こんにちは。たかやまです。
現在開催中のre:Invent 2023で行われたワークショップ Building secure serverless applications workshop のレポートをお伝えします。
セッション概要
タイトル : Building secure serverless applications workshop AWS Lambda、Amazon API Gateway、Amazon Auroraで構築されたサーバーレスアプリケーションのセキュリティを確保するためのテクニックをハンズオン形式で学びます。このワークショップでは、サーバーレスアプリケーションのセキュリティを向上させるために利用できるAWSのサービスや機能を、IDとアクセス管理、インフラストラクチャ、データ、コード、ロギングとモニタリングの5つの領域で取り上げます。最後に、Amazon InspectorやAmazon GuardDutyとの統合を含む新機能を探ります。参加にはノートパソコンの持参が必要です。
スピーカー :
- Chris McPeek
- Ranjan Bhandari
セッションレベル : 300 - Advanced
学べること
- サーバレスアプリケーションに必要なセキュリティドメイン
- 各セキュリティドメインに必要な具体的なセキュリティ設定
- Postmanを使ったAPIのテスト
みなさんも試せるワークショップなのでぜひ!
ワークショップをやってみた
こちらのワークショップは3年目になるワークショップとのことで、都度最新の改良をかせねて講演されているものになります。
ワークショップの概要はこちらです。
12のモジュールがあり、各モジュールごとにサーバレスウェブアプリケーションのセキュリティを向上させるようなシナリオになります。Expectionにも記載されている通り、時間内(2時間)にすべてのモジュールは完了しないため、各々の許される時間の中で好きなモジュールを体験するワークショップになります。
- Module 1: Auth
- Module 2: IAM
- Module 3: Amazon Verified Permissions
- Module 4: Secrets
- Module 5: Inpute validation
- Module 6: Dependency vulneravility
- Module 7: Inspector
- Module 8: Encryption in transit
- Module 9 Usage plans
- Module 10: AWS WAF
- Module 11: Amazon GuardDuty
- Module 12: AWS X-Rey
私はModule 1から初めてModule 3まで体験することができました。
Module 1ではCognitoのカスタムスコープ、Lambda オーソライザー 、PostmanによるAPI操作操作。Module 2ではIAM Access Analyzerを使った最小特権管理ポリシーの作成方法。Module 3ではVerified Permissionsを使ったアプリケーションコード開発を学べました。
ワークショップが終わった直後であれば、AWS提供の環境がまだ触れるのでより自分の気になるModuleをギリギリまで体験するのがいいと思います。
こちらのワークショップは11/28(火)も再演しているワークショップになるので、事前に受ける方は実施前にやりたいModuleを決めておくといいと思います。
最後に
サーバレスアプリケーションに対するセキュリティが網羅的にまとめられているワークショップで実案件ですぐに活かせそうなワークショップでした!
時間の都合上すべて体験できていないですが、今後すべてのModuleを触ってみたいと思えるワークショップだったのでぜひ体験いただければと思います!
以上、たかやま(@nyan_kotaroo)でした。
2
