AWS re:Invent 2022で発表された新機能を試してみた ～Cloud OperationとSecurity～ 大島 悠司 JAWS-UG横浜 #54 AWS re:Invent 2022 Recap Security

自己紹介 ◼ 大島 悠司（おおしま ゆうじ） • ニューリジェンセキュリティ株式会社 • クラウドセキュリティアーキテクト/基盤リーダー • 2022 APN ALL AWS Certifications Engineers ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • ニューリジェンの創業メンバーとして サービス開発/基盤構築運用/研究開発に従事 Azure×6, GCP×4 CISSP, GIAC×3, ISACA×2 yuj1osm 2

Cloud OperationとSecurityに関するアップデート ◼ Cloud Operations 1. Amazon CloudWatch Internet Monitorを発表 2. Amazon CloudWatch Logsのデータ保護機能を発表 ★ 3. Amazon CloudWatchでアカウント横断の監視が可能に 4. AWS Config Rules Proactive Complianceを発表 5. AWS Organizationsで管理者権限の委任が可能に ★ 6. AWS Control Towerのコントロール管理機能を強化 7. AWS Control Towerがアカウントカスタマイズに対応 ◼ Security 1. AWS CloudTrail LakeがAWS Config連携に対応 ★ 2. Amazon Macieがセンシティブデータの自動検知に対応 3. AWS Wickrが一般利用開始 4. Amazon InspectorがLambda関数の診断をサポート ★ 5. AWS KMSが外部の鍵管理システムとの統合をサポート 6. Amazon GuardDuty RDS Protectionを発表 3 ★今回話すもの [AWS Black Belt Online Seminar] AWS re:Invent 2022速報 資料及び動画公開のご案内 | Amazon Web Services ブログ https://aws.amazon.com/jp/blogs/news/2022-11-reinvent2022-aws-blackbelt/

Amazon CloudWatch Logsのデータ保護機能を発表 4

Amazon CloudWatch Logsのデータ保護機能を発表 概要 ◼ Amazon CloudWatch Logsに対してデータ保護ポリシーを適用することで、 ログ中の機密データを自動的にマスクしてくれるように ◼ アップデート情報 • 機密性の高い転送データを検出して保護するのに役立つデータ保護機能を Amazon CloudWatch Logs に実装 https://aws.amazon.com/jp/about-aws/whats-new/2022/11/data-protection-amazon- cloudwatch-logs-detect-protect-sensitive-data-in-transit/ 5

Amazon CloudWatch Logsのデータ保護機能を発表 検証（1/5） 6 「アクション」→「Create data protection policy」を押下 保護ポリシーを選択 今回は「EmailAddress」と「Name」を選択 保護できるデータの種類は以下のドキュメントにまとまっている Types of data that you can protect - Amazon CloudWatch Logs https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/protect-sensitive-log-data-types.html

Amazon CloudWatch Logsのデータ保護機能を発表 検証（2/5） 7 サンプルログを流してみると、ちゃんとマスクされた 日本語は未対応のためマスクされない 「logs:Unmask」権限を付与したユーザで 「Display」→「Temporarily unmask protected data」を押下すると、 以下のようにマスク前のデータを表示可能 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:Unmask", "Resource": "*" } ] }

Amazon CloudWatch Logsのデータ保護機能を発表 検証（3/5） 8 「Data protection」タブでマスクされたデータ数も確認可能

Amazon CloudWatch Logsのデータ保護機能を発表 検証（4/5） 9 検知ログは以下に送信可能 ・Amazon CloudWatch Logs ・Amazon Kinesis Data Firehose ・Amazon S3 ここでは、Amazon CloudWatch Logsのロググループに送信してみる 再度ログを流す

Amazon CloudWatch Logsのデータ保護機能を発表 検証（5/5） 10 送信先のロググループに2件の検知ログが表示

Amazon CloudWatch Logsのデータ保護機能を発表 所感 ◼ セキュリティ監視の現場では、機密データはマスクしたいという要件が多く、 HIPPA、GDPR、PCI-DSSといった規制にも役立つ便利な機能だと思います 11

AWS Organizationsで管理者権限の委任が可能に 12

AWS Organizationsで管理者権限の委任が可能に 概要 ◼ AWS Organizationsのポリシー管理をメンバーアカウントに委任できるように ◼ アップデート情報 • AWS Organizations で委任管理者機能をリリース https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-organizations-delegated- administrator/ 13

AWS Organizationsで管理者権限の委任が可能に 検証（1/2） 14 AWS Organizationsで「設定」→「委任」を押下 エディタで委任ポリシーを定義可能

AWS Organizationsで管理者権限の委任が可能に 検証（2/2） 15 ポリシー作成前にメンバーアカウントでポリシー 管理画面を表示すると、権限が無くエラー { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam:::root" }, "Action": [ "organizations:List*" ], "Resource": "*" } ] } エディタでListによる閲覧権限を許可 再度、メンバーアカウントでポリシー管理画面を 表示すると、今度は閲覧可能

AWS Organizationsで管理者権限の委任が可能に 所感 ◼ 組織の管理アカウントにログインさせずに管理業務を委任させることができるため、 マルチアカウント運用に役立つ機能だと思います 16

AWS CloudTrail LakeがAWS Config連携に対応 17

AWS CloudTrail LakeがAWS Config連携に対応 概要 ◼ AWS CloudTrail Lakeに、AWS Configの設定項目情報を取り込むことができるように ◼ アップデート情報 • AWS CloudTrail Lake が AWS Config の設定項目をサポート https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-cloudtrail-lake- supports-configuration-items-aws-config/ 18

AWS CloudTrail LakeがAWS Config連携に対応 検証（1/5） 19 AWS CloudTrailの「レイク」→「イベントデータストアの作成」を押下

AWS CloudTrail LakeがAWS Config連携に対応 検証（2/5） 20 イベントデータストア名を入力 イベントタイプに「設定項目」を選択し、 イベントデータストアを作成

AWS CloudTrail LakeがAWS Config連携に対応 検証（3/5） 21 イベントデータストアが作成された テスト用に適当なセキュリティグループ 「test-sg」を作成

AWS CloudTrail LakeがAWS Config連携に対応 検証（4/5） 22 レイクのエディタから検索可能 SELECT eventTime, eventData.configuration, eventData.resourceId, eventData.resourceName, eventData.resourceType FROM WHERE eventTime > '2022-12-02 16:00:00' AND eventTime < '2022-12-02 17:00:00' AND eventData.resourceName = 'test-sg' ORDER BY eventTime DESC;

AWS CloudTrail LakeがAWS Config連携に対応 検証（5/5） 23 SELECT config.eventTime, config.eventData.configuration, config.eventData.resourceId, config.eventData.resourceName, config.eventData.resourceType, userIdentity.username, trail.eventName, trail.eventSource FROM AS config JOIN AS trail ON config.eventData.resourceName = element_at(trail.requestParameters, 'groupName') WHERE config.eventTime > '2022-12-02 17:00:00' AND config.eventTime < '2022-12-02 18:00:00' ORDER AWS CloudTrail用のイベントデータストアと結合することで、 より詳細な調査が可能

AWS CloudTrail LakeがAWS Config連携に対応 所感 ◼ 簡単にAWS Configの設定項目情報を取り込むことができ、 AWS CloudTrailと統合して分析ができることは調査に非常に役立つと思います 24

Amazon InspectorがLambda関数の診断をサポート 25

Amazon InspectorがLambda関数の診断をサポート 概要 ◼ Amazon InspectorでLambda関数とLambda Layersの脆弱性スキャンができるように ◼ スキャン対象は、Java、NodeJS、および Pythonで記述された関数とレイヤー ◼ スキャンタイミングは、AWS Lambdaのデプロイ時、AWS Lambdaの更新時、 新しい脆弱性 ( CVE ) の公開時 ◼ アップデート情報 • AWS が AWS Lambda 関数向け Amazon Inspector のサポートを発表 https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-amazon- inspector-support-aws-lambda-functions/ 26

Amazon InspectorがLambda関数の診断をサポート 検証（1/4） 27 以前からAmazon Inspectorを使用している場合は、 「Lambdaスキャン」が無効化状態なので、 「有効化」→「Lambda標準スキャン」を押下して有効化 AWS Organizationを使っていれば、 組織の管理アカウントから全メンバーアカウントをまとめて有効化可能 このとき、新しいメンバーアカウントのスキャンを自動的に有効化しておく

Amazon InspectorがLambda関数の診断をサポート 検証（2/4） 28 テスト用に適当なLambda関数を作成 AWSから提供されている、 「arn:aws:lambda:ap-northeast-1:249908578461:layer:AWSLambda-Python37-SciPy1x:118」 レイヤーを追加

Amazon InspectorがLambda関数の診断をサポート 検証（3/4） 29 しばらくすると、検知された

Amazon InspectorがLambda関数の診断をサポート 検証（4/4） 30 ドリルダウンで詳細な検知情報を確認可能

Amazon InspectorがLambda関数の診断をサポート 所感 ◼ サードパーティ製品を使わずに、ネイティブ機能でAWS Lambdaを診断できる点は 非常に便利だと思います 31

まとめ ◼ 今回は、AWSの新機能を4つ紹介 ◼ オペレーションやセキュリティの向上に役立つ機能が増えた ◼ AWSをはじめ、クラウドサービスは日々進化を続けているため、 常に最新情報をキャッチアップして、すぐに手を動かしてみることが機能を理解するための近道 32