Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート

 セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート

re:Invent 2022のキャッチアップイベントre:Growth 2022で登壇した内容です。
詳細は下記ブログをご確認ください。
https://dev.classmethod.jp/articles/cmregrowth2022-security-and-monitoring/

cm-usuda-keisuke

December 06, 2022
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

    APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)
  2. 9 セキュリティ系まとめ - モニタリング • Amazon CloudWatchのクロスアカウントオブ ザーバビリティ • Amazon

    CloudWatch Internet Monitor • AWS Network Managerリアルタイムパフォーマ ンス • Amazon VPC Reachability AnalyzerのAWS Organizations ネットワーク到達性分析
  3. 10 セキュリティ系まとめ - 可⽤性 • RDS Blue/Greenデプロイ対応 • AWS Elastic

    Disaster Recovery クロスリージョン/ク ロスアベイラビリティーゾーンフェイルバック • S3 マルチリージョンアクセスポイント フェイルオーバ 制御 • Route 53 Application Recovery Controller zonal shift • ELB クロスゾーン負荷分散オフとか • Amazon Connect Global Resiliency • Amazon Redshift Multi-AZ
  4. 11 セキュリティ系まとめ - バックアップ • AWS BackupがCloud Formationを対象とした バックアップ対応 •

    AWS BackupのRedshift対応 • EFS ファイルシステム 1⽇設定ライフサイクルポリ シー • Amazon S3 Glacier 復元スループット最⼤10倍
  5. 12 セキュリティ系まとめ - ガバナンス • AWS Backup Audit ManagerのOrganizations向け 集中型マルチアカウントレポート

    • AWS Organizationsのポリシー管理委任 • AWS Backup リーガルホールド延⻑機能 • AWS Backup Organizations委任 • AWS Config Rules Proactive • AWS Control Tower Proactiveガードレール • AWS Control Tower Account Factory Customization(AFC) • Control Tower包括的な統制管理
  6. 13 セキュリティ系まとめ - データセキュリティ • AWS Clean Rooms • Amazon

    Macie ⾃動検出 • Amazon CloudWatch Logs 機密情報保護 • Amazon Redshift 動的データマスキング • AWS KMS 外部キーストア • Amazon Redshift data sharingのAWS Lake Formationによる集中アクセス制御 • S3アクセスポイント クロスアカウント作成
  7. 14 セキュリティ系まとめ - その他セキュリティ • AWS CloudTrail LakeのAWS Config対応 •

    Amazon InspectorのAWS Lambda脆弱性スキャ ン • AWS Nitro EnclavesのAmazon EKS/Kubernetes対応 • GuardDutyコンテナランタイム脅威検知 • Amazon Security Lake • Amazon Verified Permissions • AWS Verified Access
  8. 17 [課題]サービスの接続問題をどう切り分ける︖ • AWSを利⽤したサービス提供をしている時に外形監 視で問題を確認した場合どうする︖ • 切り分けポイント • ⾃分たちのアプリか ←

    メトリクス取れる • AWSリソースの問題か ← メトリクス取れる • AWSのネットワークの問題か ← メトリクス取れない • これまではAWSのヘルスイベントぐらいしか確認で きなかった • グレーな症状の場合の具体的なパフォーマンスは︖
  9. 22 その他メモ • リソース間のパフォーマンスではないので注意 • ⾒る分には(たぶん)無料 • サブスクライブすると(たぶん)CloudWatchのカス タムメトリクス分かかる •

    5分おきなのでそんなに気にしなくてよさそう • 送信元->送信先毎にメトリクスがあるが、今の所逆⽅向 のメトリクスが同じ値に⾒えるので、取らなくてもいい かも︖
  10. 24 [課題]AWS外部のネットワーク監視どうする︖ • 外形監視は問題ないが実際の顧客のサービス利⽤に 影響が出ている場合 • 例えば地域的な障害やISPの障害 • ⾃分たちのインフラの⼿前の問題 •

    ⾃分たちでは⼿を出せない場所だが把握はしたい • あるいは、ユーザーを別リージョンのサーバーに誘導す ることで暫定対処できるかも
  11. 27 Amazon CloudWatch Internet Monitor使い⽅ 対象 • CloudFront • VPC

    • WorkSpaces 時間軸で表⽰し 95%以下のパ フォーマンスは⾊ がつく
  12. 29