Slide 1

Slide 1 text

re:Invent2023の セキュリティまとめして GuardDutyとQとコストの話します 1

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー 2021 APN Ambassador 2023 APN AWS Top Engineers (Security) AWS Security Hero (2023~) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 4

Slide 4 text

4 本題の前に re:Invent楽しかったですね︕︕

Slide 5

Slide 5 text

5 セッション以外のアクティビティ すべり台したり ドラ◯ンボール集めたり

Slide 6

Slide 6 text

6 セッション以外のアクティビティ ドットを打って遊んだり

Slide 7

Slide 7 text

7 セッション以外のアクティビティ 私もドットを打ってみました まずは設計図

Slide 8

Slide 8 text

8 ドットを打つ 10⼈くらいで作りました

Slide 9

Slide 9 text

9 ドットといえば どうしてもこれもやりたかった 反省はしている 後悔はしていない︕

Slide 10

Slide 10 text

10 合わせて読みたい このボードは LiteZillaという 製品でSTEM教 材にも使われて いるそうです https://dev.classm ethod.jp/articles/r einvent2023- litezilla- classmethod-logo/

Slide 11

Slide 11 text

11 アジェンダ • セキュリティまとめ • GuardDutyの話 • Qの話 • コストの話

Slide 12

Slide 12 text

12 セキュリティまとめ

Slide 13

Slide 13 text

13 22個ブログがあります • Control Tower • APIによるランディングゾーン 操作の⾃動化 • 65個のコントロール追加(OU 単位のリージョン制限等) • GuardDuty • ECS Runtime Monitoring • EC2のランタイム保護(プレビ ュー) • Security Hub • コントロールのパラメータカ スタマイズ • 組織の設定強化(コントロール 設定とカスタマイズ) • サマリダッシュボードでフィ ルタリング機能 • 検出結果にアカウント名等の 新たな項⽬ • Detective • ⽣成AIで解説 • IAMリソースの調査とレポー ト⽣成 • Security Lakeとの統合 • ECS Runtime Monitoringサ ポート • Inspector • ⽣成AIで修復コード提⽰ • エージェントレススキャン • 拡張イメージスキャンCI/CD • コスト • AWS Config定期的記録 • Cost Optimization Hub • ログ • AWS CloudTrail Lakeを Athenaで検索 • その他 • AWS Fault Injection Service がマルチアカウント対応 • AWS FIS⼤規模障害シミュレ ーション • Amazon EFSがレプリケーシ ョンのフェイルバック対応 • IAM Access Analyzer⾃動推 論カスタムポリシーチェック 末尾にブログ⼀覧があります

Slide 14

Slide 14 text

14 GuardDutyの話

Slide 15

Slide 15 text

15 GuardDutyの2つのアップデート ECSランタイム保護 ECS Fargateを保護する Fargate上での不正プロ グラム実⾏や通信を検知 する ⾃動でエージェント⼊り サイドカーが⽴ち上がる EC2ランタイム保護 EC2インスタンスにエ ージェントを⼊れてプ ロセスレベルの検出を ⾏う オプションで有効化し、 VPCフローログ課⾦は 無料になる Preview

Slide 16

Slide 16 text

16 ECSランタイム保護 プライベートベータに参加ました

Slide 17

Slide 17 text

17 GuardDutyは完璧になりました 実⾏環境全てカバーしたので全員使おう EC2 Fargate Lambda

Slide 18

Slide 18 text

18 Qの話

Slide 19

Slide 19 text

19 ⽣成AIはセキュリティでも活躍 Lambdaのコードをスキ ャンして 修正案の提⽰からパッチ ファイル作成までできる

Slide 20

Slide 20 text

20 ⽣成AIはセキュリティでも活躍 検出結果グループでインシデントを要約したメッセージ が⽣成される(以下は⽇本語翻訳済み)

Slide 21

Slide 21 text

21 ⽣成AIとQ あれ、この⾊は…︖

Slide 22

Slide 22 text

22 聞いてみた

Slide 23

Slide 23 text

23 いずれはAWSのセキュリティサービスと Amazon Qがシームレスに連携してくれるの を期待(フィードバックした)

Slide 24

Slide 24 text

24 コストの話

Slide 25

Slide 25 text

25 なんでセキュリティでコストの話︖ ビジネスを守るのがセキュリティ コストも守るのがセキュリティ

Slide 26

Slide 26 text

26 AWS Configの記録を⽇次に変更できる 頻繁に変更がある場合にコストを抑えられる

Slide 27

Slide 27 text

27 Cost Optimization Hubは新しいHubサービス AWS Security Hubに並び、現在3つある AWS Security Hub AWS Resilience Hub Cost Optimization Hub

Slide 28

Slide 28 text

28 コスト最適化のチェックができる Cost Optimization HubにはAWS Compute Optimizerの情報やRI/SPの状況、Lambdaなどの利 ⽤状況を収集して⼀元的にコスト最適化のチェック項⽬ を管理できる マルチリージョンやマルチアカウントで優先順位付けが できる はず…

Slide 29

Slide 29 text

29 チェック観点はTrusted Advisorとは違う Trusted Advisorでは $6 → 🤔

Slide 30

Slide 30 text

30 おまけ 合わせて読みたい セキュリティアップデートブログ⼀覧

Slide 31

Slide 31 text

31 AWS Control Tower • [アップデート]API を使⽤して AWS Control Tower ランディング ゾーン操作の⾃動化が可能になりました #AWSreInvent • https://dev.classmethod.jp/articles/automating-aws-control-tower-landing-zone- operations-using-api/ • [アップデート] AWS Control Tower に新たに 65 個のコントロー ルが追加されて OU 単位でのリージョン制限もできるようになりまし た #AWSreInvent • https://dev.classmethod.jp/articles/aws-control-tower-digital-sovereignty-controls/

Slide 32

Slide 32 text

32 Amazon GuardDuty • [アップデート]Amazon GuardDuty ECS Runtime Monitoringが利⽤できるようになりました #AWSreinvent • https://dev.classmethod.jp/articles/guardduty-ecs- runtime-monitoring/ • [アップデート]Amazon GuardDutyがEC2のランタイム 保護(プレビュー)をサポートしマルウェアの検出やプロセ スツリーの確認ができるようになりました • https://dev.classmethod.jp/articles/guardduty-ec2- runtime-monitoring-preview/

Slide 33

Slide 33 text

33 AWS Security Hub • [アップデード]AWS Security Hubでコントロールのパラメータをカスタマイ ズできるようになりました #AWSreinvent • https://dev.classmethod.jp/articles/security-hub-custom-control-params/ • [アップデート]AWS Security Hubの組織への展開がセキュリティ標準やコン トロールなどをカスタマイズして設定できるようになりました︕ #AWSreInvent • https://dev.classmethod.jp/articles/aws-sh-organization-customize-standards- controls/ • [アップデート]AWS Security Hubのサマリダッシュボード上でウィジェット のカスタマイズやフィルタリング機能が実装されました #AWSreInvent • https://dev.classmethod.jp/articles/update-aws-security-hub-widget-additional- removal/ • [アップデート]AWS Security Hubの検出結果に新たな項⽬が増えました #AWSreinvent • https://dev.classmethod.jp/articles/new-inding-enrichment-aws-security-hub/

Slide 34

Slide 34 text

34 Amazon Detective • [アップデート]Amazon Detective で、⽣成 AI を使⽤した検出結果グループの概要が確認で きるようになりました #AWSreInvent • https://dev.classmethod.jp/articles/update-detective-ai-generated-detection-results-group- overview-now-available/ • [アップデート]Amazon Detectiveの調査機能で、IAMリソースの調査が可能になりました #AWSreinvent • https://dev.classmethod.jp/articles/update-amazon-detective-investigation-feature-iam- resource/ • [アップデート] Amazon DetectiveがSecurity Lakeとの統合をサポートしたので試してみ た #AWSreInvent • https://dev.classmethod.jp/articles/amazon-detective-supports-integration-with-security- lake-awsreinvent/ • [アップデート]Amazon DetectiveがAmazon GuardDuty ECS Runtime Monitoringの 検出結果の調査をサポートするようになりました #AWSreinvent • https://dev.classmethod.jp/articles/detective-guardduty-ecs-runtime-monitoring/

Slide 35

Slide 35 text

35 Amazon Inspector • [アップデート]Amazon InspectorのLambdaコードスキャンが ⽣成AIを活⽤して修復コードを提⽰してくれるようになりました #AWSreInvent • https://dev.classmethod.jp/articles/inspector_advise_for_lambda_by _ai/ • [アップデート][プレビュー]Amazon Inspectorがエージェント レスなスキャンに対応しました #AWSreInvent • https://dev.classmethod.jp/articles/amazon-inspector-agentless- assessments-ec2-preview/ • [速報] 拡張イメージスキャンが CI/CD パイプラインに組み込める ようになりました︕#AWSreInvent • https://dev.classmethod.jp/articles/reinvent2023-inspector-image- scanning-cicd-support/

Slide 36

Slide 36 text

36 コスト/ログ • [アップデート]AWS Config が定期的な記録をサポートするように なりました: 変更追跡を効率的にスケールします #AWSreInvent • https://dev.classmethod.jp/articles/reinvent2023-updata-aws-config- periodic-recording/ • [アップデート]AWSアカウントやリージョンをまたがってコスト最 適化に関する情報を集約するCost Optimization Hubが発表され たので使ってみた #AWSreInvent • https://dev.classmethod.jp/articles/cost-optimization-hub-release/ • [アップデート]AWS CloudTrail Lakeのイベントデータストアを Athenaで検索できるようになりました︕ #AWSreInvent • https://dev.classmethod.jp/articles/cloudtrail-lake-federated-query- athena/

Slide 37

Slide 37 text

37 その他 • [アップデート]AWS Fault Injection Serviceがマルチアカウントに対応しま した #AWSreinvent • https://dev.classmethod.jp/articles/multi-account-experiments-aws-fault-injection- service/ • [アップデート]Amazon EFSがレプリケーションのフェイルバックに対応しま した︕ #AWSreinvent • https://dev.classmethod.jp/articles/amazon-efs-supports-failback/ • [アップデート]IAM Access Analyzerにて⾃動推論によるカスタムポリシー チェックが追加されました。#AWSreInvent • https://dev.classmethod.jp/articles/iam-access-analyzer-custom-policy-check/ • [アップデート] AWS FIS で新しいシナリオとアクションが追加され、より実 際の⼤規模障害に近い障害シミュレーションが実施出来るようになりました #AWSreInvent • https://dev.classmethod.jp/articles/fault-injection-service-two-requested- scenarios/

Slide 38

Slide 38 text

38