セキュリティ系まとめと 地味だけど今すぐ設定すべき モニタリングアップデート 2022/12/06 ⾅⽥佳祐 1

2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021 APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)

4 re:Invent 2022の感想 セキュリティ系アップデートは いっぱい出たので お腹いっぱい

5 今回の概要 Control Towerのガバナンス強化とか GuardDutyのランタイムセキュリティとか 気になることは⾊々あるけど より汎⽤的で地味なモニタリングを 今回は深堀りする

6 セッションの概要 1. セキュリティ系まとめ 2. AWSインフラの障害検知に使えるAWS Network Managerのリアルタイムパ フォーマンスモニタリング 3. AWS外部のインターネットの局所障害を ⾒極めるAmazon CloudWatch Internet Monitor

7 1.セキュリティ系まとめ

8 あわせて読みたい いっぱい出た のでこちらを 参照 (まとめきれて ないですが) https://dev.clas smethod.jp/arti cles/reinvent- 2022-security/

9 セキュリティ系まとめ - モニタリング • Amazon CloudWatchのクロスアカウントオブ ザーバビリティ • Amazon CloudWatch Internet Monitor • AWS Network Managerリアルタイムパフォーマ ンス • Amazon VPC Reachability AnalyzerのAWS Organizations ネットワーク到達性分析

10 セキュリティ系まとめ - 可⽤性 • RDS Blue/Greenデプロイ対応 • AWS Elastic Disaster Recovery クロスリージョン/ク ロスアベイラビリティーゾーンフェイルバック • S3 マルチリージョンアクセスポイント フェイルオーバ 制御 • Route 53 Application Recovery Controller zonal shift • ELB クロスゾーン負荷分散オフとか • Amazon Connect Global Resiliency • Amazon Redshift Multi-AZ

11 セキュリティ系まとめ - バックアップ • AWS BackupがCloud Formationを対象とした バックアップ対応 • AWS BackupのRedshift対応 • EFS ファイルシステム 1⽇設定ライフサイクルポリ シー • Amazon S3 Glacier 復元スループット最⼤10倍

12 セキュリティ系まとめ - ガバナンス • AWS Backup Audit ManagerのOrganizations向け 集中型マルチアカウントレポート • AWS Organizationsのポリシー管理委任 • AWS Backup リーガルホールド延⻑機能 • AWS Backup Organizations委任 • AWS Config Rules Proactive • AWS Control Tower Proactiveガードレール • AWS Control Tower Account Factory Customization(AFC) • Control Tower包括的な統制管理

13 セキュリティ系まとめ - データセキュリティ • AWS Clean Rooms • Amazon Macie ⾃動検出 • Amazon CloudWatch Logs 機密情報保護 • Amazon Redshift 動的データマスキング • AWS KMS 外部キーストア • Amazon Redshift data sharingのAWS Lake Formationによる集中アクセス制御 • S3アクセスポイント クロスアカウント作成

14 セキュリティ系まとめ - その他セキュリティ • AWS CloudTrail LakeのAWS Config対応 • Amazon InspectorのAWS Lambda脆弱性スキャ ン • AWS Nitro EnclavesのAmazon EKS/Kubernetes対応 • GuardDutyコンテナランタイム脅威検知 • Amazon Security Lake • Amazon Verified Permissions • AWS Verified Access

15 2. AWSインフラの障害検知に使える AWS Network Managerの リアルタイムパフォーマンス モニタリング

16 AWS Network Managerとは ネットワーク 管理周りの サービス群 他にもTGW ネットワーク マネージャー やリーチャビ リティアナラ イザーなど

17 [課題]サービスの接続問題をどう切り分ける︖ • AWSを利⽤したサービス提供をしている時に外形監 視で問題を確認した場合どうする︖ • 切り分けポイント • ⾃分たちのアプリか ← メトリクス取れる • AWSリソースの問題か ← メトリクス取れる • AWSのネットワークの問題か ← メトリクス取れない • これまではAWSのヘルスイベントぐらいしか確認で きなかった • グレーな症状の場合の具体的なパフォーマンスは︖

18 [new]リアルタイムパフォーマンスモニタリング • 3種類のモニタリング • リージョン間 • AZ間 • AZ内

19 リアルタイムパフォーマンスモニタリング使い⽅ • ⼤きく2パターン • いざというときに⾒に⾏く • 利⽤している場所をサブスクライブする

20 いざというときに⾒に⾏く • マネジメント コンソールで 指定した期間 の各種パ フォーマンス が⾒れる • ⻩⾊いパ フォーマンス 低下があるか 確認する

21 利⽤している場所をサブスクライブする サブスクライブすると CloudWatchメトリクス を受け取れる 利⽤しているAZ内とAZ間 は取っておいていいかも

22 その他メモ • リソース間のパフォーマンスではないので注意 • ⾒る分には(たぶん)無料 • サブスクライブすると(たぶん)CloudWatchのカス タムメトリクス分かかる • 5分おきなのでそんなに気にしなくてよさそう • 送信元->送信先毎にメトリクスがあるが、今の所逆⽅向 のメトリクスが同じ値に⾒えるので、取らなくてもいい かも︖

23 3. AWS外部のインターネットの 局所障害を⾒極める Amazon CloudWatch Internet Monitor

24 [課題]AWS外部のネットワーク監視どうする︖ • 外形監視は問題ないが実際の顧客のサービス利⽤に 影響が出ている場合 • 例えば地域的な障害やISPの障害 • ⾃分たちのインフラの⼿前の問題 • ⾃分たちでは⼿を出せない場所だが把握はしたい • あるいは、ユーザーを別リージョンのサーバーに誘導す ることで暫定対処できるかも

25 Amazon CloudWatch Internet Monitor インターネット全体の障害をモニタリング

26 Amazon CloudWatch Internet Monitorの仕組み AWS各リージョンやエッジ側などを利⽤して、各ネッ トワークプロバイダーやISPを介したパフォーマンス測 定を⽇々⾏っている 通常AWSのオペレーターが利⽤している プロアクティブに問題を検知している https://docs.aws.amazon.com/AmazonCloud Watch/latest/monitoring/CloudWatch-IM- inside-internet-monitor.html

27 Amazon CloudWatch Internet Monitor使い⽅ 対象 • CloudFront • VPC • WorkSpaces 時間軸で表⽰し 95%以下のパ フォーマンスは⾊ がつく

28 その他メモ • Amazon CloudWatch Internet Monitorは現在 プレビュー • 今のところ直接費⽤はかからない • ただしメトリクスとログはでる • ログ4種1⽇100KBずつ

29