ ョンのフェイルバック対応 • IAM Access Analyzer⾃動推 論カスタムポリシーチェック 末尾にブログ⼀覧があります

  14. 14 GuardDutyの話

  15. 15 GuardDutyの2つのアップデート ECSランタイム保護 ECS Fargateを保護する Fargate上での不正プロ グラム実⾏や通信を検知 する ⾃動でエージェント⼊り サイドカーが⽴ち上がる

    EC2ランタイム保護 EC2インスタンスにエ ージェントを⼊れてプ ロセスレベルの検出を ⾏う オプションで有効化し、 VPCフローログ課⾦は 無料になる Preview

  16. 16 ECSランタイム保護 プライベートベータに参加ました

  17. 17 GuardDutyは完璧になりました 実⾏環境全てカバーしたので全員使おう EC2 Fargate Lambda

  18. 18 Qの話

  19. 19 ⽣成AIはセキュリティでも活躍 Lambdaのコードをスキ ャンして 修正案の提⽰からパッチ ファイル作成までできる

  20. 20 ⽣成AIはセキュリティでも活躍 検出結果グループでインシデントを要約したメッセージ が⽣成される(以下は⽇本語翻訳済み)

  21. 21 ⽣成AIとQ あれ、この⾊は…︖

  22. 22 聞いてみた

  23. 23 いずれはAWSのセキュリティサービスと Amazon Qがシームレスに連携してくれるの を期待(フィードバックした)

  24. 24 コストの話

  25. 25 なんでセキュリティでコストの話︖ ビジネスを守るのがセキュリティ コストも守るのがセキュリティ

  26. 26 AWS Configの記録を⽇次に変更できる 頻繁に変更がある場合にコストを抑えられる

  27. 27 Cost Optimization Hubは新しいHubサービス AWS Security Hubに並び、現在3つある AWS Security Hub

    AWS Resilience Hub Cost Optimization Hub

  28. 28 コスト最適化のチェックができる Cost Optimization HubにはAWS Compute Optimizerの情報やRI/SPの状況、Lambdaなどの利 ⽤状況を収集して⼀元的にコスト最適化のチェック項⽬ を管理できる マルチリージョンやマルチアカウントで優先順位付けが

    できる はず…

  29. 29 チェック観点はTrusted Advisorとは違う Trusted Advisorでは $6 → 🤔

  30. 30 おまけ 合わせて読みたい セキュリティアップデートブログ⼀覧

  31. 31 AWS Control Tower • [アップデート]API を使⽤して AWS Control Tower

    ランディング ゾーン操作の⾃動化が可能になりました #AWSreInvent • https://dev.classmethod.jp/articles/automating-aws-control-tower-landing-zone- operations-using-api/ • [アップデート] AWS Control Tower に新たに 65 個のコントロー ルが追加されて OU 単位でのリージョン制限もできるようになりまし た #AWSreInvent • https://dev.classmethod.jp/articles/aws-control-tower-digital-sovereignty-controls/

  32. 32 Amazon GuardDuty • [アップデート]Amazon GuardDuty ECS Runtime Monitoringが利⽤できるようになりました #AWSreinvent

    • https://dev.classmethod.jp/articles/guardduty-ecs- runtime-monitoring/ • [アップデート]Amazon GuardDutyがEC2のランタイム 保護(プレビュー)をサポートしマルウェアの検出やプロセ スツリーの確認ができるようになりました • https://dev.classmethod.jp/articles/guardduty-ec2- runtime-monitoring-preview/

  33. 33 AWS Security Hub • [アップデード]AWS Security Hubでコントロールのパラメータをカスタマイ ズできるようになりました #AWSreinvent

    • https://dev.classmethod.jp/articles/security-hub-custom-control-params/ • [アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコン トロールなどをカスタマイズして設定できるようになりました︕ #AWSreInvent • https://dev.classmethod.jp/articles/aws-sh-organization-customize-standards- controls/ • [アップデート]AWS Security Hubのサマリダッシュボード上でウィジェット のカスタマイズやフィルタリング機能が実装されました #AWSreInvent • https://dev.classmethod.jp/articles/update-aws-security-hub-widget-additional- removal/ • [アップデート]AWS Security Hubの検出結果に新たな項⽬が増えました #AWSreinvent • https://dev.classmethod.jp/articles/new-inding-enrichment-aws-security-hub/

  34. 34 Amazon Detective • [アップデート]Amazon Detective で、⽣成 AI を使⽤した検出結果グループの概要が確認で きるようになりました

    #AWSreInvent • https://dev.classmethod.jp/articles/update-detective-ai-generated-detection-results-group- overview-now-available/ • [アップデート]Amazon Detectiveの調査機能で、IAMリソースの調査が可能になりました #AWSreinvent • https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam- resource/ • [アップデート] Amazon DetectiveがSecurity Lakeとの統合をサポートしたので試してみ た #AWSreInvent • https://dev.classmethod.jp/articles/amazon-detective-supports-integration-with-security- lake-awsreinvent/ • [アップデート]Amazon DetectiveがAmazon GuardDuty ECS Runtime Monitoringの 検出結果の調査をサポートするようになりました #AWSreinvent • https://dev.classmethod.jp/articles/detective-guardduty-ecs-runtime-monitoring/

  35. 35 Amazon Inspector • [アップデート]Amazon InspectorのLambdaコードスキャンが ⽣成AIを活⽤して修復コードを提⽰してくれるようになりました #AWSreInvent • https://dev.classmethod.jp/articles/inspector_advise_for_lambda_by

    _ai/ • [アップデート][プレビュー]Amazon Inspectorがエージェント レスなスキャンに対応しました #AWSreInvent • https://dev.classmethod.jp/articles/amazon-inspector-agentless- assessments-ec2-preview/ • [速報] 拡張イメージスキャンが CI/CD パイプラインに組み込める ようになりました︕#AWSreInvent • https://dev.classmethod.jp/articles/reinvent2023-inspector-image- scanning-cicd-support/

  36. 36 コスト/ログ • [アップデート]AWS Config が定期的な記録をサポートするように なりました: 変更追跡を効率的にスケールします #AWSreInvent •

    https://dev.classmethod.jp/articles/reinvent2023-updata-aws-config- periodic-recording/ • [アップデート]AWSアカウントやリージョンをまたがってコスト最 適化に関する情報を集約するCost Optimization Hubが発表され たので使ってみた #AWSreInvent • https://dev.classmethod.jp/articles/cost-optimization-hub-release/ • [アップデート]AWS CloudTrail Lakeのイベントデータストアを Athenaで検索できるようになりました︕ #AWSreInvent • https://dev.classmethod.jp/articles/cloudtrail-lake-federated-query- athena/

  37. 37 その他 • [アップデート]AWS Fault Injection Serviceがマルチアカウントに対応しま した #AWSreinvent •

    https://dev.classmethod.jp/articles/multi-account-experiments-aws-fault-injection- service/ • [アップデート]Amazon EFSがレプリケーションのフェイルバックに対応しま した︕ #AWSreinvent • https://dev.classmethod.jp/articles/amazon-efs-supports-failback/ • [アップデート]IAM Access Analyzerにて⾃動推論によるカスタムポリシー チェックが追加されました。#AWSreInvent • https://dev.classmethod.jp/articles/iam-access-analyzer-custom-policy-check/ • [アップデート] AWS FIS で新しいシナリオとアクションが追加され、より実 際の⼤規模障害に近い障害シミュレーションが実施出来るようになりました #AWSreInvent • https://dev.classmethod.jp/articles/fault-injection-service-two-requested- scenarios/

  38. 38