Slide 1

Slide 1 text

AWSセキュリティサービス 最新アップデート AWS re:Inforce参加者から⾒るクラウドセキュリティの最新動向と応⽤ 1

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021 APN Ambassador 2023 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 4

Slide 4 text

4 re:Inforce 2023に参加してきました ちょー楽しかったです みなさんも来年は是⾮⾏きましょう︕

Slide 5

Slide 5 text

5 アジェンダ • アップデート⼀覧 • 個⼈的に話したいアップデートの掘り下げ

Slide 6

Slide 6 text

6 アップデート⼀覧

Slide 7

Slide 7 text

7 アップデート⼀覧 (1/3) • Amazon Verified Permissions • Amazon EC2 Instance Connect Endpoint • Amazon Inspector code scanning of Lambda functions • Amazon Inspector SBOM export • Amazon ECR Basic Scan supports CVSS v3 • Amazon CodeGuru Security

Slide 8

Slide 8 text

8 アップデート⼀覧(2/3) • Amazon GuardDuty Summary View • Amazon Detective finding groups • AWS Security Hub Automation Rules • AWS WAF Account Creation Fraud Prevention • AWS Payment Cryptography • AWS Database Encryption SDK

Slide 9

Slide 9 text

9 アップデート⼀覧(3/3) • AWS DRS VPC configurations recovery • AWS Audit Manager third-party risk assessment / CSV • AWS IAM Identity Center supports Google Workspace • AWS CloudTrail Lake dashboard for top trends • Amazon S3 announces dual-layer server- side encryption

Slide 10

Slide 10 text

10 個⼈的に話したい アップデートの掘り下げ

Slide 11

Slide 11 text

11 Amazon Verified Permissions アプリケーションの認可を制御できる

Slide 12

Slide 12 text

12 合わせて読みたい 動作の説明など はこちら https://dev.class method.jp/articles /reinvent2022- sec335-report/

Slide 13

Slide 13 text

13 Amazon EC2 Instance Connect Endpoint EC2にSSHで接続できる。SSHポートを公開せずに。 Session Managerと違 い作成するエン ドポイントが1 つで済む エンドポイント 無料

Slide 14

Slide 14 text

14 Amazon EC2 Instance Connect Endpoint EC2 Instance Connect Endpointタグの記事15本 https://dev.classmethod.jp/tags/ec2-instance-connect-endpoint/

Slide 15

Slide 15 text

15 合わせて読みたい 設定⽅法の説明 はこちら https://dev.classmet hod.jp/articles/upda te-ec2-instance- connect-endpoint/

Slide 16

Slide 16 text

16 Amazon Inspectorコードスキャン 脆弱性を作り込ん だLambdaのコ ードを検出してく れる ⼤体脆弱性スキャ ンとしての Inspectorのカ バレッジが満たさ れた

Slide 17

Slide 17 text

17 合わせて読みたい OSコマンドイン ジェクションを 実際に検知させ てみたよ https://dev.classmet hod.jp/articles/lamb da-os-command- injection-detect- inspector/

Slide 18

Slide 18 text

18 GuardDutyのサマリーダッシュボード

Slide 19

Slide 19 text

19 ダッシュボードのウィジェットの種類 • 概要 • 重⼤度別の検出結果 • 最も⼀般的な検出結果タイプ • 最も多い検出結果を含むリソース • 最も多く検出したアカウント • 最も低頻度の検出結果 それぞれ活⽤のポイントがある

Slide 20

Slide 20 text

20 概要 • まずは⾼の検知があるか確認する • ⾼のイベントは特に危険なものが多い、実際にやら れている可能性が⾼い • AWSアカウントの重要度をベースにチェックしてい こう

Slide 21

Slide 21 text

21 最も低頻度の検出結果 特にこれは要チェック 定常的に検知がある環境 ではノイズを減らしてよ り重要なものを確認でき る

Slide 22

Slide 22 text

22 最も⼀般的な検出結果タイプ 特に多いタイプのグラフ おそらく問題のある設定 やアーキテクチャにより 検知されている 例えばSecurity Groupで SSHを開放している 堅牢化する必要がある項 ⽬を⾒つけられる

Slide 23

Slide 23 text

23 最も多い検出結果を含むリソース これらのリソースは格好の的 重要なリソースであれば即対応

Slide 24

Slide 24 text

24 Detectiveの検出結果グループ

Slide 25

Slide 25 text

25 検出結果グループを使った調査 繋げて攻撃の流れがMITRE ATT&CKの戦術にマッピングして 表⽰される ⾼のイベントがあったら、特にグループが作られていないか確 認する 例えばEC2に対するポートプローブから始まって、SSHブルー トフォース成功、Outsideでクレデンシャル漏洩 S3漏洩などのシナリオで簡単に流れを確認しRoot Causeが 確認できる

Slide 26

Slide 26 text

26 合わせて読みたい GuardDuty / Detectiveアップデート https://dev.classmethod.jp/articles/guardduty-summry- dashboard/ https://dev.classmethod.jp/articles/detective-support- finding-group-visualization/

Slide 27

Slide 27 text

27 AWS Security Hub automation rules Security Hubで検出したFindingsのコントロールが 直接機能でできる

Slide 28

Slide 28 text

28 合わせて読みたい 設定⽤法や説明 はこちら https://dev.cl assmethod.jp /articles/secu rity-hub- automation- rules/

Slide 29

Slide 29 text

29