Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Invent 2022で発表された新機能を試してみた ~Cloud Operat...

Yuji Oshima
January 28, 2023

AWS re:Invent 2022で発表された新機能を試してみた ~Cloud OperationとSecurity~ / New Cloud Operation and Security Features Announced at AWS reInvent 2022

「JAWS-UG横浜 #54 AWS re:Invent 2022 Recap Security」で発表した資料
https://jawsug-yokohama.connpass.com/event/262686/

「クラウドセキュリティエンジニアブログ」
検証速報!AWS re:Invent 2022で発表された新機能をご紹介 ~Cloud OperationとSecurity~
https://devblog.nuligen.com/entry/20221205/1670220778

Yuji Oshima

January 28, 2023
Tweet

More Decks by Yuji Oshima

Other Decks in Technology

Transcript

  1. 自己紹介 ◼ 大島 悠司(おおしま ゆうじ) • ニューリジェンセキュリティ株式会社 • クラウドセキュリティアーキテクト/基盤リーダー •

    2022 APN ALL AWS Certifications Engineers ◼ 経歴 • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス • SOC、基盤運用、インシデントレスポンス • ニューリジェンの創業メンバーとして サービス開発/基盤構築運用/研究開発に従事 Azure×6, GCP×4 CISSP, GIAC×3, ISACA×2 yuj1osm 2
  2. Cloud OperationとSecurityに関するアップデート ◼ Cloud Operations 1. Amazon CloudWatch Internet Monitorを発表

    2. Amazon CloudWatch Logsのデータ保護機能を発表 ★ 3. Amazon CloudWatchでアカウント横断の監視が可能に 4. AWS Config Rules Proactive Complianceを発表 5. AWS Organizationsで管理者権限の委任が可能に ★ 6. AWS Control Towerのコントロール管理機能を強化 7. AWS Control Towerがアカウントカスタマイズに対応 ◼ Security 1. AWS CloudTrail LakeがAWS Config連携に対応 ★ 2. Amazon Macieがセンシティブデータの自動検知に対応 3. AWS Wickrが一般利用開始 4. Amazon InspectorがLambda関数の診断をサポート ★ 5. AWS KMSが外部の鍵管理システムとの統合をサポート 6. Amazon GuardDuty RDS Protectionを発表 3 ★今回話すもの [AWS Black Belt Online Seminar] AWS re:Invent 2022速報 資料及び動画公開のご案内 | Amazon Web Services ブログ https://aws.amazon.com/jp/blogs/news/2022-11-reinvent2022-aws-blackbelt/
  3. Amazon CloudWatch Logsのデータ保護機能を発表 概要 ◼ Amazon CloudWatch Logsに対してデータ保護ポリシーを適用することで、 ログ中の機密データを自動的にマスクしてくれるように ◼

    アップデート情報 • 機密性の高い転送データを検出して保護するのに役立つデータ保護機能を Amazon CloudWatch Logs に実装 https://aws.amazon.com/jp/about-aws/whats-new/2022/11/data-protection-amazon- cloudwatch-logs-detect-protect-sensitive-data-in-transit/ 5
  4. Amazon CloudWatch Logsのデータ保護機能を発表 検証(1/5) 6 「アクション」→「Create data protection policy」を押下 保護ポリシーを選択

    今回は「EmailAddress」と「Name」を選択 保護できるデータの種類は以下のドキュメントにまとまっている Types of data that you can protect - Amazon CloudWatch Logs https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/protect-sensitive-log-data-types.html
  5. Amazon CloudWatch Logsのデータ保護機能を発表 検証(2/5) 7 サンプルログを流してみると、ちゃんとマスクされた 日本語は未対応のためマスクされない 「logs:Unmask」権限を付与したユーザで 「Display」→「Temporarily unmask

    protected data」を押下すると、 以下のようにマスク前のデータを表示可能 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "logs:Unmask", "Resource": "*" } ] }
  6. Amazon CloudWatch Logsのデータ保護機能を発表 検証(4/5) 9 検知ログは以下に送信可能 ・Amazon CloudWatch Logs ・Amazon

    Kinesis Data Firehose ・Amazon S3 ここでは、Amazon CloudWatch Logsのロググループに送信してみる 再度ログを流す
  7. AWS Organizationsで管理者権限の委任が可能に 概要 ◼ AWS Organizationsのポリシー管理をメンバーアカウントに委任できるように ◼ アップデート情報 • AWS

    Organizations で委任管理者機能をリリース https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-organizations-delegated- administrator/ 13
  8. AWS Organizationsで管理者権限の委任が可能に 検証(2/2) 15 ポリシー作成前にメンバーアカウントでポリシー 管理画面を表示すると、権限が無くエラー { "Version": "2012-10-17", "Statement":

    [ { "Sid": "Statement", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<accountID>:root" }, "Action": [ "organizations:List*" ], "Resource": "*" } ] } エディタでListによる閲覧権限を許可 再度、メンバーアカウントでポリシー管理画面を 表示すると、今度は閲覧可能
  9. AWS CloudTrail LakeがAWS Config連携に対応 概要 ◼ AWS CloudTrail Lakeに、AWS Configの設定項目情報を取り込むことができるように

    ◼ アップデート情報 • AWS CloudTrail Lake が AWS Config の設定項目をサポート https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-cloudtrail-lake- supports-configuration-items-aws-config/ 18
  10. AWS CloudTrail LakeがAWS Config連携に対応 検証(4/5) 22 レイクのエディタから検索可能 SELECT eventTime, eventData.configuration,

    eventData.resourceId, eventData.resourceName, eventData.resourceType FROM <config-event-data-store-id> WHERE eventTime > '2022-12-02 16:00:00' AND eventTime < '2022-12-02 17:00:00' AND eventData.resourceName = 'test-sg' ORDER BY eventTime DESC;
  11. AWS CloudTrail LakeがAWS Config連携に対応 検証(5/5) 23 SELECT config.eventTime, config.eventData.configuration, config.eventData.resourceId,

    config.eventData.resourceName, config.eventData.resourceType, userIdentity.username, trail.eventName, trail.eventSource FROM <config-event-data-store-id> AS config JOIN <trail-event-data-store-id> AS trail ON config.eventData.resourceName = element_at(trail.requestParameters, 'groupName') WHERE config.eventTime > '2022-12-02 17:00:00' AND config.eventTime < '2022-12-02 18:00:00' ORDER AWS CloudTrail用のイベントデータストアと結合することで、 より詳細な調査が可能
  12. Amazon InspectorがLambda関数の診断をサポート 概要 ◼ Amazon InspectorでLambda関数とLambda Layersの脆弱性スキャンができるように ◼ スキャン対象は、Java、NodeJS、および Pythonで記述された関数とレイヤー

    ◼ スキャンタイミングは、AWS Lambdaのデプロイ時、AWS Lambdaの更新時、 新しい脆弱性 ( CVE ) の公開時 ◼ アップデート情報 • AWS が AWS Lambda 関数向け Amazon Inspector のサポートを発表 https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-amazon- inspector-support-aws-lambda-functions/ 26