Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS re:Invent 2022で発表された新機能を試してみた ~Cloud OperationとSecurity~ / New Cloud Operation and Security Features Announced at AWS reInvent 2022

Yuji Oshima
January 28, 2023
Technology
1
240

AWS re:Invent 2022で発表された新機能を試してみた ~Cloud OperationとSecurity~ / New Cloud Operation and Security Features Announced at AWS reInvent 2022

「JAWS-UG横浜 #54 AWS re:Invent 2022 Recap Security」で発表した資料
https://jawsug-yokohama.connpass.com/event/262686/

「クラウドセキュリティエンジニアブログ」
検証速報!AWS re:Invent 2022で発表された新機能をご紹介 ~Cloud OperationとSecurity~
https://devblog.nuligen.com/entry/20221205/1670220778

Yuji Oshima

January 28, 2023
Tweet

More Decks by Yuji Oshima

See All by Yuji Oshima
創業1年目のスタートアップでAWSコストを抑えるために取り組んでいること / How to Keep AWS Costs Down at a Startup
yuj1osm
3
2.4k
クラウドフォレンジックを効率的に行うアーキテクチャ / Architecture for Cloud Forensics
yuj1osm
0
110
スタートアップ企業で始めるAWSセキュリティ対策 ~内部統制の観点から~ / AWS Security and Internal Audit at a Startup
yuj1osm
3
1.2k
AWS Systems Manager Change Managerを利用した本番アクセス統制 / Access Controle with AWS Systems Manager Change Manager
yuj1osm
2
660

Other Decks in Technology

See All in Technology
Product Minded Software Engineers: Understanding the Product with a code-first approach
cembasaranoglu
0
220
6G/テラヘルツの取り組み
sbtechnight
PRO
0
400
Django with PostgreSQL superpowers
pauloxnet
0
110
開幕LT
makamaka
0
320
Pwning Old WebKit for Fun and Profit
hhc0null
0
300
Exadata Database Cloud (Exadata Cloud Service) サービス技術詳細
oracle4engineer
PRO
0
26k
赤裸々図解!新卒3年目でマネジメントもこなすフルスタックエンジニアになるまで
mizunohiroaki
0
240
Power Automateの子フローについて
miyakemito
1
270
量子コンピュータ時代のプログラミングセミナー / 20230316_Amplify_seminar _route_planning_optimization
fixstars
0
110
Finally_I_can_kichijojipm32
kaznishi
0
140
ChatGPTにR言語を教えてもらう(仮)
doradora09
1
140
インターネットの最新技術をモバイル網に持ち込んで最強のエッジコンピューティング基盤を作ってみた
sbtechnight
PRO
0
330

Featured

See All Featured
How GitHub Uses GitHub to Build GitHub
holman
466
280k
Support Driven Design
roundedbygravity
88
8.9k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
349
27k
Practical Orchestrator
shlominoach
178
9k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
214
12k
Robots, Beer and Maslow
schacon
154
7.4k
A Philosophy of Restraint
colly
193
15k
The Invisible Side of Design
smashingmag
292
49k
Side Projects
sachag
451
38k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
32
7.2k
4 Signs Your Business is Dying
shpigford
171
20k
Web development in the modern age
philhawksworth
197
9.6k

Transcript

  1. AWS re:Invent 2022で発表された新機能を試してみた
    ~Cloud OperationとSecurity~
    大島 悠司
    JAWS-UG横浜 #54 AWS re:Invent 2022 Recap Security

    View Slide

  2. 自己紹介
    ◼ 大島 悠司(おおしま ゆうじ)
    • ニューリジェンセキュリティ株式会社
    • クラウドセキュリティアーキテクト/基盤リーダー
    • 2022 APN ALL AWS Certifications Engineers
    ◼ 経歴
    • デジタルフォレンジック、マルウェア解析、スレットインテリジェンス
    • SOC、基盤運用、インシデントレスポンス
    • ニューリジェンの創業メンバーとして
    サービス開発/基盤構築運用/研究開発に従事
    Azure×6, GCP×4
    CISSP, GIAC×3, ISACA×2
    yuj1osm
    2

    View Slide

  3. Cloud OperationとSecurityに関するアップデート
    ◼ Cloud Operations
    1. Amazon CloudWatch Internet Monitorを発表
    2. Amazon CloudWatch Logsのデータ保護機能を発表 ★
    3. Amazon CloudWatchでアカウント横断の監視が可能に
    4. AWS Config Rules Proactive Complianceを発表
    5. AWS Organizationsで管理者権限の委任が可能に ★
    6. AWS Control Towerのコントロール管理機能を強化
    7. AWS Control Towerがアカウントカスタマイズに対応
    ◼ Security
    1. AWS CloudTrail LakeがAWS Config連携に対応 ★
    2. Amazon Macieがセンシティブデータの自動検知に対応
    3. AWS Wickrが一般利用開始
    4. Amazon InspectorがLambda関数の診断をサポート ★
    5. AWS KMSが外部の鍵管理システムとの統合をサポート
    6. Amazon GuardDuty RDS Protectionを発表
    3
    ★今回話すもの
    [AWS Black Belt Online Seminar] AWS re:Invent 2022速報 資料及び動画公開のご案内 | Amazon Web Services ブログ
    https://aws.amazon.com/jp/blogs/news/2022-11-reinvent2022-aws-blackbelt/

    View Slide

  4. Amazon CloudWatch Logsのデータ保護機能を発表
    4

    View Slide

  5. Amazon CloudWatch Logsのデータ保護機能を発表
    概要
    ◼ Amazon CloudWatch Logsに対してデータ保護ポリシーを適用することで、
    ログ中の機密データを自動的にマスクしてくれるように
    ◼ アップデート情報
    • 機密性の高い転送データを検出して保護するのに役立つデータ保護機能を Amazon CloudWatch Logs
    に実装
    https://aws.amazon.com/jp/about-aws/whats-new/2022/11/data-protection-amazon-
    cloudwatch-logs-detect-protect-sensitive-data-in-transit/
    5

    View Slide

  6. Amazon CloudWatch Logsのデータ保護機能を発表
    検証(1/5)
    6
    「アクション」→「Create data protection policy」を押下
    保護ポリシーを選択
    今回は「EmailAddress」と「Name」を選択
    保護できるデータの種類は以下のドキュメントにまとまっている
    Types of data that you can protect - Amazon CloudWatch Logs
    https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/protect-sensitive-log-data-types.html

    View Slide

  7. Amazon CloudWatch Logsのデータ保護機能を発表
    検証(2/5)
    7
    サンプルログを流してみると、ちゃんとマスクされた
    日本語は未対応のためマスクされない
    「logs:Unmask」権限を付与したユーザで
    「Display」→「Temporarily unmask protected data」を押下すると、
    以下のようにマスク前のデータを表示可能
    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Effect": "Allow",
    "Action": "logs:Unmask",
    "Resource": "*"
    }
    ]
    }

    View Slide

  8. Amazon CloudWatch Logsのデータ保護機能を発表
    検証(3/5)
    8
    「Data protection」タブでマスクされたデータ数も確認可能

    View Slide

  9. Amazon CloudWatch Logsのデータ保護機能を発表
    検証(4/5)
    9
    検知ログは以下に送信可能
    ・Amazon CloudWatch Logs
    ・Amazon Kinesis Data Firehose
    ・Amazon S3
    ここでは、Amazon CloudWatch Logsのロググループに送信してみる
    再度ログを流す

    View Slide

  10. Amazon CloudWatch Logsのデータ保護機能を発表
    検証(5/5)
    10
    送信先のロググループに2件の検知ログが表示

    View Slide

  11. Amazon CloudWatch Logsのデータ保護機能を発表
    所感
    ◼ セキュリティ監視の現場では、機密データはマスクしたいという要件が多く、
    HIPPA、GDPR、PCI-DSSといった規制にも役立つ便利な機能だと思います
    11

    View Slide

  12. AWS Organizationsで管理者権限の委任が可能に
    12

    View Slide

  13. AWS Organizationsで管理者権限の委任が可能に
    概要
    ◼ AWS Organizationsのポリシー管理をメンバーアカウントに委任できるように
    ◼ アップデート情報
    • AWS Organizations で委任管理者機能をリリース
    https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-organizations-delegated-
    administrator/
    13

    View Slide

  14. AWS Organizationsで管理者権限の委任が可能に
    検証(1/2)
    14
    AWS Organizationsで「設定」→「委任」を押下
    エディタで委任ポリシーを定義可能

    View Slide

  15. AWS Organizationsで管理者権限の委任が可能に
    検証(2/2)
    15
    ポリシー作成前にメンバーアカウントでポリシー
    管理画面を表示すると、権限が無くエラー
    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Sid": "Statement",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam:::root"
    },
    "Action": [
    "organizations:List*"
    ],
    "Resource": "*"
    }
    ]
    }
    エディタでListによる閲覧権限を許可
    再度、メンバーアカウントでポリシー管理画面を
    表示すると、今度は閲覧可能

    View Slide

  16. AWS Organizationsで管理者権限の委任が可能に
    所感
    ◼ 組織の管理アカウントにログインさせずに管理業務を委任させることができるため、
    マルチアカウント運用に役立つ機能だと思います
    16

    View Slide

  17. AWS CloudTrail LakeがAWS Config連携に対応
    17

    View Slide

  18. AWS CloudTrail LakeがAWS Config連携に対応
    概要
    ◼ AWS CloudTrail Lakeに、AWS Configの設定項目情報を取り込むことができるように
    ◼ アップデート情報
    • AWS CloudTrail Lake が AWS Config の設定項目をサポート
    https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-cloudtrail-lake-
    supports-configuration-items-aws-config/
    18

    View Slide

  19. AWS CloudTrail LakeがAWS Config連携に対応
    検証(1/5)
    19
    AWS CloudTrailの「レイク」→「イベントデータストアの作成」を押下

    View Slide

  20. AWS CloudTrail LakeがAWS Config連携に対応
    検証(2/5)
    20
    イベントデータストア名を入力
    イベントタイプに「設定項目」を選択し、
    イベントデータストアを作成

    View Slide

  21. AWS CloudTrail LakeがAWS Config連携に対応
    検証(3/5)
    21
    イベントデータストアが作成された
    テスト用に適当なセキュリティグループ
    「test-sg」を作成

    View Slide

  22. AWS CloudTrail LakeがAWS Config連携に対応
    検証(4/5)
    22
    レイクのエディタから検索可能
    SELECT
    eventTime, eventData.configuration, eventData.resourceId, eventData.resourceName, eventData.resourceType
    FROM

    WHERE
    eventTime > '2022-12-02 16:00:00' AND eventTime < '2022-12-02 17:00:00' AND eventData.resourceName = 'test-sg'
    ORDER
    BY eventTime DESC;

    View Slide

  23. AWS CloudTrail LakeがAWS Config連携に対応
    検証(5/5)
    23
    SELECT
    config.eventTime, config.eventData.configuration, config.eventData.resourceId, config.eventData.resourceName,
    config.eventData.resourceType, userIdentity.username, trail.eventName, trail.eventSource
    FROM
    AS config JOIN AS trail ON config.eventData.resourceName =
    element_at(trail.requestParameters, 'groupName')
    WHERE
    config.eventTime > '2022-12-02 17:00:00' AND config.eventTime < '2022-12-02 18:00:00'
    ORDER
    AWS CloudTrail用のイベントデータストアと結合することで、
    より詳細な調査が可能

    View Slide

  24. AWS CloudTrail LakeがAWS Config連携に対応
    所感
    ◼ 簡単にAWS Configの設定項目情報を取り込むことができ、
    AWS CloudTrailと統合して分析ができることは調査に非常に役立つと思います
    24

    View Slide

  25. Amazon InspectorがLambda関数の診断をサポート
    25

    View Slide

  26. Amazon InspectorがLambda関数の診断をサポート
    概要
    ◼ Amazon InspectorでLambda関数とLambda Layersの脆弱性スキャンができるように
    ◼ スキャン対象は、Java、NodeJS、および Pythonで記述された関数とレイヤー
    ◼ スキャンタイミングは、AWS Lambdaのデプロイ時、AWS Lambdaの更新時、
    新しい脆弱性 ( CVE ) の公開時
    ◼ アップデート情報
    • AWS が AWS Lambda 関数向け Amazon Inspector のサポートを発表
    https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-amazon-
    inspector-support-aws-lambda-functions/
    26

    View Slide

  27. Amazon InspectorがLambda関数の診断をサポート
    検証(1/4)
    27
    以前からAmazon Inspectorを使用している場合は、
    「Lambdaスキャン」が無効化状態なので、
    「有効化」→「Lambda標準スキャン」を押下して有効化
    AWS Organizationを使っていれば、
    組織の管理アカウントから全メンバーアカウントをまとめて有効化可能
    このとき、新しいメンバーアカウントのスキャンを自動的に有効化しておく

    View Slide

  28. Amazon InspectorがLambda関数の診断をサポート
    検証(2/4)
    28
    テスト用に適当なLambda関数を作成
    AWSから提供されている、
    「arn:aws:lambda:ap-northeast-1:249908578461:layer:AWSLambda-Python37-SciPy1x:118」
    レイヤーを追加

    View Slide

  29. Amazon InspectorがLambda関数の診断をサポート
    検証(3/4)
    29
    しばらくすると、検知された

    View Slide

  30. Amazon InspectorがLambda関数の診断をサポート
    検証(4/4)
    30
    ドリルダウンで詳細な検知情報を確認可能

    View Slide

  31. Amazon InspectorがLambda関数の診断をサポート
    所感
    ◼ サードパーティ製品を使わずに、ネイティブ機能でAWS Lambdaを診断できる点は
    非常に便利だと思います
    31

    View Slide

  32. まとめ
    ◼ 今回は、AWSの新機能を4つ紹介
    ◼ オペレーションやセキュリティの向上に役立つ機能が増えた
    ◼ AWSをはじめ、クラウドサービスは日々進化を続けているため、
    常に最新情報をキャッチアップして、すぐに手を動かしてみることが機能を理解するための近道
    32

    View Slide