ちょっと話題の記事

AWSセキュリティ学習に役立つワークショップ紹介

ワークショップを行いながらAWS セキュリティについて知識や技術を習得できるサイトを紹介します。
2019.09.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。
ご機嫌いかがでしょうか。
"No human labor is no human error" が大好きな吉井 亮です。

以前、 NIST サイバーセキュリティフレームワーク準拠から読み解く自組織の AWS セキュリティ というエントリを書きました。
このなかで、自組織の要員に対する教育が大切、と記述しました。

自組織の要員に対する教育のために
AWS が提供している デジタルトレーニングとクラスルームトレーニング
書籍などを活用して独自の教育プランを考えていることと思います。

みなさまの教育プラン策定に一役買うべく本エントリでは、ワークショップを行いながら
AWS セキュリティについて知識や技術を習得できるサイトを紹介します。

AWS Security Workshops

AWS のセキュリティ保護に適用可能なソリューションをワークショップ形式で学ぶことが出来るサイトです。
ユースケースをシナリオが用意されており、実践的なワークショップとなっています。

AWS Security Workshops

対象者

※AWS が示している見解ではなく、私の意見です。
AWS についての基本的な概念、用語が理解でき、
AWS 上で自身で管理するシステムを1つ以上構築・運用・管理したことがある技術者の方。
基本から一歩進んで AWS セキュリティについて深く学んでいきたい方が対象になると思います。

準備

ワークショップ専用の AWS アカウントを用意します。
普段業務で使用しているアカウントをこのワークショップで使うことはお勧めしません。

IAM ポリシーを想定されているシナリオに合わせて設定していきますが、
万が一設定を誤った場合の影響を回避する意図があります。

また、VPC を何個か作るワークショップもあります。
アカウントのリソース制限に達してしまう可能性もゼロではありません。

Getting Started を参照してアカウントをご用意ください。

ワークショップ

執筆日時点で含まれているワークショップは以下です。

Data Protection

暗号化によりデータ保護を行うワークショップです。
5つのワークショップを通じて以下を学びます。

  • サーバーサイド暗号化を有効にしてオブジェクトを S3 へ put
  • 自身のアプリケーションから SDK を用いてオブジェクトを暗号化 (クライアントサイド)
  • データキーキャッシュとは?
  • AWS Certificate Manager でプライベート証明書を生成する
  • AWS Certificate Manager でプライベート認証局を運用する

Detection with Machine Learning

SageMaker の機械学習アルゴリズムを利用して GuardDuty の検出結果から IP-based anomaly detection を行います。
IP Insights という、IP アドレスの異常な動作と使用パターンを検出するための教師なし学習アルゴリズムを使います。
これを使うと、異常な IP アドレスからサービスにログインしようとしているユーザーを識別するのに役立ちます。

IP Insights アルゴリズム

Identity Round Robin

ID およびアクセス管理を学びます。
IAM だけではなくアイデンティティ全般について説明されています。

ワークショップは複数の独立したラウンドに分かれています。

  • Cognito によるサーバーレスアプリケーションの ID 管理
  • GuardDuty、Inspector、および Macie へのアクセスを IAM によって委任する方法
  • Permissions boundaries の設定方法、使いみち

アイデンティティの基礎が身につけたい方にお勧めです。

Finding and addressing Network Misconfigurations on AWS

タイトルだけで興味が湧きますね。
Inspector のネットワーク到達性レポートを使用して
AWS アカウント内のネットワーク構成を検証します。

さらに設定ミスにより SSH(22番ポート) がインターネットに公開されてしまった事態に備え
自動的にセキュリティグループを修正する手段を学びます。

付属されている Presentation Notes を読むと
VPC ネットワークをどう構成すべきかの参考なると思います。

Protecting workloads on AWS from the instance to the edge

ALB 背後に2つの Web サーバーを配置し、
Web サーバーにはあえて脆弱性を含む PHP Web サイトを実行しています。
AWS WAF、Inspector、Systems Manager を使用して脆弱性を特定し修正する方法を学びます。

外部公開 Web サーバーの基本的な防御を実現するために
WAF の概念、ルール設計の考慮事項、OS パッチ管理を習得しましょう。

Scaling threat detection and response on AWS

GuardDuty、Macie、Inspector、Security Hub を使用して
システムへの攻撃を調査し、通知およびアクションを行い、
セキュリティ保護を追加する方法を学びます。

攻撃シミュレーションを行い
侵害された IAM 認証、
侵害された EC2 インスタンス、
侵害された S3 バケット、
に対する調査とアクションを実践します。

まとめ

現実に起こりそうなシナリオが用意されている印象です。
AWS をある程度利用してくると「セキュリティグループ以外のセキュリティ対策って何?」というステージに至ると思います。
このワークショップを一通り実行すると、一歩進んだセキュリティ対策が自力で実装できるようになると思います。

自習するのもよし、チームメンバーを集めてディスカッションしながら進めるのもよし、
クラスメソッドのような AWS パートナーを呼んで Q&A しながらクリアしていくのもよし、
色々なケースで使える優れたワークショップだと感じました。

おまけ

ワークショップの解説は英語です。
英語に自信の無い方は Chrome に ”Google 翻訳” 拡張をインストールして
右クリックから翻訳してお使いください。

参考

AWS Security Workshops
NIST サイバーセキュリティフレームワーク準拠から読み解く自組織の AWS セキュリティ
AWS デジタルトレーニングとクラスルームトレーニングの概要
AWS Well-Architected Security Labs
AWS Management and Operations Week

以上、吉井 亮 がお届けしました。