Security Engineering on AWSで役に立つ参考リンク集

こんにちは、臼田です。

みなさん、セキュリティ活動してますか？(挨拶

今回はAWS公式トレーニングのSecurity Engineering on AWSで利用できる参考リンクをまとめました。

参考リンク集

モジュール00: コースの紹介

• AWS Security Fundamentals (Second Edition) (Japanese)
  • 事前に受けておくといい無料のEラーニング
• Getting Started with AWS Security, Identity, and Compliance (Japanese) (日本語吹き替え版)
  • IAM周辺の無料のEラーニング

モジュール01: AWSのセキュリティ

• AWS クラウドにおける NIST サイバーセキュリティフレームワークへの準拠 – 日本語のホワイトペーパーを公開しました
  • AWSセキュリティ対策を考える上で参考になるフレームワークの1つ
• セキュリティ - AWS Well-Architected フレームワーク
  • AWSのベストプラクティス集。質問とそれに対する対策で構成される
• 侵入テスト
  • 現在は基本的に申請は不要。要件をしっかり確認してね
• [書評]クラウドに限らないセキュリティの原理原則を学びすぐに組織に適用できる本「AWSではじめるクラウドセキュリティ」
  • 説明責任(Accountability)と実行責任(Responsibility)の解説など、原理原則に沿った丁寧な説明がある良書

モジュール02: AWSのエンドポイントを確認する

• AWSサービスのエンドポイント
• FIPS 140-2

2021 年 4 月 1 日の時点で、すべての AWS FIPS エンドポイントが更新され、最小限の Transport Layer Security (TLS) 1.2 接続のみを受け入れるようになりました。これにより、お客様は、転送時のデータに TLS 1.2 以上のエンドポイントの使用を義務付ける FedRAMP コンプライアンス要件を確実に満たすことができるようになりました。

• AWS API リクエストの署名
• AWSアクセスキーをGitリポジトリに混入させないために git-secrets を導入した
  • アクセスキーを利用するユーザーは100%導入しましょう
• ポリシー評価論理
  • ポリシー評価のフローチャートもあるよ
• IAM Policy Statementにおける NotAction / NotResource とは？
  • NotActionなどのNotの意義はポリシーが書きやすくなることだけではないです。
  • 明示的なDenyが強力なのでうまくNotActionを利用しましょう。
• 複数のキーまたは値による条件の作成
• AWSのABAC(タグに基づいたアクセス制御)の設計/運用のポイントを考える
  • ABACを本当にやったほうがいいのか、やるならどうするかがよくわかります
• MFAデバイス
• 【全リージョン対応】CloudTrailのログをAthenaのPartition Projectionなテーブルで作る
  • パーティション付きのCloudTrailテーブル作成方法
• S3オブジェクトのロック（なにをどうやっても改竄削除が不可）がリリースされました！ #reinvent
• AWSCLI設定の基本
  • 設定されたクレデンシャルの説明やその優先度とか
• AWSの薄い本
  • IAMを一通りおさらいできる + 役立つテンプレート付き

モジュール03: セキュリティに関する考慮事項: Webアプリケーション環境

• セキュアに デプロイしょう / Ship securely
  • Shift Leftしてセキュリティをより手前のフェーズに持っていくための話
  • 開発者のためのセキュリティテスト自動化の取り組み方とツールの紹介
• Security for Developers
  • 上記を実践するAWSワークショップ
  • 半日程度でよく組み込まれたセキュリティテスト自動化を体験できる
  • すぐ試すべき
• MITER ATT&CK
  • 脅威分析の手法の一つ。戦術ベースのアプローチ。

モジュール04: アプリケーションセキュリティ

• [待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました！
  • IMDSv2がなぜ必要なのかを解説
• EC2 Image Builder
  • AMI作成のフローを定型化できる
• [新サービス]大幅に使いやすくなりECRの脆弱性診断にも対応したAmazon Inspector v2が発表されました！ #reinvent
  • 新しいInspector
  • 今後はこれ1択
• Amazon Inspector v2のLambda標準スキャンを有効化して動作を確認して無効化してみた #reinvent
  • Lambdaにも対応した
• AWS再入門ブログリレー Amazon Inspector編
  • すぐに始められる脆弱性診断
• FutureVulsでトリアージの支援機能が強化されました！
  • いかに運用が楽か
• [遂にきた！]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた
  • SSMによるパッチ適用がちょー簡単にできる
• 新ポリシー AmazonSSMManagedInstanceCore がサポートされました
  • 旧ポリシーの「AmazonEC2RoleforSSM」に変わってこちらを使いましょう
• AWS Systems Manager(SSM) の数多い機能群を攻略するための図を書いてみた 2021
  • 数あるSSMのサービス郡をわかりやすく分類した図があるよ

モジュール05: データセキュリティ

• クラウドにおける安全なデータの廃棄 | Amazon Web Services ブログ
  • 「何のためにメディア破棄を行うのか？」「どうやってデータ破棄の統制を行うか？」という考え方がまとめられている
  • NIST SP800-88にも含まれているCryptographic Erase(CE:暗号化消去)について理解できる
• S3バケットキーでコストエフェクティブにKMSを利用できる
• 【アップデート】S3でACLを無効化できるようになりました #reinvent
  • 管理が煩雑にならないようにACLを無効化できます
• 2023年4月からAmazon S3の新規バケットのブロックパブリックアクセスが有効化およびACLが無効化されます
  • デフォルト値が変わる
• IAM認証によるRDS接続を試してみた
• AmazonDynamoDBがAWSKMSを使用する方法
  • DynamoDBテーブルキーのキャッシュは5分以上アイドルが続いたら利用できなくなる。
• Vault Lockポリシー

モジュール06: セキュリティに関する考慮事項: ハイブリッド環境

• 【ハンズオン】VPCトラフィクミラーリングを使ってEC2にログインせずにパケットキャプチャする方法を学ぼう#AWSSummit
• [新機能] ネットワークがアクセス要件を満たしているか確認するのに便利な VPC Network Access Analyzer がリリースされました！ #reinvent
  • ネットワーク上のすべてのパスを検証してくれる
• [2021/05/01から] VPC Peeringの料金体系が変更になっていました [同一AZなら無料！]
  • 安くなったよ、うれしい！
• [レポート]第三の選択肢、AWS PrivateLink ～ビジネスのアジリティとセキュリティを両立させる接続の実現～ – AWS Security Roadshow Japan 2020 #awscloud #AWSSecurityRoadshow
  • スライド
  • Youtube
  • PrivateLinkをサービス提供する活用例
• [速報！] オンプレミスからプライベートネットワークでのアクセスが可能に！PrivateLink に Amazon S3 が追加されました
  • プロキシがなくても直接アクセスできるようになった
• [レポート]Security-JAWS【第23回】 [AWS Security Roadshow Japan 2021] 特別拡大版 #jawsug #secjaws23 #secjaws #awscloud #AWSSecurityRoadshow
  • Session3が金融要件でVPC Endpointを活用して厳密なアクセス制御を行う参考例
  • 以下の動画時間から再生するといい
  • 1:37:43 1825～1850 閉域要件におけるS3周辺ポリシーの組み合わせ方 みずほリサーチ&テクノロジーズ株式会社 松尾 優成さん
• Gateway Load BalancerとPalo Alto VM-Seriesを利用した透過型侵入防御の実装をやってみた
  • どんな使い勝手になるかよくわかるよ
• OktaとALB認証機能をOIDCで連携して認証機能がないアプリケーションに認証機能を追加してみた[n8n実装]
  • ALB側で認証する仕組みの実装例

モジュール07: AWSでのログの監視と収集

• [アップデート]CloudWatch Syntheticsのデバッグ機能がX-Rayとの連携により強化されました
  • 可視性がめちゃくちゃ上がる
• 3〜4時間でAWSの監視系のサービス一気に学べたらコスパ良いと思いませんか
  • 非常に有用なデモサイトといっしょにイケてる監視の仕組みが学べます
• [アップデート]Canaryスクリプトの作成が楽になる！CloudWatch Synthetics Recorderがリリースされました！
  • スクリプトを書くのがすごく楽になります
• Amazon CloudWatch Syntheticsにビジュアルモニタリング機能が追加されました
  • スクリーンショットを比較して変化を検知できます
• セキュリティグループのSSH全開放をAWS Configで自動修復したら3分くらいで直ったからみんな使ってほしい件
• [2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる]
  • Config / Conformance Packs / Security Hubの違いと使い分けを解説
• コンフォーマンスパックのサンプルテンプレート
  • めちゃくちゃ沢山ある
• AWS Black Belt Online Seminar Amazon Macie
• EC2上のプロセスを監視し自動復旧する
• [アップデート] VPC フローログに AWS サービス名および通信経路が表示されるようになりました！
  • S3との通信など、非常にわかりやすくなる
• [アップデート] Route53 Resolver で DNS クエリをログ出力できるようになりました！
  • DNSのログも見れるようになっています
• CloudTrail S3オブジェクトレベルログ、S3サーバーアクセスログ、どちらを使えば良いか？違いをまとめてみた

モジュール08: AWSでのログの処理

• あきんどスシロー様の事例
  • Kinesis StreamとFirehoseを利用したお寿司のリアルタイム分析最新事例に変わったので削除
• Kinesis StreamとFirehoseのハンズオン
  • よく理解できる
• AWSの各種ログを可視化するOSSのSIEMソリューション「SIEM on Amazon ES」がAWSから公開されたのでCloudTrailログを可視化してみた
  • オープンソースのAWSログ可視化ソリューション
• AWS WAF ログのクエリ
  • テーブル作成とサンプルクエリ

モジュール09: セキュリティに関する考慮事項:ハイブリッド環境

• VPC接続パターン
  • 様々なハイブリッド接続の選択肢
• [アップデート] 接続元 IP 制限もできるように！ AWS Client VPN で クライアント接続ハンドラ機能がサポートされました
  • より細かい制御が可能
• オンラインで Direct Connect を学べてしまう！ AWS 専用線アクセス体験ラボ ハンズオントレーニング に参加しました
  • 体験できるよ

モジュール10: リージョン外の保護

• DDoS に対する AWS のベストプラクティス – ホワイトペーパーが更新されました
  • 英語版が最新なので要チェック
• Route 53 Application Recovery Controllerを試した
  • 可用性に重きをおいたコントロール機能
• [レポート] ARC408: Route 53 SLA 100% の舞台裏 (Under the Hood of Amazon Route 53) #reinvent
  • 100%のためのすごい努力
• AWS WAFv2でAPI Gateway/サーバレス用のWAFマネージドルールがCSCから出たので使ってみた
  • 日本語サポートが受けられるありがたいマネージドルール
• CloudFront専用のALBをリクエストルーティングで設定してみた
  • 最新のALBへのアクセス制御、WAFいらず
• Amazon CloudFront Field-Level Encryptionを利用してエッジサーバーでフォームデータを保護する
• [アップデート]無料のAWS ShieldでDDoSイベントのサマリがアカウントとグローバルで見れるようになりました！
  • 無料で見れる部分を是非活用しよう
• [アップデート]AWS Shield Advancedが自動でアプリケーションDDoS緩和できるようになりました！ #reinvent
  • 自動でAWS WAFのルール設定がされます

モジュール11: セキュリティに関する考慮事項: サーバーレス環境

• サーバーレスのウェブアプリケーションを構築
  • API Gateway / Lambda / DynamoDBの実践的なハンズオン
• ユーザープールにアドバンスドセキュリティを追加する
  • 優秀なセキュリティ機能
• AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性 - Flatt Security Blog
  • Cognito設定不備の具体例
• JSON Web Token（JWT）の紹介とYahoo! JAPANにおけるJWTの活用
  • わかりやすいJWTの解説
• [アップデート]AWS LambdaでAWS Signerを利用してコードの署名ができるようになったので試してみた
  • Lambdaの運用に署名を利用する方法
• flAWS
  • AWSの常設CTF的サイト、2もあるよ

モジュール12: 脅威検出と調査

• 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた
  • つまり最強
• 一発でGuardDutyを全リージョン有効化して通知設定するテンプレート作った
  • まずは一発有効化
• 新しくリリースされたAWS Chatbotを使ってGuardDutyのSlack通知をするといいよって話
  • めっちゃ見やすいSlack通知
• GuardDuty Findings一覧
  • どんな脅威が検知できるか一覧
• [2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える
  • 運用設計する時の参考にどうぞ
• [2020年版]最強のAWS環境セキュリティチェック方法を考えてみた[初心者から上級者まで活用できる]
  • Configのところでも出したけど再掲
• 【アップデート】AWS Security Hub の自動修復ソリューションが『基礎セキュリティのベストプラクティス』に対応！新たに 11の修復が追加されました
  • 自動修復で効率的にセキュリティ運用しよう
• [2021年版]AWS Security HubによるAWSセキュリティ運用を考える
  • こちらもどうぞ
• 「ついに来た！Amazon Detectiveでセキュリティインシデントの調査がちょー捗るからまずやってみよう」という内容で動画投稿しました #devio2020
  • よく分かるデモ付き

モジュール13: AWS での機密情報管理

• 10分でわかる！Key Management Serviceの仕組み #cmdevio
  • よく分かるエンベロープ暗号化
• AWS KMS でのキーポリシーの使用
• カスタマーマスターキーのローテーション
• AWS Key Management Service (AWS KMS) にキーマテリアルをインポートする
• AWSのパスワード生成APIを触ってみた
  • パスワード生成のAPI
• CloudFormationでパスワードを自動生成してテンプレート内で利用する
  • CloudFormationで自動生成するやり方
• パラメーターストアが大幅にアップデートしました！
  • パラメータストアはadvancedがある
• マルチリージョンキーを使用する
  • 最近はキーをレプリケーション出来る

モジュール14: 自動化と設計によるセキュリティ

• StackSets用IAM Roleのクイック作成リンク作ってみた
  • 便利なのでどうぞ
• Developers.IO 2019 in OSAKAで「Dome9ではじめるAWSセキュリティリスク管理」を話しました #cmdevio
  • Security Group可視化 / 改ざん防止
  • 時間を指定した一時的なSecurity Groupの許可
  • IAMも時間を指定して適用
• 【手順書公開】Dome9のハンズオンセミナーを実施しました
  • ハンズオン資料もあるよ
• 【tfsec】Terraformの静的セキュリティスキャンを行ってみよう！
  • IaCでデプロイ前にチェックする
• [アップデート]非準拠リソースのプロビジョニングを抑止できる！AWS Control Towerでプロアクティブなガードレールが利用可能になりました #reinvent
  • Control TowerとCloudFormation Guardが連携してポリシーにそぐわない設定展開を事前に止めることが可能
• Cloud Audit Academy - Cloud Agnostic
  • 監査人向けクラウド監査を学ぶ無料Eラーニング

モジュール15: AWS のアカウント管理とプロビジョニング

• サービスコントロールポリシーの例
• 「AWS Control Towerを利用したマルチアカウント管理とセキュリティ統制」JAWS DAYS 2021登壇資料 #jawsug #jawsdays #jawsdays2021 #jawsdays2021_C
  • Control Towerの良さは全部ここで語っています
• [アップデート]アカウントファクトリーからアカウントをカスタマイズできるAccount Factory Customization (AFC) が追加されました #reInvent
  • カスタマイズしやすくなりました
• AWS SSOを図解してみた
  • わかりやすい解説

まとめ

• AWS Certified Security - Specialty
  • 試験ガイドとサンプル問題にしっかり目を通そう
• AWS CloudHSM のよくある質問
  • 各サービスのよくある質問は有用
• ななななんと！AWS認定の模擬試験が無料になりました！！
  • 無料の模擬試験
• Security-JAWS
  • ユーザーグループに積極的に参加してください!