Upgrade to Pro — share decks privately, control downloads, hide ads and more …

re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します

cm-usuda-keisuke
December 08, 2023
Technology
0
1.4k

 re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します

CM re:Growth 2023にて登壇した資料です。
解説は以下をご確認ください。
https://dev.classmethod.jp/articles/regrowth2023-security/

cm-usuda-keisuke

December 08, 2023
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
初心者向けAWS Securityの勉強会mini Security-JAWSを9ヶ月ぐらい実施してきての近況
cmusudakeisuke
0
120
ツンデレなGuardDutyをプロデュースして世界一のアイドルにする話
cmusudakeisuke
0
510
GuardDutyを可視化して、君もGuardDutyマスターになろう!
cmusudakeisuke
1
1.1k
AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた
cmusudakeisuke
1
16k
10分で完全に理解するGuardDutyのS3マルウェア保護
cmusudakeisuke
0
2.4k
AWSセンセーション 私とみんなが作ったAWSセキュリティ
cmusudakeisuke
3
4.6k
新しい初心者向けのSecurity-JAWSをやるよ!って話
cmusudakeisuke
0
1.2k
AWSセキュリティ成熟度モデルで自分たちのAWSセキュリティレベルを説明できるようにしてみよう
cmusudakeisuke
2
9.8k
AWSセキュリティサービス最新アップデート
cmusudakeisuke
2
1.7k

Other Decks in Technology

See All in Technology
これまでの計測・開発・デプロイ方法全部見せます! / Findy ISUCON 2024-11-14
tohutohu
3
360
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.3k
Security-JAWS【第35回】勉強会クラウドにおけるマルウェアやコンテンツ改ざんへの対策
4su_para
0
170
B2B SaaS × AI機能開発 〜テナント分離のパターン解説〜 / B2B SaaS x AI function development - Explanation of tenant separation pattern
oztick139
2
220
Platform Engineering for Software Developers and Architects
syntasso
1
510
OCI Security サービス 概要
oracle4engineer
PRO
0
6.5k
第1回 国土交通省 データコンペ参加者向け勉強会③ - Snowflake x estie編 -
estie
0
120
ノーコードデータ分析ツールで体験する時系列データ分析超入門
negi111111
0
410
[FOSS4G 2024 Japan LT] LLMを使ってGISデータ解析を自動化したい!
nssv
1
210
OCI Vault 概要
oracle4engineer
PRO
0
9.7k
Terraform CI/CD パイプラインにおける AWS CodeCommit の代替手段
hiyanger
1
240
IBC 2024 動画技術関連レポート / IBC 2024 Report
cyberagentdevelopers
PRO
0
110

Featured

See All Featured
GraphQLとの向き合い方2022年版
quramy
43
13k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
27
4.3k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
131
33k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Navigating Team Friction
lara
183
14k
Designing for humans not robots
tammielis
250
25k
Designing Experiences People Love
moore
138
23k
Docker and Python
trallard
40
3.1k
Documentation Writing (for coders)
carmenintech
65
4.4k
Optimising Largest Contentful Paint
csswizardry
33
2.9k

Transcript

  1. re:Invent2023の セキュリティまとめして GuardDutyとQとコストの話します 1

  2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

  3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN

    Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

  4. 4 本題の前に re:Invent楽しかったですね︕︕

  5. 5 セッション以外のアクティビティ すべり台したり ドラ◯ンボール集めたり

  6. 6 セッション以外のアクティビティ ドットを打って遊んだり

  7. 7 セッション以外のアクティビティ 私もドットを打ってみました まずは設計図

  8. 8 ドットを打つ 10⼈くらいで作りました

  9. 9 ドットといえば どうしてもこれもやりたかった 反省はしている 後悔はしていない︕

  10. 10 合わせて読みたい このボードは LiteZillaという 製品でSTEM教 材にも使われて いるそうです https://dev.classm ethod.jp/articles/r einvent2023-

    litezilla- classmethod-logo/

  11. 11 アジェンダ • セキュリティまとめ • GuardDutyの話 • Qの話 • コストの話

  12. 12 セキュリティまとめ

  13. 13 22個ブログがあります • Control Tower • APIによるランディングゾーン 操作の⾃動化 • 65個のコントロール追加(OU

    単位のリージョン制限等) • GuardDuty • ECS Runtime Monitoring • EC2のランタイム保護(プレビ ュー) • Security Hub • コントロールのパラメータカ スタマイズ • 組織の設定強化(コントロール 設定とカスタマイズ) • サマリダッシュボードでフィ ルタリング機能 • 検出結果にアカウント名等の 新たな項⽬ • Detective • ⽣成AIで解説 • IAMリソースの調査とレポー ト⽣成 • Security Lakeとの統合 • ECS Runtime Monitoringサ ポート • Inspector • ⽣成AIで修復コード提⽰ • エージェントレススキャン • 拡張イメージスキャンCI/CD • コスト • AWS Config定期的記録 • Cost Optimization Hub • ログ • AWS CloudTrail Lakeを Athenaで検索 • その他 • AWS Fault Injection Service がマルチアカウント対応 • AWS FIS⼤規模障害シミュレ ーション • Amazon EFSがレプリケーシ ョンのフェイルバック対応 • IAM Access Analyzer⾃動推 論カスタムポリシーチェック 末尾にブログ⼀覧があります

  14. 14 GuardDutyの話

  15. 15 GuardDutyの2つのアップデート ECSランタイム保護 ECS Fargateを保護する Fargate上での不正プロ グラム実⾏や通信を検知 する ⾃動でエージェント⼊り サイドカーが⽴ち上がる

    EC2ランタイム保護 EC2インスタンスにエ ージェントを⼊れてプ ロセスレベルの検出を ⾏う オプションで有効化し、 VPCフローログ課⾦は 無料になる Preview

  16. 16 ECSランタイム保護 プライベートベータに参加ました

  17. 17 GuardDutyは完璧になりました 実⾏環境全てカバーしたので全員使おう EC2 Fargate Lambda

  18. 18 Qの話

  19. 19 ⽣成AIはセキュリティでも活躍 Lambdaのコードをスキ ャンして 修正案の提⽰からパッチ ファイル作成までできる

  20. 20 ⽣成AIはセキュリティでも活躍 検出結果グループでインシデントを要約したメッセージ が⽣成される(以下は⽇本語翻訳済み)

  21. 21 ⽣成AIとQ あれ、この⾊は…︖

  22. 22 聞いてみた

  23. 23 いずれはAWSのセキュリティサービスと Amazon Qがシームレスに連携してくれるの を期待(フィードバックした)

  24. 24 コストの話

  25. 25 なんでセキュリティでコストの話︖ ビジネスを守るのがセキュリティ コストも守るのがセキュリティ

  26. 26 AWS Configの記録を⽇次に変更できる 頻繁に変更がある場合にコストを抑えられる

  27. 27 Cost Optimization Hubは新しいHubサービス AWS Security Hubに並び、現在3つある AWS Security Hub

    AWS Resilience Hub Cost Optimization Hub

  28. 28 コスト最適化のチェックができる Cost Optimization HubにはAWS Compute Optimizerの情報やRI/SPの状況、Lambdaなどの利 ⽤状況を収集して⼀元的にコスト最適化のチェック項⽬ を管理できる マルチリージョンやマルチアカウントで優先順位付けが

    できる はず…

  29. 29 チェック観点はTrusted Advisorとは違う Trusted Advisorでは $6 → 🤔

  30. 30 おまけ 合わせて読みたい セキュリティアップデートブログ⼀覧

  31. 31 AWS Control Tower • [アップデート]API を使⽤して AWS Control Tower

    ランディング ゾーン操作の⾃動化が可能になりました #AWSreInvent • https://dev.classmethod.jp/articles/automating-aws-control-tower-landing-zone- operations-using-api/ • [アップデート] AWS Control Tower に新たに 65 個のコントロー ルが追加されて OU 単位でのリージョン制限もできるようになりまし た #AWSreInvent • https://dev.classmethod.jp/articles/aws-control-tower-digital-sovereignty-controls/

  32. 32 Amazon GuardDuty • [アップデート]Amazon GuardDuty ECS Runtime Monitoringが利⽤できるようになりました #AWSreinvent

    • https://dev.classmethod.jp/articles/guardduty-ecs- runtime-monitoring/ • [アップデート]Amazon GuardDutyがEC2のランタイム 保護(プレビュー)をサポートしマルウェアの検出やプロセ スツリーの確認ができるようになりました • https://dev.classmethod.jp/articles/guardduty-ec2- runtime-monitoring-preview/

  33. 33 AWS Security Hub • [アップデード]AWS Security Hubでコントロールのパラメータをカスタマイ ズできるようになりました #AWSreinvent

    • https://dev.classmethod.jp/articles/security-hub-custom-control-params/ • [アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコン トロールなどをカスタマイズして設定できるようになりました︕ #AWSreInvent • https://dev.classmethod.jp/articles/aws-sh-organization-customize-standards- controls/ • [アップデート]AWS Security Hubのサマリダッシュボード上でウィジェット のカスタマイズやフィルタリング機能が実装されました #AWSreInvent • https://dev.classmethod.jp/articles/update-aws-security-hub-widget-additional- removal/ • [アップデート]AWS Security Hubの検出結果に新たな項⽬が増えました #AWSreinvent • https://dev.classmethod.jp/articles/new-inding-enrichment-aws-security-hub/

  34. 34 Amazon Detective • [アップデート]Amazon Detective で、⽣成 AI を使⽤した検出結果グループの概要が確認で きるようになりました

    #AWSreInvent • https://dev.classmethod.jp/articles/update-detective-ai-generated-detection-results-group- overview-now-available/ • [アップデート]Amazon Detectiveの調査機能で、IAMリソースの調査が可能になりました #AWSreinvent • https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam- resource/ • [アップデート] Amazon DetectiveがSecurity Lakeとの統合をサポートしたので試してみ た #AWSreInvent • https://dev.classmethod.jp/articles/amazon-detective-supports-integration-with-security- lake-awsreinvent/ • [アップデート]Amazon DetectiveがAmazon GuardDuty ECS Runtime Monitoringの 検出結果の調査をサポートするようになりました #AWSreinvent • https://dev.classmethod.jp/articles/detective-guardduty-ecs-runtime-monitoring/

  35. 35 Amazon Inspector • [アップデート]Amazon InspectorのLambdaコードスキャンが ⽣成AIを活⽤して修復コードを提⽰してくれるようになりました #AWSreInvent • https://dev.classmethod.jp/articles/inspector_advise_for_lambda_by

    _ai/ • [アップデート][プレビュー]Amazon Inspectorがエージェント レスなスキャンに対応しました #AWSreInvent • https://dev.classmethod.jp/articles/amazon-inspector-agentless- assessments-ec2-preview/ • [速報] 拡張イメージスキャンが CI/CD パイプラインに組み込める ようになりました︕#AWSreInvent • https://dev.classmethod.jp/articles/reinvent2023-inspector-image- scanning-cicd-support/

  36. 36 コスト/ログ • [アップデート]AWS Config が定期的な記録をサポートするように なりました: 変更追跡を効率的にスケールします #AWSreInvent •

    https://dev.classmethod.jp/articles/reinvent2023-updata-aws-config- periodic-recording/ • [アップデート]AWSアカウントやリージョンをまたがってコスト最 適化に関する情報を集約するCost Optimization Hubが発表され たので使ってみた #AWSreInvent • https://dev.classmethod.jp/articles/cost-optimization-hub-release/ • [アップデート]AWS CloudTrail Lakeのイベントデータストアを Athenaで検索できるようになりました︕ #AWSreInvent • https://dev.classmethod.jp/articles/cloudtrail-lake-federated-query- athena/

  37. 37 その他 • [アップデート]AWS Fault Injection Serviceがマルチアカウントに対応しま した #AWSreinvent •

    https://dev.classmethod.jp/articles/multi-account-experiments-aws-fault-injection- service/ • [アップデート]Amazon EFSがレプリケーションのフェイルバックに対応しま した︕ #AWSreinvent • https://dev.classmethod.jp/articles/amazon-efs-supports-failback/ • [アップデート]IAM Access Analyzerにて⾃動推論によるカスタムポリシー チェックが追加されました。#AWSreInvent • https://dev.classmethod.jp/articles/iam-access-analyzer-custom-policy-check/ • [アップデート] AWS FIS で新しいシナリオとアクションが追加され、より実 際の⼤規模障害に近い障害シミュレーションが実施出来るようになりました #AWSreInvent • https://dev.classmethod.jp/articles/fault-injection-service-two-requested- scenarios/

  38. 38