reInvent 2023 におけるセキュリティ関連アップデート

Transcript

1. フォージビジョン株式会社 https://www.forgevision.com/ re:Invent 2023 における セキュリティ関連アップデート 2023年12月14日 版 フォージビジョン株式会社 AWS

   re:Invent 2023 参加報告会 ハッシュタグ：#fv_study

2. 自己紹介 All rights reserved, Copyright ForgeVision, Inc. • 名前 松尾太平(ジョン)

   • 略歴 • 物心ついてから実家の家業である魚屋に従事 • 現在は AWS のコンサルティングパートナー としてインフラ回りを担当 • 今年2月末に福岡に引越し • 2020年9月～ はてな社よりMackerel アンバ サダーに任命 • 2023年4月～ 2023 Japan AWS All Certifications Engineers 認定 • 座右の銘 魚介系エンジニア • 好きな魚 鮫、鯵 • 特技 神経締め ハッシュタグ：#fv_study

3. 自己紹介 All rights reserved, Copyright ForgeVision, Inc. • 名前 松尾太平(ジョン)

   • 略歴 • 物心ついてから実家の家業である魚屋に従事 • 現在は AWS のコンサルティングパートナー としてインフラ回りを担当 • 今年2月末に福岡に引越し • 2020年9月～ はてな社よりMackerel アンバ サダーに任命 • 2023年4月～ 2023 Japan AWS All Certifications Engineers 認定 • 座右の銘 魚介系エンジニア • 好きな魚 鮫、鯵 • 特技 神経締め ハッシュタグ：#fv_study

4. はじめに All rights reserved, Copyright ForgeVision, Inc. セキュリティはクラウドサービスを利用する上 での最優先事項の1つです 本日お話しする内容は、re:Invent

   2023 期間中 (2023/11/27-12/1)及びその直前/直後に発表のあ ったセキュリティ関連のアップデートの一部を ピックアップしてお話しさせていただきます。 その期間前後のアップデートに関しましては本 内容に含みませんのでご容赦下さい。 ハッシュタグ：#fv_study

5. アップデート一覧 All rights reserved, Copyright ForgeVision, Inc. ハッシュタグ：#fv_study

6. アップデート一覧(★はキーノートで発表があったもの) All rights reserved, Copyright ForgeVision, Inc. • AWS Analytics

   simplify users’ data access across services with IAM Identity Center • Amazon GuardDuty ECS Runtime Monitoring, including AWS Fargate • Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime Monitoring • Amazon Detective introduces finding group summaries using generative AI • Application Load Balancer can authenticate X.509 certificate based identities with Mutual TLS support • Amazon Inspector expands AWS Lambda code scanning with generative AI powered remediation • You can now customize security controls in AWS Security Hub • Amazon EKS introduces EKS Pod Identity • Amazon S3 Access Grants integrate with identity providers to simplify data lake permissions • Amazon GuardDuty now supports runtime monitoring for Amazon EC2 (Preview) • IAM Access Analyzer now simplifies inspecting unused access to guide you toward least privilege • AWS Secrets Manager now supports batch retrieval of secrets • Announcing new central configuration capabilities in AWS Security Hub • Announcing new finding enrichment in AWS Security Hub • Amazon Redshift announces new fine-grained access control capabilities to nested objects (preview) • Amazon Redshift announces general availability of row-level security enhancements • AWS Clean Rooms Differential Privacy is now available in preview ★ AWS Clean Rooms ML (Preview) ★ Amazon Inspector CI/CD Container Scanning ハッシュタグ：#fv_study

7. 今回お話しするアップデート All rights reserved, Copyright ForgeVision, Inc. • AWS Analytics

   simplify users’ data access across services with IAM Identity Center • Amazon GuardDuty ECS Runtime Monitoring, including AWS Fargate • Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime Monitoring • Amazon Detective introduces finding group summaries using generative AI • Application Load Balancer can authenticate X.509 certificate based identities with Mutual TLS support • Amazon Inspector expands AWS Lambda code scanning with generative AI powered remediation • You can now customize security controls in AWS Security Hub • Amazon EKS introduces EKS Pod Identity • Amazon S3 Access Grants integrate with identity providers to simplify data lake permissions • Amazon GuardDuty now supports runtime monitoring for Amazon EC2 (Preview) • IAM Access Analyzer now simplifies inspecting unused access to guide you toward least privilege • AWS Secrets Manager now supports batch retrieval of secrets • Announcing new central configuration capabilities in AWS Security Hub • Announcing new finding enrichment in AWS Security Hub • Amazon Redshift announces new fine-grained access control capabilities to nested objects (preview) • Amazon Redshift announces general availability of row-level security enhancements • AWS Clean Rooms Differential Privacy is now available in preview ★ AWS Clean Rooms ML (Preview) ★ Amazon Inspector CI/CD Container Scanning ハッシュタグ：#fv_study

8. Amazon GuardDuty ECS Runtime Monitoring, including AWS Fargate All rights

   reserved, Copyright ForgeVision, Inc. ハッシュタグ：#fv_study

9. Amazon GuardDuty ECS Runtime Monitoring, including AWS Fargate All rights

   reserved, Copyright ForgeVision, Inc. Amazon GuardDuty で Fargate を含む ECS ランタイムの脅威検出が可能となりました。 仮想通貨マイニング用にコンテナが悪用されたり、コンテナ上で不正なコードが実行されたこ とを示す異常なアクティビティなど、検出された脅威に関するコンテキストをコンテナレベル で提供されます。 先に機能追加された Amazon EKS の脅威検出と併せて、AWS マネージドコンテナのワーク ロードをどこで実行していても、ランタイム脅威の検出を可視化できます。 検出タイプは英語ドキュメント側で更新されており、 EKS のランタイム脅威検出と同様の仕 様のようです。 (今後追記があるかも) AWSドキュメント：https://docs.aws.amazon.com/guardduty/latest/ug/findings-runtime-monitoring.html GuardDuty が利用可能なすべての AWS リージョンで利用可能です。 ※ AWS GovCloud (米国) リージョンと AWS 中国リージョンを除く 参考：https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-guardduty-ecs-runtime-monitoring- fargate/?nc1=h_ls ハッシュタグ：#fv_study

10. Amazon GuardDuty now supports runtime monitoring for Amazon EC2 (Preview)

    All rights reserved, Copyright ForgeVision, Inc. ハッシュタグ：#fv_study

11. Amazon GuardDuty now supports runtime monitoring for Amazon EC2 All

    rights reserved, Copyright ForgeVision, Inc. Amazon GuardDuty でこれまでの EC2 脅威検出に加えて EC2 上のランタイムの脅威検出 が可能となりました。 Amazon EC2 ワークロードの脅威検出範囲が広がり、ホスト上のオペレーティングシステ ムレベルのアクティビティが可視化され、検出された脅威のコンテナレベルのコンテキスト が提供されます。 検出タイプは英語ドキュメント側で更新されており、 前述の ECS ランタイム検出と同様 (EKS ランタイム検出と同様)の仕様のようです。(今後追記があるかも) AWSドキュメント：https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-ec2.html 現在は Preview 中で GuardDuty が利用可能なすべての AWS リージョンで利用可能です。 ※ AWS GovCloud (米国) リージョンと AWS 中国リージョンを除く 参考：https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-guardduty-runtime-monitoring- amazon-ec2-preview/?nc1=h_ls ハッシュタグ：#fv_study

12. Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime

    Monitoring All rights reserved, Copyright ForgeVision, Inc. ハッシュタグ：#fv_study

13. Amazon Detective supports security investigations for Amazon GuardDuty ECS Runtime

    Monitoring All rights reserved, Copyright ForgeVision, Inc. Amazon Detective で前述の Amazon GuardDuty ECS ランタイムの脅威検出に関するセキ ュリティ調査が含まれるようになりました。 Amazon Detective は、AWS アカウントとワークロード全体の潜在的なセキュリティ問題 を調査できるように設計されたマネージドセキュリティサービスです。 GuardDuty の新しい脅威検出と Detective の調査機能を使用して、コンテナワークロード に対する潜在的な脅威の検出と対応がより効果的に行えることが期待できます。 GuardDuty で新しい脅威検出プランを有効化するだけで、Detective が自動的に検出結果 を行動グラフに取り込むことができるようになります。 本機能は既存および新規のすべての Detective アカウント、および Detective が 利用可能なすべての AWS リージョンで利用可能です。 ハッシュタグ：#fv_study

14. Amazon Inspector expands AWS Lambda code scanning with generative AI

    powered remediation All rights reserved, Copyright ForgeVision, Inc. ハッシュタグ：#fv_study

15. Amazon Inspector expands AWS Lambda code scanning with generative AI

    powered remediation All rights reserved, Copyright ForgeVision, Inc. AWS Lambda 関数に対する Amazon Inspector コードスキャンで、生成系人工知能 (AI) と自動推論を使用したアシスト付きコード修正が含まれるようになりました。 AWS のセキュリティベストプラクティスに則ってインジェクションの欠陥、データ漏えい 、暗号化の強度不足、暗号化の欠落などのセキュリティ上の問題が無いかのコードスキャン を行います。 脆弱性を検出すると、修正後のコードサンプルを含めた、どのコード部分の修正が必要か、 どういった理由でそれが必要かの結果を出力します。 本機能は、バージニア北部、オレゴン、オハイオ、 シドニー、東京、フランクフルト、ア イルランド、ロンドン、ストックホルム、シンガポールの 10 リージョンで利用が可能とな っております。 参考：https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-inspector-aws-lambda-code- scanning/?nc1=h_ls ハッシュタグ：#fv_study

16. IAM Access Analyzer now simplifies inspecting unused access to guide

    you toward least privilege All rights reserved, Copyright ForgeVision, Inc. ハッシュタグ：#fv_study

17. IAM Access Analyzer now simplifies inspecting unused access to guide

    you toward least privilege All rights reserved, Copyright ForgeVision, Inc. IAM Access Analyzer で、未使用なアクセス権限の検査が容易になりました。 Access Analyzer で未使用のアクセスを特定し、その検出結果を含む一元化されたダッシ ュボードが提供されます。 検出結果では、未使用のロール、IAM ユーザーの未使用のアクセスキー、IAM ユーザーの 未使用のパスワードが強調表示されます。 また、単純に未使用の IAM ユーザ、IAM ロールを検出するだけでなく、普段利用されてい る IAM ロールとユーザーについても、アタッチされた権限の中で未使用のサービスとアク ションを検出することができます。 Security Hub や EventBridge などと連携することで、検出結果の集約や未使用の権限削除 などの自動化を行うことも可能です。 本機能は、IAM を利用できるすべての AWS リージョンで利用可能です。 参考：https://aws.amazon.com/jp/about-aws/whats-new/2023/11/iam-access-analyzer-inspecting-unused- access/?nc1=h_ls ハッシュタグ：#fv_study

18. Amazon Inspector CI/CD Container Scanning All rights reserved, Copyright ForgeVision,

    Inc. ハッシュタグ：#fv_study

19. Amazon Inspector CI/CD Container Scanning All rights reserved, Copyright ForgeVision,

    Inc. re:Invent 2023 の Werner Vogels 氏の基調講演内で発表のあったサービスです。 サービスの内容としては Amazon Inspector を Jenkins や TeamCity などの主要な開発者 ツールと統合できるというものです。 このアップデートで CI/CD ツール内でコンテナイメージのソフトウェア脆弱性を評価可能 となり、評価結果は CI/CD ツール内のダッシュボードで確認可能となりました。 開始方法は AWS アカウントで CI/CD ツールのマーケットプレイスから Amazon Inspector プラグインをインストールし、ビルドパイプラインに Amazon Inspector スキャンのステ ップを追加するだけです。 (Amazon Inspector サービスの有効化は不要) 本機能は、Amazon Inspector が利用可能なすべての商用リージョンと AWS GovCloud (米国) リージョンで利用可能です。 参考：https://aws.amazon.com/jp/about-aws/whats-new/2023/11/amazon-inspector-image-security-developer- tools/?nc1=h_ls ハッシュタグ：#fv_study

20. さいごに All rights reserved, Copyright ForgeVision, Inc. ハッシュタグ：#fv_study

21. さいごに All rights reserved, Copyright ForgeVision, Inc. セキュリティはクラウドサービスを利用する上で の最優先事項の1つです 今後もセキュリティ関連のアップデートはお見逃

    しなく！！ 大事なことなのでもう一度・・・ AWS から多くのセキュリティ関連サービスがリリ ースされています！ ハッシュタグ：#fv_study

22. All rights reserved, Copyright ForgeVision, Inc. フォージビジョン株式会社 〒102-0073 東京都千代田区九段北1-5-10 九段クレストビル4F

    03-6272-4773 [email protected] ハッシュタグ：#fv_study