AWS re:Inforce 2024 個人的推しアップデート総まとめ（仮）

by takakuni

Slide 1

Slide 1 text

クラスメソッド株式会社   たかくに  2024.06.18   1  AWS re:Inforce 2024   個人的推しアップデート総まとめ（仮）  

Slide 2

Slide 2 text

2  自己紹介  たかくに  • 所属：クラスメソッド株式会社  • 部署：AWS 事業本部コンサルティング部  • ロール：ソリューションアーキテクト  • 最近の推し：Amazon Bedrock 周り 

Slide 3

Slide 3 text

3  re:Inforce 2024 楽しかったです  

Slide 4

Slide 4 text

4  アップデート追えてますか？  

Slide 5

Slide 5 text

5  個人的主観がかなり混じった  推しアップデートをご紹介 

Slide 6

Slide 6 text

6 re:Inforce 2024 概要   ● AWS セキュリティに特化したカンファレンス  ● フィラデルフィア（ペンシルベニア州）で 06/10 - 06/12  ● オンライン（※一部セッション）とオフラインの同時開催  ● オフラインセッションは Youtube にて公開中  ○ https://www.youtube.com/@AWSEventsChannel/playlists 

Slide 7

Slide 7 text

7  お品書き  ● IAM Access Analyzer unused access findings recommendation （Preview）  ● AWS IAM Access Analyzer policy checks for public and critical resource access（Preview）  ● GuardDuty S3 Malware Protection 

Slide 8

Slide 8 text

8  IAM Access Analyzer unused access findings recommendation（Preview）  

Slide 9

Slide 9 text

9  未使用の許可/エンティティに対するレコメンド 

Slide 10

Slide 10 text

10  未使用の許可/エンティティに対するレコメンド 

Slide 11

Slide 11 text

11  びっくりするくらい、シンプル！  

Slide 12

Slide 12 text

12  ここからがすごい  

Slide 13

Slide 13 text

13  未使用の許可/エンティティに対するレコメンド 

Slide 14

Slide 14 text

14  未使用の許可/エンティティに対するレコメンド 

Slide 15

Slide 15 text

15  未使用の許可/エンティティに対するレコメンド 

Slide 16

Slide 16 text

16  AWS IAM Access Analyzer policy checks for public and critical resource access   （Preview）  

Slide 17

Slide 17 text

17  追加されたチェック項目   ● CheckNoPublicAccess   ○ リソースベースポリシーがパブリックになってないか  ○ S3 Bucket, Assume Role Policy Document etc…  ● CheckAccessNotGranted   ○ IAM ポリシーが指定リソースにアクセス可能かどうか 

Slide 18

Slide 18 text

18  追加されたチェック項目  

Slide 19

Slide 19 text

19  追加されたチェック項目  

Slide 20

Slide 20 text

20  GuardDuty S3 Malware Protection  

Slide 21

Slide 21 text

● AWS アカウント内の悪意のあるアクティビティや異常な動作をモニタリングし、AWS のアカウント、ワークロード、データを保護する脅威検出サービス  検出例  ● EC2 インスタンスがコインマイニングしている  ● RDS へいつもと違うログインが発生している  21  GuardDuty  

Slide 22

Slide 22 text

22  GuardDuty   https://youtu.be/nuMOaQctNgE

Slide 23

Slide 23 text

23  GuardDuty   あらゆる地域、業界、規模の顧客が利用可能な  多くの機能を備えたクラウドネイティブな  脅威検出サービスを作りたい 

Slide 24

Slide 24 text

24  ついにブロックまでしてきた！  

Slide 25

Slide 25 text

25  GuardDuty S3 Malware Protection  

Slide 26

Slide 26 text

26  GuardDuty   ● EKS（Audit Log アクティビティ）  ● Lambda（ネットワークアクティビティ）  ● S3（API アクティビティ）  ● Malware  ○ EC2  ○ S3（今日はココ）  ● Runtime  ○ EC2  ○ 〇〇〇  ○ EKS 

Slide 27

Slide 27 text

27  GuardDuty   ● EKS（Audit Log アクティビティ）  ● Lambda（ネットワークアクティビティ）  ● S3（API アクティビティ）  ● Malware  ○ EC2  ○ S3（今日はココ）  ● Runtime  ○ EC2  ○ ECS（大事！）  ○ EKS 

Slide 28

Slide 28 text

● S3 に保管されたオブジェクトに対してマルウェアの判定  ● 体感数秒ほどでチェック完了  ● オブジェクトにタグ付け可能  ○ NO_THREATS_FOUND  ○ THREATS_FOUND  ○ UNSUPPORTED  ○ ACCESS_DENIED  ○ DFAILED  28  GuardDuty  

Slide 29

Slide 29 text

● S3 に保管されたオブジェクトに対してマルウェアの判定  ● 体感数秒ほどでチェック完了  ● オブジェクトにタグ付け可能  ○ NO_THREATS_FOUND  ○ THREATS_FOUND  ○ UNSUPPORTED  ○ ACCESS_DENIED  ○ DFAILED  29  GuardDuty  