Slide 1

Slide 1 text

セキュリティ系まとめと 地味だけど今すぐ設定すべき モニタリングアップデート 2022/12/06 ⾅⽥佳祐 1

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021 APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: GuardDuty / Detective Security Hub みんなのAWS (技術評論社)

Slide 4

Slide 4 text

4 re:Invent 2022の感想 セキュリティ系アップデートは いっぱい出たので お腹いっぱい

Slide 5

Slide 5 text

5 今回の概要 Control Towerのガバナンス強化とか GuardDutyのランタイムセキュリティとか 気になることは⾊々あるけど より汎⽤的で地味なモニタリングを 今回は深堀りする

Slide 6

Slide 6 text

6 セッションの概要 1. セキュリティ系まとめ 2. AWSインフラの障害検知に使えるAWS Network Managerのリアルタイムパ フォーマンスモニタリング 3. AWS外部のインターネットの局所障害を ⾒極めるAmazon CloudWatch Internet Monitor

Slide 7

Slide 7 text

7 1.セキュリティ系まとめ

Slide 8

Slide 8 text

8 あわせて読みたい いっぱい出た のでこちらを 参照 (まとめきれて ないですが) https://dev.clas smethod.jp/arti cles/reinvent- 2022-security/

Slide 9

Slide 9 text

9 セキュリティ系まとめ - モニタリング • Amazon CloudWatchのクロスアカウントオブ ザーバビリティ • Amazon CloudWatch Internet Monitor • AWS Network Managerリアルタイムパフォーマ ンス • Amazon VPC Reachability AnalyzerのAWS Organizations ネットワーク到達性分析

Slide 10

Slide 10 text

10 セキュリティ系まとめ - 可⽤性 • RDS Blue/Greenデプロイ対応 • AWS Elastic Disaster Recovery クロスリージョン/ク ロスアベイラビリティーゾーンフェイルバック • S3 マルチリージョンアクセスポイント フェイルオーバ 制御 • Route 53 Application Recovery Controller zonal shift • ELB クロスゾーン負荷分散オフとか • Amazon Connect Global Resiliency • Amazon Redshift Multi-AZ

Slide 11

Slide 11 text

11 セキュリティ系まとめ - バックアップ • AWS BackupがCloud Formationを対象とした バックアップ対応 • AWS BackupのRedshift対応 • EFS ファイルシステム 1⽇設定ライフサイクルポリ シー • Amazon S3 Glacier 復元スループット最⼤10倍

Slide 12

Slide 12 text

12 セキュリティ系まとめ - ガバナンス • AWS Backup Audit ManagerのOrganizations向け 集中型マルチアカウントレポート • AWS Organizationsのポリシー管理委任 • AWS Backup リーガルホールド延⻑機能 • AWS Backup Organizations委任 • AWS Config Rules Proactive • AWS Control Tower Proactiveガードレール • AWS Control Tower Account Factory Customization(AFC) • Control Tower包括的な統制管理

Slide 13

Slide 13 text

13 セキュリティ系まとめ - データセキュリティ • AWS Clean Rooms • Amazon Macie ⾃動検出 • Amazon CloudWatch Logs 機密情報保護 • Amazon Redshift 動的データマスキング • AWS KMS 外部キーストア • Amazon Redshift data sharingのAWS Lake Formationによる集中アクセス制御 • S3アクセスポイント クロスアカウント作成

Slide 14

Slide 14 text

14 セキュリティ系まとめ - その他セキュリティ • AWS CloudTrail LakeのAWS Config対応 • Amazon InspectorのAWS Lambda脆弱性スキャ ン • AWS Nitro EnclavesのAmazon EKS/Kubernetes対応 • GuardDutyコンテナランタイム脅威検知 • Amazon Security Lake • Amazon Verified Permissions • AWS Verified Access

Slide 15

Slide 15 text

15 2. AWSインフラの障害検知に使える AWS Network Managerの リアルタイムパフォーマンス モニタリング

Slide 16

Slide 16 text

16 AWS Network Managerとは ネットワーク 管理周りの サービス群 他にもTGW ネットワーク マネージャー やリーチャビ リティアナラ イザーなど

Slide 17

Slide 17 text

17 [課題]サービスの接続問題をどう切り分ける︖ • AWSを利⽤したサービス提供をしている時に外形監 視で問題を確認した場合どうする︖ • 切り分けポイント • ⾃分たちのアプリか ← メトリクス取れる • AWSリソースの問題か ← メトリクス取れる • AWSのネットワークの問題か ← メトリクス取れない • これまではAWSのヘルスイベントぐらいしか確認で きなかった • グレーな症状の場合の具体的なパフォーマンスは︖

Slide 18

Slide 18 text

18 [new]リアルタイムパフォーマンスモニタリング • 3種類のモニタリング • リージョン間 • AZ間 • AZ内

Slide 19

Slide 19 text

19 リアルタイムパフォーマンスモニタリング使い⽅ • ⼤きく2パターン • いざというときに⾒に⾏く • 利⽤している場所をサブスクライブする

Slide 20

Slide 20 text

20 いざというときに⾒に⾏く • マネジメント コンソールで 指定した期間 の各種パ フォーマンス が⾒れる • ⻩⾊いパ フォーマンス 低下があるか 確認する

Slide 21

Slide 21 text

21 利⽤している場所をサブスクライブする サブスクライブすると CloudWatchメトリクス を受け取れる 利⽤しているAZ内とAZ間 は取っておいていいかも

Slide 22

Slide 22 text

22 その他メモ • リソース間のパフォーマンスではないので注意 • ⾒る分には(たぶん)無料 • サブスクライブすると(たぶん)CloudWatchのカス タムメトリクス分かかる • 5分おきなのでそんなに気にしなくてよさそう • 送信元->送信先毎にメトリクスがあるが、今の所逆⽅向 のメトリクスが同じ値に⾒えるので、取らなくてもいい かも︖

Slide 23

Slide 23 text

23 3. AWS外部のインターネットの 局所障害を⾒極める Amazon CloudWatch Internet Monitor

Slide 24

Slide 24 text

24 [課題]AWS外部のネットワーク監視どうする︖ • 外形監視は問題ないが実際の顧客のサービス利⽤に 影響が出ている場合 • 例えば地域的な障害やISPの障害 • ⾃分たちのインフラの⼿前の問題 • ⾃分たちでは⼿を出せない場所だが把握はしたい • あるいは、ユーザーを別リージョンのサーバーに誘導す ることで暫定対処できるかも

Slide 25

Slide 25 text

25 Amazon CloudWatch Internet Monitor インターネット全体の障害をモニタリング

Slide 26

Slide 26 text

26 Amazon CloudWatch Internet Monitorの仕組み AWS各リージョンやエッジ側などを利⽤して、各ネッ トワークプロバイダーやISPを介したパフォーマンス測 定を⽇々⾏っている 通常AWSのオペレーターが利⽤している プロアクティブに問題を検知している https://docs.aws.amazon.com/AmazonCloud Watch/latest/monitoring/CloudWatch-IM- inside-internet-monitor.html

Slide 27

Slide 27 text

27 Amazon CloudWatch Internet Monitor使い⽅ 対象 • CloudFront • VPC • WorkSpaces 時間軸で表⽰し 95%以下のパ フォーマンスは⾊ がつく

Slide 28

Slide 28 text

28 その他メモ • Amazon CloudWatch Internet Monitorは現在 プレビュー • 今のところ直接費⽤はかからない • ただしメトリクスとログはでる • ログ4種1⽇100KBずつ

Slide 29

Slide 29 text

29