「AWSセキュリティサービス 最新アップデート」というタイトルで登壇しました

re:Inforce 2023で発表されたアップデートについて解説していきます。

臼田佳祐

2023.08.30

こんにちは、臼田です。

みなさん、AWSセキュリティサービスのアップデートチェックしてますか?(挨拶

今回は先日開催した弊社イベントであるAWS re:Inforce参加者から見るクラウドセキュリティの最新動向と応用で登壇した内容の共有です。

資料

解説

前置き

re:Inforce 2023はめっちゃ面白かったです。

参加できなかった方も、来年は是非参加しましょう!

個人的には、普段からAWSセキュリティをやっている人もそうですが、普段は開発などでセキュリティ専門ではないけど、その知識や経験があると嬉しい人たちも参加すると非常にいいと思います。

re:Inforceやre:Inventは学習型のイベントです。濃密な時間で沢山のことを吸収できますから、ぜひ普段のロールがセキュリティじゃない方も参加をおすすめします。

アップデート一覧

re:Inforce 2023では沢山のAWSセキュリティ関連のアップデートがありました。大体の物を一覧で並べます。太字は詳しい解説があります。

  • Amazon Verified Permissions
  • Amazon EC2 Instance Connect Endpoint
  • Amazon Inspector code scanning of Lambda functions
  • Amazon Inspector SBOM export
  • Amazon ECR Basic Scan supports CVSS v3
  • Amazon CodeGuru Security
  • Amazon GuardDuty Summary View
  • Amazon Detective finding groups
  • AWS Security Hub Automation Rules
  • AWS WAF Account Creation Fraud Prevention
  • AWS Payment Cryptography
  • AWS Database Encryption SDK
  • AWS DRS VPC configurations recovery
  • AWS Audit Manager third-party risk assessment / CSV
  • AWS IAM Identity Center supports Google Workspace
  • AWS CloudTrail Lake dashboard for top trends
  • Amazon S3 announces dual-layer server-side encryption

当日は取り上げないものも軽く解説したりしました。下記タグがついている記事も合わせてご参照ください。

ではメインの解説いきましょう。

Amazon Verified Permissions

Amazon Verified Permissionsはアプリケーションの認可を制御できるサービスです。

従来はAWS上の認証認可としてIAM、アプリケーションの認証にはAmazon Cognitoを利用できていましたが、アプリケーションの内部ロジックで利用する認可機能は独自に実装する必要がありました。

このサービスによりアプリケーションの認可をオフロードすることができ、アプリケーションロジックと認可のロジックを分離することができます。

詳細は以下もご確認ください。

Amazon EC2 Instance Connect Endpoint

Amazon EC2 Instance ConnectはEC2に接続するために一時的な公開鍵を作成して安全にSSHが利用できる機能です。従来はパブリックなEC2にしか接続できませんでしたが、Amazon EC2 Instance Connect Endpointを利用することで、プライベートなEC2インスタンスでも接続できるようになりました。

Amazon EC2 Instance Connect以外にも、安全にEC2インスタンスに接続する方法として、AWS Systems Manager Session Managerがあります。こちらでは以前からプライベートなEC2インスタンスにも利用できていたのでこちらを利用する方も多かったと思います。

今回のアップデートがSession Managerと一番違う部分は、プライベート接続のために作成するEndpointが1つで済み、費用がかからないことです。うまく使い分けできそうですね。

詳しくは以下をご確認ください。

Amazon Inspectorコードスキャン

Amazon Inspectorはv2になってからカバレッジも広がり様々な脆弱性管理ができるようになってきました。

今回はAWS Lambdaのコードで作り込んでしまった脆弱性も検知できるようになりました。

どのようにコードを修正すればいいかレコメンドもしてくれます。詳しくは以下を確認してください。Lambdaに仕込んだOSコマンドインジェクションを検知させてみました。

Amazon GuardDutyサマリーダッシュボード

とりあえずこれを見てください。

細かいことはおいておいて、すごくいい感じじゃないですか?

これまでAmazon GuardDutyは検知したFindings一覧の画面がデフォルトでしたが、その内容をサマリーしてくれるようになりました。

すごく便利です。詳細は下記をご確認ください。

Amazon Detectiveの検出結果グループ

とりあえずこれを見てください。

なんかすごくいい感じじゃないですか?

ついにAmazon Detectiveに可視化機能が追加されました。これは複数のGuardDuty Findingsをまとめて検出結果グループとし、そのエンティティの関係性をグラフにしてくれています。

詳しくは下記をご確認ください。

まとめ

re:Inforce 2023で発表されたアップデートの紹介でした。

どれも良い機能なのでガンガン使っていきましょう!

AWS

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

臼田佳祐

2024.04.16

Amazon GuardDuty EC2 Runtime Monitoring 서비스가 정식 출시 되었습니다!

KeumSangwon

2024.04.12

GuardDuty のマルウェアスキャンを実施した際に外部共有された EBS スナップショットが作成されたのはなぜでしょうか?

Funa

2024.04.11

GuardDuty Malware Protection はインターネットにアクセス可能な構成でなければ利用できないのか教えてください

片方 裕人

2024.04.09