re:Invent 2022のキャッチアップイベントre:Growth 2022で登壇した内容です。 詳細は下記ブログをご確認ください。 https://dev.classmethod.jp/articles/cmregrowth2022-security-and-monitoring/
セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート2022/12/06⾅⽥佳祐1
View Slide
2こんにちは、⾅⽥です。みなさん、AWSのセキュリティ対策してますか︖(挨拶
3⾃⼰紹介⾅⽥佳祐(うすだけいすけ)・クラスメソッド株式会社 / AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダーAWS公認インストラクター2021 APN Ambassador2022 APN AWS Top Engineers (Security)・CISSP・Security-JAWS運営・好きなサービス:GuardDuty / DetectiveSecurity HubみんなのAWS(技術評論社)
4re:Invent 2022の感想セキュリティ系アップデートはいっぱい出たのでお腹いっぱい
5今回の概要Control Towerのガバナンス強化とかGuardDutyのランタイムセキュリティとか気になることは⾊々あるけどより汎⽤的で地味なモニタリングを今回は深堀りする
6セッションの概要1. セキュリティ系まとめ2. AWSインフラの障害検知に使えるAWSNetwork Managerのリアルタイムパフォーマンスモニタリング3. AWS外部のインターネットの局所障害を⾒極めるAmazon CloudWatchInternet Monitor
71.セキュリティ系まとめ
8あわせて読みたいいっぱい出たのでこちらを参照(まとめきれてないですが)https://dev.classmethod.jp/articles/reinvent-2022-security/
9セキュリティ系まとめ - モニタリング• Amazon CloudWatchのクロスアカウントオブザーバビリティ• Amazon CloudWatch Internet Monitor• AWS Network Managerリアルタイムパフォーマンス• Amazon VPC Reachability AnalyzerのAWSOrganizations ネットワーク到達性分析
10セキュリティ系まとめ - 可⽤性• RDS Blue/Greenデプロイ対応• AWS Elastic Disaster Recovery クロスリージョン/クロスアベイラビリティーゾーンフェイルバック• S3 マルチリージョンアクセスポイント フェイルオーバ制御• Route 53 Application Recovery Controller zonalshift• ELB クロスゾーン負荷分散オフとか• Amazon Connect Global Resiliency• Amazon Redshift Multi-AZ
11セキュリティ系まとめ - バックアップ• AWS BackupがCloud Formationを対象としたバックアップ対応• AWS BackupのRedshift対応• EFS ファイルシステム 1⽇設定ライフサイクルポリシー• Amazon S3 Glacier 復元スループット最⼤10倍
12セキュリティ系まとめ - ガバナンス• AWS Backup Audit ManagerのOrganizations向け集中型マルチアカウントレポート• AWS Organizationsのポリシー管理委任• AWS Backup リーガルホールド延⻑機能• AWS Backup Organizations委任• AWS Config Rules Proactive• AWS Control Tower Proactiveガードレール• AWS Control Tower Account FactoryCustomization(AFC)• Control Tower包括的な統制管理
13セキュリティ系まとめ - データセキュリティ• AWS Clean Rooms• Amazon Macie ⾃動検出• Amazon CloudWatch Logs 機密情報保護• Amazon Redshift 動的データマスキング• AWS KMS 外部キーストア• Amazon Redshift data sharingのAWS LakeFormationによる集中アクセス制御• S3アクセスポイント クロスアカウント作成
14セキュリティ系まとめ - その他セキュリティ• AWS CloudTrail LakeのAWS Config対応• Amazon InspectorのAWS Lambda脆弱性スキャン• AWS Nitro EnclavesのAmazonEKS/Kubernetes対応• GuardDutyコンテナランタイム脅威検知• Amazon Security Lake• Amazon Verified Permissions• AWS Verified Access
152. AWSインフラの障害検知に使えるAWS Network Managerのリアルタイムパフォーマンスモニタリング
16AWS Network Managerとはネットワーク管理周りのサービス群他にもTGWネットワークマネージャーやリーチャビリティアナライザーなど
17[課題]サービスの接続問題をどう切り分ける︖• AWSを利⽤したサービス提供をしている時に外形監視で問題を確認した場合どうする︖• 切り分けポイント• ⾃分たちのアプリか ← メトリクス取れる• AWSリソースの問題か ← メトリクス取れる• AWSのネットワークの問題か ← メトリクス取れない• これまではAWSのヘルスイベントぐらいしか確認できなかった• グレーな症状の場合の具体的なパフォーマンスは︖
18[new]リアルタイムパフォーマンスモニタリング• 3種類のモニタリング• リージョン間• AZ間• AZ内
19リアルタイムパフォーマンスモニタリング使い⽅• ⼤きく2パターン• いざというときに⾒に⾏く• 利⽤している場所をサブスクライブする
20いざというときに⾒に⾏く• マネジメントコンソールで指定した期間の各種パフォーマンスが⾒れる• ⻩⾊いパフォーマンス低下があるか確認する
21利⽤している場所をサブスクライブするサブスクライブするとCloudWatchメトリクスを受け取れる利⽤しているAZ内とAZ間は取っておいていいかも
22その他メモ• リソース間のパフォーマンスではないので注意• ⾒る分には(たぶん)無料• サブスクライブすると(たぶん)CloudWatchのカスタムメトリクス分かかる• 5分おきなのでそんなに気にしなくてよさそう• 送信元->送信先毎にメトリクスがあるが、今の所逆⽅向のメトリクスが同じ値に⾒えるので、取らなくてもいいかも︖
233. AWS外部のインターネットの局所障害を⾒極めるAmazon CloudWatchInternet Monitor
24[課題]AWS外部のネットワーク監視どうする︖• 外形監視は問題ないが実際の顧客のサービス利⽤に影響が出ている場合• 例えば地域的な障害やISPの障害• ⾃分たちのインフラの⼿前の問題• ⾃分たちでは⼿を出せない場所だが把握はしたい• あるいは、ユーザーを別リージョンのサーバーに誘導することで暫定対処できるかも
25Amazon CloudWatch Internet Monitorインターネット全体の障害をモニタリング
26Amazon CloudWatch Internet Monitorの仕組みAWS各リージョンやエッジ側などを利⽤して、各ネットワークプロバイダーやISPを介したパフォーマンス測定を⽇々⾏っている通常AWSのオペレーターが利⽤しているプロアクティブに問題を検知しているhttps://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-IM-inside-internet-monitor.html
27Amazon CloudWatch Internet Monitor使い⽅対象• CloudFront• VPC• WorkSpaces時間軸で表⽰し95%以下のパフォーマンスは⾊がつく
28その他メモ• Amazon CloudWatch Internet Monitorは現在プレビュー• 今のところ直接費⽤はかからない• ただしメトリクスとログはでる• ログ4種1⽇100KBずつ
29
cmusudakeisuke
mhrtech
sansantech
sinsoku
asei
tsukubachallenge
otanet
baseballyama
shomaekawa
i35_267
chloe463
leveragestech
aki_iinuma
keavy
addyosmani
chrislema
thoeni
dotmariusz
trallard
bluesmoon
morganepeng
cromwellryan
denniskardys
jensimmons
pauljervisheath