Upgrade to Pro — share decks privately, control downloads, hide ads and more …

探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜

探せぇ! お薦めAWSセキュリティワークショップ!!〜 怒涛のワークショップ 48 連戦 〜

2023/8/26(土)
Security-JAWS【第30回】[Security-JAWS DAYS] ~Day1~
https://s-jaws.doorkeeper.jp/events/155024

Kento Suzuki

August 26, 2023
Tweet

More Decks by Kento Suzuki

Other Decks in Technology

Transcript

  1. 探せぇ︕
    お薦めAWSセキュリティワークショップ︕︕
    〜 怒涛のワークショップ 45 48 連戦 〜
    2023/08/26 (⼟) Security-JAWS【第30回】[Security-JAWS DAYS] ~Day1~

    View Slide

  2. ⾃⼰紹介
    鈴⽊健⽃ @k_suzuki_pnx
    所属
    アイレット株式会社(東京)
    業務
    AWSのインフラ構築・運⽤ → 提案
    (普段セキュリティをメインに業務をしている訳ではない)
    ・Japan AWS Top Engineer (2022, 2023)
    ・Japan AWS All Certifications Engineer (2022, 2023 )
    ・ AWS Community Builder(Cloud Operations)
    ・iret テクニカルアンバサダー (2023)

    View Slide

  3. アジェンダ
    • 本 LT の⽬的
    • おすすめワークショップ
    • その他気になるワークショップ
    • ⼀通りワークショップをやった上での所感

    View Slide

  4. 本 LT の⽬的

    View Slide

  5. こんな悩みありませんか
    資格で AWS のサービスに
    関する知識は得たけど
    実際に触ってないから
    よく分からない
    いざ、AWS のサービスを
    触るといっても
    何から始めれば
    いいか分からない
    セキュリティが重要なのは
    分かるけど、
    業務の中でセキュリティを
    専任でやってるわけでは無いし...

    View Slide

  6. AWS Workshops とは
    • AWS のチームが作成したワークショップが集約されているサイト
    • AWS サービスのタグでワークショップを絞ることが可能
    • Networking, Analytics, AI/ML 等カテゴリーを絞ることも可能
    今回は Security のカテゴリーを
    全部やってみた上で
    個⼈的にお薦めしたい Workshop を紹介
    参照︓https://workshops.aws/

    View Slide

  7. お薦めする際の観点
    • Workshop が古いことによるトラブルが発⽣しない
    • AWS のイベントエンジン限定ではない
    完⾛できること
    • 学びがなければやっても⾯⽩くない
    • 深掘りをする甲斐があるワークショップ
    学びがあること

    View Slide

  8. お薦めワークショップ紹介

    View Slide

  9. ① IAM policy evaluation workshop
    AWS を触る上で避けては通れない IAM のポリシー評価を理解するためのワークショップ
    お薦めポイント
    • 「IAM ポリシーの評価フローはみたことあるけど、実際に触って理解したことない」という⼈にお薦め
    • ⼿を動かす部分もそこまで難しくないため、完⾛できる
    ← お馴染みのフロー
    参照︓https://catalog.us-east-1.prod.workshops.aws/workshops/6dc3124a-6bd4-46eb-b5c4-be438a82ba3d/en-US

    View Slide

  10. ① IAM policy evaluation workshop
    1. アイデンティティベースとリソースベースのポリシー
    2. アクセス許可の境界 (Permissions Boundary)
    3. VPC Endpoint
    4. KMS キーポリシー
    5. IAM ポリシー条件 (Condition 句)
    ワークショップの流れ
    参照︓https://catalog.us-east-1.prod.workshops.aws/workshops/6dc3124a-6bd4-46eb-b5c4-be438a82ba3d/en-US

    View Slide

  11. ② AWS Networking Workshop
    AWS のネットワークリソースの構築を⼀通り体験できるワークショップ
    お薦めポイント
    • AWS のネットワークを基礎から学べる
    • ALB, NLB と⽐べてあまり親しみのない Gateway Load Balancer の⽤途や使い⽅が理解できる
    • 初⼼者向け、中級者向け、Gateway Load Balancer, Transit Gateway Multicast の
    独⽴したワークショップがある。
    • ネットワークのワークショップの⼀部にセキュリティグループや VPC エンドポイントといった
    ネットワークセキュリティに関するパートが含まれているイメージ
    • 全部やると8時間程度かかる超⼤作
    参照︓https://catalog.workshops.aws/networking/en-US

    View Slide

  12. ② AWS Networking Workshop
    1. VPC、サブネット、EC2 インスタンス
    2. VPC Peering
    3. Transit Gateway
    4. VPN
    5. Route53 リゾルバ
    6. ネットワーク監視(VPC Flow Logs, Cloudwatch, CloudTrail)
    7. セキュリティ管理(Network ACLs, セキュリティグループ, VPC エンドポイント)
    ワークショップの流れ(初⼼者向け)
    参照︓https://catalog.workshops.aws/networking/en-US

    View Slide

  13. ② AWS Networking Workshop
    1. 初⼼者向けの Transit Gateway, VPN構成をここで作成
    2. Route53 DNS エンドポイント
    3. VPC エンドポイント ← 特におすすめ
    4. VPC Peering
    5. Transit Gateway Network Manager
    (ネットワークインサイト, ルートアナライザー)
    ワークショップの流れ(中級者向け)
    参照︓https://catalog.workshops.aws/networking/en-US

    View Slide

  14. ② AWS Networking Workshop
    1. Gateway Load Balancer の構築
    2. ルートテーブルの設定
    3. セキュリティアプライアンス製品による
    トラフィック監視とフィルタリング
    ( suricata, Fortinet, Palo Alto から選べる)
    ワークショップの流れ(Gateway Load Balancer)
    ※ Transit Gateway Multicast のワークショップもありましたが、マルチキャストをやってみよう程度
    参照︓https://catalog.workshops.aws/networking/en-US

    View Slide

  15. ③ Securing Microsoft Windows Workloads on AWS
    • 6時間程度のワークショップ
    • AWS Config の費⽤が思ったより発⽣したので注意
    (5時間のワークショップで$0.3)
    お薦めポイント
    • 幅広いサービスを触れる
    • Systems Manager による EC2 の管理に興味がある⼈は特にやった⽅がいい
    セキュアな Windows の EC2 インスタンスを構築、管理する⽅法を⼀通り学習できるワークショップ
    参照︓https://catalog.us-east-1.prod.workshops.aws/secure-windows/en-US

    View Slide

  16. ③ Securing Microsoft Windows Workloads on AWS
    1. Amazon EC2 Image Builder によるイメージ作成
    2. Amazon EC2 Image Builder パイプラインの
    作成と実⾏
    3. AWS Config と AWS Network Firewall Manager
    4. AWS Systems Manager(Session Manager)
    5. Amazon Inspector
    6. AWS Systems Manager(Patch Manager)
    7. AWS Managed Microsoft AD
    ワークショップの流れ
    参照︓https://catalog.us-east-1.prod.workshops.aws/secure-windows/en-US

    View Slide

  17. ④ AWS Network Firewall Workshop
    • 分散モデルと集中モデルの好きな⽅を選んでワークショップを進められる
    • 集中モデルにしか対応していないパートがあるので集中モデルがおすすめ
    • 2時間程度のワークショップ
    お薦めポイント
    • ② 「AWS Networking Workshop」の Gateway Load Balancer のパートが
    AWS のマネージドサービスになったというイメージができて良かった
    • エンタープライズのマルチアカウント構成の環境で利⽤するケースを聞くので、興味がある⼈にはおすすめ
    Network Firewall を⽤いたアクセス監視、侵⼊防御と検出、Webフィルタリングを体験できる
    分散モデル →
    集中モデル →
    参照︓https://catalog.workshops.aws/networkfirewall/en-US

    View Slide

  18. ④ AWS Network Firewall Workshop
    1. CloudFormation で作成されたリソースの確認
    2. Egress Web フィルタリング
    3. オープンソース ルールの利⽤
    4. 脅威ハンティング
    5. TLS 検査を使⽤した Ingress Web フィルタリング
    (集中モデル前提)
    ワークショップの流れ
    参照︓https://catalog.workshops.aws/networkfirewall/en-US
    分散モデル →
    集中モデル →

    View Slide

  19. ⑤ Integration, Prioritization, and Response with
    AWS Security Hub
    • Security Hub の⾒⽅から始まり、通知や修復といった
    応⽤まで⼀通り体験できる
    • 3時間程度のワークショップ
    お薦めポイント
    • Security Hub を実際に利⽤したことがない⼈にはおすすめ
    • 特に「AWS Security Hub による⾃動化」のパートがやりごたえアリ
    参照︓ https://catalog.workshops.aws/security-hub/

    View Slide

  20. 1. AWS Security Hub の概要
    2. ⾃動化(通知、修復)
    3. 外部サービス(Cloud Custodian Slack)との統合
    ワークショップの流れ
    ⑤ Integration, Prioritization, and Response with
    AWS Security Hub
    参照︓ https://catalog.workshops.aws/security-hub/

    View Slide

  21. その他気になるワークショップ

    View Slide

  22. ① Zero Trust Episode 1
    - The Phantom Service Perimeter
    お薦めできないポイント
    • CloudFormation で作成された EC2 に配置されているワークショップ⽤ python スクリプトが動かない
    某映画を彷彿させるタイトルと説明画像...
    参照︓https://catalog.us-east-1.prod.workshops.aws/workshops/dc413216-deab-4371-9e4a-879a4f14233d/en-US

    View Slide

  23. ② Terraform 系ワークショップ
    対象は以下3つ
    • Cisco Secure Firewall Threat Defense Workshop
    • Automating Deployment of AWS Amplify Apps with Terraform
    • How to use Terraform to deploy AWS Security Solutions
    お薦めできないポイント
    • Terraform がエラーはいて詰む
    • トラブルシューティングできたとしても、基本コピペでコードを書いてリソースを作成し、確認するだけ
    → ワークショップをやっている実感がない
    • 2つ⽬のワークショップに⾄っては、もはやセキュリティという単語すら出てこない

    View Slide

  24. ③ Threat Detection and Response with
    Amazon GuardDuty and Amazon Detective
    • GuardDuty のワークショップ
    • GuardDuty の設定から、実際に検出されるような脅威を発⽣させ、調査、対策までの⼀通りを体験できる
    • Amazon Detective も触れる
    今回外した理由
    • セキュリティのカテゴリーで絞った際の⼀覧には出てこない
    参照︓https://catalog.workshops.aws/guardduty/en-US

    View Slide

  25. ④ Security for Developers
    • AWS CDK を⽤いてセキュリティテストのパイプラインを構築していく
    • DEMO 環境へ実際に攻撃を仕掛けることができる
    • 以前、 Security-JAWS のハンズオンイベントで利⽤されたワークショップ
    参照︓とあるAWS SAとSecurity-JAWS#01 ~ほんと、退屈しないわねこのセキュリティは︕~
    https://www.youtube.com/watch?v=8NIpg1uGUSk
    今回外した理由
    • 「Security」のカテゴリータグがついていないため
    参照︓https://catalog.workshops.aws/sec4devs/en-US

    View Slide

  26. ⼀通りワークショップをやった上での所感

    View Slide

  27. ⼀通りワークショップをやった上での所感
    1. 深掘りできなかった
    → 分からない単語、理解できていない箇所が放置
    2. AWS のクレジットにありがとう
    → AWS から配布してもらったクレジットのおかげで個⼈のお財布へはノーダメージ
    → クレジットは以下で貰ったものを利⽤
    ・AWS Community Builders
    ・AWS 公式イベントのアンケート回答
    ・公式ウェブマガジン「builders.flash」の抽選

    View Slide

  28. Big concept
    Bring the attention of your audience over a key
    concept using icons or illustrations
    28
    参加登録はこちら 懇親会登録はこちら
    #jawsfesta #jawsfesta2023 #実⾏委員⻑発⾒
    ←この⼈ (@east_takumi) が実⾏委員⻑です︕
    もし⾒かけたら
    上のハッシュタグを付けて 通報 Post しよう︕︕

    View Slide