Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20240712_JAWSUG-FUKUOKA_Cloudgirl

snowwhite
July 12, 2024
0
58

 20240712_JAWSUG-FUKUOKA_Cloudgirl

JAWS-UG福岡支部x女子会コラボイベントの
Re:InforceのRe:Caputureの公開資料になります。

snowwhite

July 12, 2024
Tweet

More Decks by snowwhite

See All by snowwhite
20241024_an_real_horror_story_for_for_engineer
yuri_snowwhite
0
28
2024/05/23_SecurityJAWS登壇
yuri_snowwhite
1
660
20240414_cloudgirl_ec2_costdown
yuri_snowwhite
1
130
2024_storageJAWS_EBSonLVM_created
yuri_snowwhite
0
280
初めてでも分かるPCIDSS,PCI3DSとは
yuri_snowwhite
0
110
AWSの世界観が変わったお話
yuri_snowwhite
0
1.1k

Featured

See All Featured
GitHub's CSS Performance
jonrohan
1030
460k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
93
16k
Agile that works and the tools we love
rasmusluckow
327
21k
RailsConf 2023
tenderlove
29
900
KATA
mclloyd
29
14k
Build The Right Thing And Hit Your Dates
maggiecrowley
33
2.4k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Thoughts on Productivity
jonyablonski
67
4.3k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Typedesign – Prime Four
hannesfritz
40
2.4k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Practical Orchestrator
shlominoach
186
10k

Transcript

  1. Amazon GuardDuty Malware Protection for Amazon S3 Let’s Try S3のMalwareスキャンしてみた

    2024/07/12 株式会社ゆめみ 白"雪姫"

  2. 自己紹介 • Name ◦ 白”雪姫”(しらゆき) • Profile ◦ 2023年8月ゆめみ入社、ネットワークとセキュリティをメイン担当 しつつインフラとSREをやっている

    ◦ 苗字で呼ばれるのが嫌いで名前orしらゆきで呼んでもらっている • JAWS(登壇) ◦ Storage JAWS/Security JAWS/JAWS-UG クラウド女子会 • MyFavorite Services ◦ Amazon Inspector • X Account ◦ @yuri_snowwhite

  3. 皆さんは、re:Inforceで気になる 新発表はありましたか?

  4. Amazon GuardDuty Malware Protection for Amazon S3ってなんぞ? 要約すると・・・・ Amazon S3に保存されたオブジェクトにマルウェアが潜んでいないか確認してく

    れるGuardDutyの機能 スキャン結果マルウェア検知、メトリクスとして件数を表示してくれる また、その際にタグも付けてくれる(この際タグは別途料金加算)

  5. 実際にやってみました!

  6. まずはGuardDutyへ

  7. 左側にいるS3のMalware Protectionを選びます

  8. 有効にするをクリックして細かい設定します

  9. 設定するのは すぐにできそう と思ったのは・・・ 私が浅はかでした

  10. 実際に設定しないと行けないこと • S3バケットの指定 ◦ この時バケット内全てか特定のオブジェク トだけかを選べる • スキャン後にオブジェクトタグを付ける かどうか ◦

    スキャンが終わるまで該当バケットの変更 ができないというデメリットがある • IAMロールへのアクセス許可 ◦ 現時点では空にしても新規のIAMロールを 自動では作られません ▪ 既存のGuardDutyの設定とは別で 設定が必要です ◦ インラインポリシーで権限を与えます

  11. 問題となったのはIAMロールの許可設定

  12. IAMロールの許可設定 ロールに設定する情報は、「アクセス許可を表示」とやると、ポリ シーと信頼関係が出てきます。 それをコピーして、新規にロール作成もしくは、既存ロールに追加し ます。

  13. 入力した信頼関係(一時的な認証情報の付与)

  14. 入力した許可ポリシー 許可ポリシーに関しては、長すぎるため、一部を抜粋します。 全部で100行を超える許可設定なので、一度確認をしながら設定をすることをオススメします。 (そのままだと全てのバケット・オブジェクトへのアクセスが許可されています) 今回は、私の個人的都合もあり、出てきた許可をそのまま貼り付けています。

  15. 無事に有効にできました 有効化に成功すると下記の様な画面になります。 これで暫くするとメトリクスに表示などがされるわけです。(画像は直後のもの)

  16. 仕込んでいたデータがSpyWareとして検知されました これ

  17. 検知した詳細 何が検知したか見てみましょう

  18. 検出内容は下記の様になりました 検知の重要度 検出内容 検出したオブ ジェクト名 ※チェックボックスに チェックを入れたら詳 細が見れました!

  19. 詳細内容 細かく詳細が 見れるので、 誤検知か どうかも確認が 比較的しやすい。

  20. メリットとデメリット <メリット> • 1度に検査している量が少ないけど確実に 検知できる • 検知したときに取得してくる情報が細か い • 今の所コストはかかって無さそう

    ◦ かかった料金は本資料作成時点で不明で す。 ◦ オブジェクトに1000個対して0.282USD ◦ 1GBあたり0.79USD • GuardDutyそのものが有効で無くても使 える <デメリット> • 既存バケットでオブジェクトの数や容量 が多いともの凄く時間がかかる • IAMロールが既存のGuardDuty用のIAM ロールでは使えない

  21. 今更ですが・・料金表について・・・(笑) GurdDutyの料金ページの下の方に増えていましたが・・・。

  22. ・・・よくわかりませんでした。

  23. よくわからなかった理由・・・ 資料作成のために本機能を仕込んだのですが、実験に使った既存バケットのオブ ジェクト数と容量がとても多く、スキャンが終わりませんでした!(画像参照) Xの方で結果はお伝えしようと思います!

  24. 応用すればこんな使い方できるのでは? EventBridgeまでは通知を生成しているはずので、 • 検知に応じて、Lambdaに連携をして、隔離バケットを用意して、 該当したオブジェクトを隔離する(未検証) ◦ 他のオブジェクトに影響を与えないようにできて、該当オブ ジェクトの確認もしやすくなる ◦ 同様に削除処理もできるのではないか。(未検証)

    • メトリクスで検知を行ってアラートを通知(Slackbot経由でSlack だったり、SNSに通知) ◦ Lambda等を組み込んで検知内容の詳細を通知も可能(未検証) などなど・・・

  25. Fin. ご静聴ありがとうございました