re:Invent2023のセキュリティまとめしてGuardDutyとQとコストの話します

by cm-usuda-keisuke

Slide 1

Slide 1 text

re:Invent2023のセキュリティまとめして GuardDutyとQとコストの話します 1

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダー 2021 APN Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 4

Slide 4 text

4 本題の前に re:Invent楽しかったですね︕︕

Slide 5

Slide 5 text

5 セッション以外のアクティビティすべり台したりドラ◯ンボール集めたり

Slide 6

Slide 6 text

6 セッション以外のアクティビティドットを打って遊んだり

Slide 7

Slide 7 text

7 セッション以外のアクティビティ私もドットを打ってみましたまずは設計図

Slide 8

Slide 8 text

8 ドットを打つ 10⼈くらいで作りました

Slide 9

Slide 9 text

9 ドットといえばどうしてもこれもやりたかった反省はしている後悔はしていない︕

Slide 10

Slide 10 text

10 合わせて読みたいこのボードは LiteZillaという製品でSTEM教材にも使われているそうです https://dev.classm ethod.jp/articles/r einvent2023- litezilla- classmethod-logo/

Slide 11

Slide 11 text

11 アジェンダ • セキュリティまとめ • GuardDutyの話 • Qの話 • コストの話

Slide 12

Slide 12 text

12 セキュリティまとめ

Slide 13

Slide 13 text

13 22個ブログがあります • Control Tower • APIによるランディングゾーン操作の⾃動化 • 65個のコントロール追加(OU 単位のリージョン制限等) • GuardDuty • ECS Runtime Monitoring • EC2のランタイム保護(プレビュー) • Security Hub • コントロールのパラメータカスタマイズ • 組織の設定強化(コントロール設定とカスタマイズ) • サマリダッシュボードでフィルタリング機能 • 検出結果にアカウント名等の新たな項⽬ • Detective • ⽣成AIで解説 • IAMリソースの調査とレポート⽣成 • Security Lakeとの統合 • ECS Runtime Monitoringサポート • Inspector • ⽣成AIで修復コード提⽰ • エージェントレススキャン • 拡張イメージスキャンCI/CD • コスト • AWS Config定期的記録 • Cost Optimization Hub • ログ • AWS CloudTrail Lakeを Athenaで検索 • その他 • AWS Fault Injection Service がマルチアカウント対応 • AWS FIS⼤規模障害シミュレーション • Amazon EFSがレプリケーションのフェイルバック対応 • IAM Access Analyzer⾃動推論カスタムポリシーチェック末尾にブログ⼀覧があります

Slide 14

Slide 14 text

14 GuardDutyの話

Slide 15

Slide 15 text

15 GuardDutyの2つのアップデート ECSランタイム保護 ECS Fargateを保護する Fargate上での不正プログラム実⾏や通信を検知する⾃動でエージェント⼊りサイドカーが⽴ち上がる EC2ランタイム保護 EC2インスタンスにエージェントを⼊れてプロセスレベルの検出を⾏うオプションで有効化し、 VPCフローログ課⾦は無料になる Preview

Slide 16

Slide 16 text

16 ECSランタイム保護プライベートベータに参加ました

Slide 17

Slide 17 text

17 GuardDutyは完璧になりました実⾏環境全てカバーしたので全員使おう EC2 Fargate Lambda

Slide 18

Slide 18 text

18 Qの話

Slide 19

Slide 19 text

19 ⽣成AIはセキュリティでも活躍 Lambdaのコードをスキャンして修正案の提⽰からパッチファイル作成までできる

Slide 20

Slide 20 text

20 ⽣成AIはセキュリティでも活躍検出結果グループでインシデントを要約したメッセージが⽣成される(以下は⽇本語翻訳済み)

Slide 21

Slide 21 text

21 ⽣成AIとQ あれ、この⾊は…︖

Slide 22

Slide 22 text

22 聞いてみた

Slide 23

Slide 23 text

23 いずれはAWSのセキュリティサービスと Amazon Qがシームレスに連携してくれるのを期待(フィードバックした)

Slide 24

Slide 24 text

24 コストの話

Slide 25

Slide 25 text

25 なんでセキュリティでコストの話︖ ビジネスを守るのがセキュリティコストも守るのがセキュリティ

Slide 26

Slide 26 text

26 AWS Configの記録を⽇次に変更できる頻繁に変更がある場合にコストを抑えられる

Slide 27

Slide 27 text

27 Cost Optimization Hubは新しいHubサービス AWS Security Hubに並び、現在3つある AWS Security Hub AWS Resilience Hub Cost Optimization Hub

Slide 28

Slide 28 text

28 コスト最適化のチェックができる Cost Optimization HubにはAWS Compute Optimizerの情報やRI/SPの状況、Lambdaなどの利⽤状況を収集して⼀元的にコスト最適化のチェック項⽬を管理できるマルチリージョンやマルチアカウントで優先順位付けができるはず…

Slide 29

Slide 29 text

29 チェック観点はTrusted Advisorとは違う Trusted Advisorでは $6 → 🤔

Slide 30

Slide 30 text

30 おまけ合わせて読みたいセキュリティアップデートブログ⼀覧

Slide 31

Slide 31 text

31 AWS Control Tower • [アップデート]API を使⽤して AWS Control Tower ランディングゾーン操作の⾃動化が可能になりました #AWSreInvent • https://dev.classmethod.jp/articles/automating-aws-control-tower-landing-zone- operations-using-api/ • [アップデート] AWS Control Tower に新たに 65 個のコントロールが追加されて OU 単位でのリージョン制限もできるようになりました #AWSreInvent • https://dev.classmethod.jp/articles/aws-control-tower-digital-sovereignty-controls/

Slide 32

Slide 32 text

32 Amazon GuardDuty • [アップデート]Amazon GuardDuty ECS Runtime Monitoringが利⽤できるようになりました #AWSreinvent • https://dev.classmethod.jp/articles/guardduty-ecs- runtime-monitoring/ • [アップデート]Amazon GuardDutyがEC2のランタイム保護(プレビュー)をサポートしマルウェアの検出やプロセスツリーの確認ができるようになりました • https://dev.classmethod.jp/articles/guardduty-ec2- runtime-monitoring-preview/

Slide 33

Slide 33 text

33 AWS Security Hub • [アップデード]AWS Security Hubでコントロールのパラメータをカスタマイズできるようになりました #AWSreinvent • https://dev.classmethod.jp/articles/security-hub-custom-control-params/ • [アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコントロールなどをカスタマイズして設定できるようになりました︕ #AWSreInvent • https://dev.classmethod.jp/articles/aws-sh-organization-customize-standards- controls/ • [アップデート]AWS Security Hubのサマリダッシュボード上でウィジェットのカスタマイズやフィルタリング機能が実装されました #AWSreInvent • https://dev.classmethod.jp/articles/update-aws-security-hub-widget-additional- removal/ • [アップデート]AWS Security Hubの検出結果に新たな項⽬が増えました #AWSreinvent • https://dev.classmethod.jp/articles/new-inding-enrichment-aws-security-hub/

Slide 34

Slide 34 text

34 Amazon Detective • [アップデート]Amazon Detective で、⽣成 AI を使⽤した検出結果グループの概要が確認できるようになりました #AWSreInvent • https://dev.classmethod.jp/articles/update-detective-ai-generated-detection-results-group- overview-now-available/ • [アップデート]Amazon Detectiveの調査機能で、IAMリソースの調査が可能になりました #AWSreinvent • https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam- resource/ • [アップデート] Amazon DetectiveがSecurity Lakeとの統合をサポートしたので試してみた #AWSreInvent • https://dev.classmethod.jp/articles/amazon-detective-supports-integration-with-security- lake-awsreinvent/ • [アップデート]Amazon DetectiveがAmazon GuardDuty ECS Runtime Monitoringの検出結果の調査をサポートするようになりました #AWSreinvent • https://dev.classmethod.jp/articles/detective-guardduty-ecs-runtime-monitoring/

Slide 35

Slide 35 text

35 Amazon Inspector • [アップデート]Amazon InspectorのLambdaコードスキャンが⽣成AIを活⽤して修復コードを提⽰してくれるようになりました #AWSreInvent • https://dev.classmethod.jp/articles/inspector_advise_for_lambda_by _ai/ • [アップデート][プレビュー]Amazon Inspectorがエージェントレスなスキャンに対応しました #AWSreInvent • https://dev.classmethod.jp/articles/amazon-inspector-agentless- assessments-ec2-preview/ • [速報] 拡張イメージスキャンが CI/CD パイプラインに組み込めるようになりました︕#AWSreInvent • https://dev.classmethod.jp/articles/reinvent2023-inspector-image- scanning-cicd-support/

Slide 36

Slide 36 text

36 コスト/ログ • [アップデート]AWS Config が定期的な記録をサポートするようになりました: 変更追跡を効率的にスケールします #AWSreInvent • https://dev.classmethod.jp/articles/reinvent2023-updata-aws-config- periodic-recording/ • [アップデート]AWSアカウントやリージョンをまたがってコスト最適化に関する情報を集約するCost Optimization Hubが発表されたので使ってみた #AWSreInvent • https://dev.classmethod.jp/articles/cost-optimization-hub-release/ • [アップデート]AWS CloudTrail Lakeのイベントデータストアを Athenaで検索できるようになりました︕ #AWSreInvent • https://dev.classmethod.jp/articles/cloudtrail-lake-federated-query- athena/

Slide 37

Slide 37 text

37 その他 • [アップデート]AWS Fault Injection Serviceがマルチアカウントに対応しました #AWSreinvent • https://dev.classmethod.jp/articles/multi-account-experiments-aws-fault-injection- service/ • [アップデート]Amazon EFSがレプリケーションのフェイルバックに対応しました︕ #AWSreinvent • https://dev.classmethod.jp/articles/amazon-efs-supports-failback/ • [アップデート]IAM Access Analyzerにて⾃動推論によるカスタムポリシーチェックが追加されました。#AWSreInvent • https://dev.classmethod.jp/articles/iam-access-analyzer-custom-policy-check/ • [アップデート] AWS FIS で新しいシナリオとアクションが追加され、より実際の⼤規模障害に近い障害シミュレーションが実施出来るようになりました #AWSreInvent • https://dev.classmethod.jp/articles/fault-injection-service-two-requested- scenarios/