[レポート] Introducing Amazon GuardDuty RDS Protection #SEC218 #reinvent

こんにちは、つくぼし(tsukuboshi0755)です!

re:Invent2022のセッション Introducing Amazon GuardDuty RDS Protection を視聴したので、レポートしたいと思います。

セッションの概要

In this session, learn about Amazon GuardDuty RDS Protection. See how Amazon GuardDuty uses tailored ML models to identify malicious activities or suspicious behaviors that represent potential threats to your data stored in Amazon RDS databases, starting with Amazon Aurora. Amazon Aurora is a fully managed MySQL and PostgreSQL-compatible relational database built for the cloud as part of Amazon RDS. Learn about the direct integration of GuardDuty with Aurora to more easily protect databases across your organization and step through how GuardDuty accurately detects potential issues, like unauthorized logins, to help you stop them before they escalate.

このセッションでは、Amazon GuardDuty RDS 保護について学びます。Amazon GuardDuty が調整された ML モデルを使用して、Amazon Aurora から始めて、Amazon RDS データベースに保存されているデータに対する潜在的な脅威を表す悪意のあるアクティビティや疑わしい動作を特定する方法をご覧ください。Amazon Aurora は、Amazon RDS の一部としてクラウド用に構築された、完全マネージド型の MySQL および PostgreSQL 互換のリレーショナル データベースです。GuardDuty と Aurora の直接統合について学び、組織全体のデータベースをより簡単に保護し、GuardDuty が不正ログインなどの潜在的な問題を正確に検出して、エスカレートする前にそれらを停止する方法を順を追って説明します。

スピーカー

• Jeremiah Wilton, Senior Principal Technologist, Amazon Web Services
• Amit Megiddo, Principal PM Amazon GuardDuty, Amazon

セッション内容

• データベースでは、以下の様々なレイヤーにおいてセキュリティは最優先事項である
  • AWSアカウントレイヤー
  • VPCレイヤー
  • セキュリティグループレイヤー

• データベースのアクセス方法としては、主に以下の通り
  • アプリケーションサーバーからのパスワード/IAM認証
  • LDAPサーバーからの認証
• 上記を実現しようとする際に、AWSの設定ミスにより、外部からのデータベースへの不正アクセスを許してしまう可能性がある

• 外部からのデータベースへの不正アクセスを防ぐため、まずはセキュリティグループで外部からのアクセスを禁止するべき

• またアプリケーション毎に、別々のユーザやロールを作成しデータベースにログインするのが良い
• さらにユーザの認証情報を一時的なものにする方法が考えられる

• またデータベースの監査ログ等を都度確認する事も考えられるが...
• 他にデータベースを不正アクセスから防ぐために、何ができるか？

• Amazon GuardDutyについての説明

• Amazon RDSについての説明

• Amazon Auroraについての説明

• Performance InsightsやDevOps Guruにより、データベースのパフォーマンスのモニタリングや問題検出を自動化できるようになった

• Auroraのセキュリティ機能
  • データベースエンジンのレイヤー
    • SSL/TLS
    • 監査
    • 認証情報のライフサイクル
  • Auroraのレイヤー
    • IAM認証
    • データベースアクティビティストリーミング
  • AWSのレイヤー
    • VPC
    • IAM
    • セキュリティグループ

• GuardDuty RDS Protectionの紹介
  • 不審なログイン試行を特定し、脅威が顕在化する前に対策する事で、RDS Auroraに蓄積されているデータを保護
  • 全てのAuroraデータベースの継続監視を、1クリックで実施可能
  • 機械学習がノイズやアラート疲れの軽減を助ける

• セキュリティ分析システムに対し、RDSログインアクティビティをモデル化し、RDSデータベースへの疑わしいログインを正確に検出する新しい機械学習技術が組み込まれている
• セキュリティ検出結果はコンテキストデータで強化されるため、以下の様な質問に即座に回答できるようになっている。
  • どのデータベースがアクセスされたか?
  • どこからアクセスされたか？
  • 特定のユーザーが以前データベースにアクセスした事があるか?

• Aurora + GuardDuty RDS Protectionの使用により、何が起こるか？
  • メトリクスの取り込み
  • 不審なアクティビティの検出
  • GuardDuty
  • GuardDuty RDS Protection
  • 説明/理解
  • データベースの修復

• GuardDuty RDS Protectionによる異常検出

• GuardDuty RDS Protectionが検出できる事
  • データベースへのブルートフォースアタック
  • 間違った認証情報によるアクセス
  • 外部からの不正なデータベーススキャン

• GuardDuty RDS Protectionが脅威を検出する事で、認証情報をローテートしたり、監査ログから詳しい情報を分析するといった、対応策を速やかに取る事ができる

最後に

今回はGuardDuty RDS Protectionに関するセッションレポートについて、記載させて頂きました。

GuardDutyの脅威検出対象にAuroraが含まれるようになった事で、RDSのセキュリティをさらに強固にできるようになって嬉しい限りです。

一つ注意しておきたいのが、アップデートが発表された2022年11月30日時点では、検出対象はAuroraの一部のバージョンのみで、AuroraではないRDSは含まれていないという事ですね。

もしこの機能を使いたい場合は、現状以下のバージョンのデータベースエンジンを使用する必要があるのでご注意ください。

• Aurora MySQL バージョン 2.10.2 および 3.2.1 以降
• Aurora PostgreSQL バージョン 10.17、11.12、12.7、13.3、および 14.3 以降

また本機能に関するAWS公式ドキュメントも、ぜひご参照ください。

以上、つくぼし(tsukuboshi0755)でした!