Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します

 re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します

CM re:Growth 2023にて登壇した資料です。
解説は以下をご確認ください。
https://dev.classmethod.jp/articles/regrowth2023-security/

cm-usuda-keisuke

December 08, 2023
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. re:Invent2023の
    セキュリティまとめして
    GuardDutyとQとコストの話します
    1

    View full-size slide

  2. 2
    こんにちは、⾅⽥です。
    みなさん、
    AWSのセキュリティ対策してますか︖(挨拶

    View full-size slide

  3. 3
    ⾃⼰紹介
    ⾅⽥佳祐(うすだけいすけ)
    ・クラスメソッド株式会社 / AWS事業本部
    シニアソリューションアーキテクト
    セキュリティチームリーダー
    2021 APN Ambassador
    2023 APN AWS Top Engineers (Security)
    AWS Security Hero (2023~)
    ・CISSP
    ・Security-JAWS運営
    ・好きなサービス:
    Amazon GuardDuty
    AWS Security Hub
    Amazon Detective
    みんなのAWS
    (技術評論社)
    Amazon GuardDuty AWS Security Hub Amazon Detective

    View full-size slide

  4. 4
    本題の前に
    re:Invent楽しかったですね︕︕

    View full-size slide

  5. 5
    セッション以外のアクティビティ
    すべり台したり ドラ◯ンボール集めたり

    View full-size slide

  6. 6
    セッション以外のアクティビティ
    ドットを打って遊んだり

    View full-size slide

  7. 7
    セッション以外のアクティビティ
    私もドットを打ってみました
    まずは設計図

    View full-size slide

  8. 8
    ドットを打つ
    10⼈くらいで作りました

    View full-size slide

  9. 9
    ドットといえば
    どうしてもこれもやりたかった
    反省はしている
    後悔はしていない︕

    View full-size slide

  10. 10
    合わせて読みたい
    このボードは
    LiteZillaという
    製品でSTEM教
    材にも使われて
    いるそうです
    https://dev.classm
    ethod.jp/articles/r
    einvent2023-
    litezilla-
    classmethod-logo/

    View full-size slide

  11. 11
    アジェンダ
    • セキュリティまとめ
    • GuardDutyの話
    • Qの話
    • コストの話

    View full-size slide

  12. 12
    セキュリティまとめ

    View full-size slide

  13. 13
    22個ブログがあります
    • Control Tower
    • APIによるランディングゾーン
    操作の⾃動化
    • 65個のコントロール追加(OU
    単位のリージョン制限等)
    • GuardDuty
    • ECS Runtime Monitoring
    • EC2のランタイム保護(プレビ
    ュー)
    • Security Hub
    • コントロールのパラメータカ
    スタマイズ
    • 組織の設定強化(コントロール
    設定とカスタマイズ)
    • サマリダッシュボードでフィ
    ルタリング機能
    • 検出結果にアカウント名等の
    新たな項⽬
    • Detective
    • ⽣成AIで解説
    • IAMリソースの調査とレポー
    ト⽣成
    • Security Lakeとの統合
    • ECS Runtime Monitoringサ
    ポート
    • Inspector
    • ⽣成AIで修復コード提⽰
    • エージェントレススキャン
    • 拡張イメージスキャンCI/CD
    • コスト
    • AWS Config定期的記録
    • Cost Optimization Hub
    • ログ
    • AWS CloudTrail Lakeを
    Athenaで検索
    • その他
    • AWS Fault Injection Service
    がマルチアカウント対応
    • AWS FIS⼤規模障害シミュレ
    ーション
    • Amazon EFSがレプリケーシ
    ョンのフェイルバック対応
    • IAM Access Analyzer⾃動推
    論カスタムポリシーチェック
    末尾にブログ⼀覧があります

    View full-size slide

  14. 14
    GuardDutyの話

    View full-size slide

  15. 15
    GuardDutyの2つのアップデート
    ECSランタイム保護
    ECS Fargateを保護する
    Fargate上での不正プロ
    グラム実⾏や通信を検知
    する
    ⾃動でエージェント⼊り
    サイドカーが⽴ち上がる
    EC2ランタイム保護
    EC2インスタンスにエ
    ージェントを⼊れてプ
    ロセスレベルの検出を
    ⾏う
    オプションで有効化し、
    VPCフローログ課⾦は
    無料になる
    Preview

    View full-size slide

  16. 16
    ECSランタイム保護
    プライベートベータに参加ました

    View full-size slide

  17. 17
    GuardDutyは完璧になりました
    実⾏環境全てカバーしたので全員使おう
    EC2 Fargate Lambda

    View full-size slide

  18. 19
    ⽣成AIはセキュリティでも活躍
    Lambdaのコードをスキ
    ャンして
    修正案の提⽰からパッチ
    ファイル作成までできる

    View full-size slide

  19. 20
    ⽣成AIはセキュリティでも活躍
    検出結果グループでインシデントを要約したメッセージ
    が⽣成される(以下は⽇本語翻訳済み)

    View full-size slide

  20. 21
    ⽣成AIとQ
    あれ、この⾊は…︖

    View full-size slide

  21. 22
    聞いてみた

    View full-size slide

  22. 23
    いずれはAWSのセキュリティサービスと
    Amazon Qがシームレスに連携してくれるの
    を期待(フィードバックした)

    View full-size slide

  23. 24
    コストの話

    View full-size slide

  24. 25
    なんでセキュリティでコストの話︖
    ビジネスを守るのがセキュリティ
    コストも守るのがセキュリティ

    View full-size slide

  25. 26
    AWS Configの記録を⽇次に変更できる
    頻繁に変更がある場合にコストを抑えられる

    View full-size slide

  26. 27
    Cost Optimization Hubは新しいHubサービス
    AWS Security Hubに並び、現在3つある
    AWS Security Hub
    AWS Resilience Hub
    Cost Optimization Hub

    View full-size slide

  27. 28
    コスト最適化のチェックができる
    Cost Optimization HubにはAWS Compute
    Optimizerの情報やRI/SPの状況、Lambdaなどの利
    ⽤状況を収集して⼀元的にコスト最適化のチェック項⽬
    を管理できる
    マルチリージョンやマルチアカウントで優先順位付けが
    できる
    はず…

    View full-size slide

  28. 29
    チェック観点はTrusted Advisorとは違う
    Trusted Advisorでは $6 →
    🤔

    View full-size slide

  29. 30
    おまけ
    合わせて読みたい
    セキュリティアップデートブログ⼀覧

    View full-size slide

  30. 31
    AWS Control Tower
    • [アップデート]API を使⽤して AWS Control Tower ランディング
    ゾーン操作の⾃動化が可能になりました #AWSreInvent
    • https://dev.classmethod.jp/articles/automating-aws-control-tower-landing-zone-
    operations-using-api/
    • [アップデート] AWS Control Tower に新たに 65 個のコントロー
    ルが追加されて OU 単位でのリージョン制限もできるようになりまし
    た #AWSreInvent
    • https://dev.classmethod.jp/articles/aws-control-tower-digital-sovereignty-controls/

    View full-size slide

  31. 32
    Amazon GuardDuty
    • [アップデート]Amazon GuardDuty ECS Runtime
    Monitoringが利⽤できるようになりました
    #AWSreinvent
    • https://dev.classmethod.jp/articles/guardduty-ecs-
    runtime-monitoring/
    • [アップデート]Amazon GuardDutyがEC2のランタイム
    保護(プレビュー)をサポートしマルウェアの検出やプロセ
    スツリーの確認ができるようになりました
    • https://dev.classmethod.jp/articles/guardduty-ec2-
    runtime-monitoring-preview/

    View full-size slide

  32. 33
    AWS Security Hub
    • [アップデード]AWS Security Hubでコントロールのパラメータをカスタマイ
    ズできるようになりました #AWSreinvent
    • https://dev.classmethod.jp/articles/security-hub-custom-control-params/
    • [アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコン
    トロールなどをカスタマイズして設定できるようになりました︕
    #AWSreInvent
    • https://dev.classmethod.jp/articles/aws-sh-organization-customize-standards-
    controls/
    • [アップデート]AWS Security Hubのサマリダッシュボード上でウィジェット
    のカスタマイズやフィルタリング機能が実装されました #AWSreInvent
    • https://dev.classmethod.jp/articles/update-aws-security-hub-widget-additional-
    removal/
    • [アップデート]AWS Security Hubの検出結果に新たな項⽬が増えました
    #AWSreinvent
    • https://dev.classmethod.jp/articles/new-inding-enrichment-aws-security-hub/

    View full-size slide

  33. 34
    Amazon Detective
    • [アップデート]Amazon Detective で、⽣成 AI を使⽤した検出結果グループの概要が確認で
    きるようになりました #AWSreInvent
    • https://dev.classmethod.jp/articles/update-detective-ai-generated-detection-results-group-
    overview-now-available/
    • [アップデート]Amazon Detectiveの調査機能で、IAMリソースの調査が可能になりました
    #AWSreinvent
    • https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam-
    resource/
    • [アップデート] Amazon DetectiveがSecurity Lakeとの統合をサポートしたので試してみ
    た #AWSreInvent
    • https://dev.classmethod.jp/articles/amazon-detective-supports-integration-with-security-
    lake-awsreinvent/
    • [アップデート]Amazon DetectiveがAmazon GuardDuty ECS Runtime Monitoringの
    検出結果の調査をサポートするようになりました #AWSreinvent
    • https://dev.classmethod.jp/articles/detective-guardduty-ecs-runtime-monitoring/

    View full-size slide

  34. 35
    Amazon Inspector
    • [アップデート]Amazon InspectorのLambdaコードスキャンが
    ⽣成AIを活⽤して修復コードを提⽰してくれるようになりました
    #AWSreInvent
    • https://dev.classmethod.jp/articles/inspector_advise_for_lambda_by
    _ai/
    • [アップデート][プレビュー]Amazon Inspectorがエージェント
    レスなスキャンに対応しました #AWSreInvent
    • https://dev.classmethod.jp/articles/amazon-inspector-agentless-
    assessments-ec2-preview/
    • [速報] 拡張イメージスキャンが CI/CD パイプラインに組み込める
    ようになりました︕#AWSreInvent
    • https://dev.classmethod.jp/articles/reinvent2023-inspector-image-
    scanning-cicd-support/

    View full-size slide

  35. 36
    コスト/ログ
    • [アップデート]AWS Config が定期的な記録をサポートするように
    なりました: 変更追跡を効率的にスケールします #AWSreInvent
    • https://dev.classmethod.jp/articles/reinvent2023-updata-aws-config-
    periodic-recording/
    • [アップデート]AWSアカウントやリージョンをまたがってコスト最
    適化に関する情報を集約するCost Optimization Hubが発表され
    たので使ってみた #AWSreInvent
    • https://dev.classmethod.jp/articles/cost-optimization-hub-release/
    • [アップデート]AWS CloudTrail Lakeのイベントデータストアを
    Athenaで検索できるようになりました︕ #AWSreInvent
    • https://dev.classmethod.jp/articles/cloudtrail-lake-federated-query-
    athena/

    View full-size slide

  36. 37
    その他
    • [アップデート]AWS Fault Injection Serviceがマルチアカウントに対応しま
    した #AWSreinvent
    • https://dev.classmethod.jp/articles/multi-account-experiments-aws-fault-injection-
    service/
    • [アップデート]Amazon EFSがレプリケーションのフェイルバックに対応しま
    した︕ #AWSreinvent
    • https://dev.classmethod.jp/articles/amazon-efs-supports-failback/
    • [アップデート]IAM Access Analyzerにて⾃動推論によるカスタムポリシー
    チェックが追加されました。#AWSreInvent
    • https://dev.classmethod.jp/articles/iam-access-analyzer-custom-policy-check/
    • [アップデート] AWS FIS で新しいシナリオとアクションが追加され、より実
    際の⼤規模障害に近い障害シミュレーションが実施出来るようになりました
    #AWSreInvent
    • https://dev.classmethod.jp/articles/fault-injection-service-two-requested-
    scenarios/

    View full-size slide