AWS_reInforce_2022_reCap_Ja.pdf

1. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 re:Cap Hayato Kiriyama | 桐山隼人 Head of Security Sales, Japan, Worldwide Specialist Organization

2. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 動画や資料へのリンク [AWS Security Blog] AWS re:Inforce 2022: Key announcements and session highlights https://aws.amazon.com/blogs/security/aws-reinforce-2022-key-announcements-and-session-highlights/ セッション録画へのリンク AWS re:Inforce 2022 Keynote Leadership Sessions Data Protection and Privacy track Governance, Risk, and Compliance track Identity and Access Management track etwork and Infrastructure Security track Threat Detection and Incident Response track Partner Lightning Talks セッション資料へのリンク AWS Event Contents

4. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWSセキュリティとコンプライアンスに関する最大規模のカンファレンス 2022年7月25, 26日にボストンで開催され6000人以上が参加した • 参加者は基本的な内容は知っているという前提で、セッションを構成 • Circuit trainingという新しい学習形態の実施。45分毎に3つのパートをローテーション • ソリューションを学ぶ • どのように活用されるかを見る • 自分でサンプル実装してみる • インシデントレスポンストレーニングなどで実施されるやり方

5. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote Amazon GuardDuty は毎日学習しているサービス。企業毎に独自のセキュリティ検出事項を作成するより、Amazon の規模で学習している検出事項を活用しましょう • AWS では毎日50個の問題報告チケットや機能開発要望に対処 • 毎日ある10億のユースケースの中で、1つでも日常業務に影響を与えるものがあれば学習に取り込む • Amazon では毎月何千兆ものイベントを追跡 • 未知の脅威が発見されても、AWS 利用者にとって数分後、数時間後には既知になっている “At our scale, every outlier scenario that can happen does” – Stephen Schmidt, Amazon CSO

6. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS にいるセキュリティガーディアンとは、セキュリティ専門チームではなく、開発チームにいるエンジニアなど。セキュリティは運用だけでなく開発サイクルから • セキュリティガーディアンはサービス開発の最初から関与 • AWS のやり方を AWS 利用者の皆様にもお勧めしたい • MongoDB 社が実施しているセキュリティチャンピョンプログラムも同様の取り組み

8. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote ビジネス責任者がセキュリティ責任者でなくてはならない。セキュリティ専門家はビジネス責任者と定期的に接し、セキュリティニーズが満たされているか確認する • とある買収した会社との最初のセキュリティミーティングで、買収先企業からセキュリティ責任者しか現れなかった • CEO がすぐにミーティングを中断し、セキュリティオーナーシップは組織全体の問題と語り、ビジネス責任者の出席を求めた • 10分後、買収先ビジネス責任者が中央最前列に座っていた。次の10分間はセキュリティ文化を醸成する方法を議論した “We have a weekly security meeting with our CEO. It’s a meeting, but more than that. It’s actually a mechanism that reinforces our security culture” – CJ Moses, AWS CISO

10. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS の新しいセキュリティコンピテンシーパートナープログラムの発表 AWS Level 1 MSSP パートナーはフルマネージド型セキュリティサービスを提供 [AWS Level 1 MSSP Competency Partner: SKYARCH NETWORKS INC] https://partners.amazonaws.com/partners/001E000000dI8zwIAC/

11. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS Marketplace Vendor Insight の Preview が開始ベンダー評価が効率的に継続的に行われ、管理画面上で評価結果を参照できる • AWS Config や AWS Audit Manager を利用した評価結果を表示 • SOC 2 や ISO 27001 などの第三者機関監査による認証結果も表示 • これらにより、AWS 利用者が8週間から 10週間の調達サイクルを短縮できるようにすることが目標

12. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS 環境上のワークロードの PCI DSS 準拠に関するアシュアランス、リスク、コンプライアンス専門家向け学習プログラム • 情報システム監査などの国際団体である ISACA との共同開発 • PCI DSS 3.2.1(2022年7月時点最新)の12 要件を基にした教育コンテンツとワークショップ

13. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote AWS でも使用しているセキュリティ意識向上トレーニングの無償公開アカウント保護には多要素認証(MFA)セキュリティキーの使用を強く推奨 • 米国在住かつ過去90日間毎月$100以上利用者には無償で MFA セキュリティキーを提供 • 上記条件に該当しない場合でも以下から MFA キーを調達することを推奨 • https://aws.amazon.com/jp/iam/featur es/mfa/ MFA Token Ordering Portal https://console.aws.amazon.com/securityhub/home/#/free-mfa-security-key

14. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote 脅威モデリングの背景やツール、テクニックを基に、システム設計、脅威特定、緩和策の選定などを学ぶワークショップ • 脅威モデルを考慮してサービスを設計構築する際の基本(Level 100)を学ぶ • AWS Workshop Studio や AWS Skill Builder からアクセス可能 • ワークショップ完了目安約3時間 • 少人数グループでの実施を推奨 [AWS Workshop Studio] Threat modeling the right way for builders https://catalog.workshops.aws/threatmodel/

15. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote NIST (米国立標準技術研究所)が発表したポスト量子暗号標準を AWS はサービス設計に取り入れている。ハイブリッドポスト量子暗号鍵交換を一部サービスで利用可能 • 量子コンピューティング時代の暗号化方式を検討する時期に来ている • ハイブリッドポスト量子暗号鍵交換を s2n(signal-to-noise)ライブラリに実装 • TLS 接続オプションとして、このようなポスト量子暗号アルゴリズムを以下、 3サービスで選択可能(今後サポート対象は拡大予定) • AWS Key Management Service • AWS Certificate Manager • AWS Secrets Manager [GitHub] aws/s2n-tls https://github.com/aws/s2n-tls

16. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS re:Inforce 2022 Keynote • データ保護要件をスケールする環境で継続的に満たすにはAWS KMSの利用 • 自動推論による証明可能なセキュリティは多くの検証や評価を容易にした* • リソース所有するアカウント自体を保護するにはMFAがベストプラクティス *IAM Access Analyzer, VPC Network Access Analyzer, VPC Reachability Analyzer, CodeGuru, S3 Block Public Access, Inspector Network Reachability

19. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Roles Anywhere とは ▪ AWS 環境外にあるワークロードから AWS リソースにアクセスさせる仕組み ▪ AWS 環境と同じ IAM ポリシーとルールを使用できる ▪ 一時的なクレデンシャルを得るため X.509 証明書を Root of Trust (信頼の基点) として使用する IAM Roles Anywhere IAM roles + = AWS 環境外のワークロード

20. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Roles Anywhere を何故使うべきか? 安全性一時的クレデンシャルを得ることで、AWS アクセスキーを長期間保持する必要がなくなる運用コストの削減既存 AWS ワークロードと同じアクセス管理、デプロイパイプライン、テストプロセスを使用できる効率的な移行 AWS環境外ワークロードの AWS環境への移行を簡単にする

21. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. 公開鍵基盤 (Public key infrastructure) Certificate authority (CA) Private key Workloads Issue IAM Roles Anywhere X.509 certificate Use Sign with

22. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Roles Anywhere の利用 Outside of AWS AWS Cloud Applications Hybrid cloud use cases Compute Lambda function Bucket Model Container Task Table Data lake Encrypted data Instance Public key infrastructure (PKI) IAM Roles Anywhere

24. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Detective 新機能 • Amazon Detective は Amazon Elastic Kubernetes Service (Amazon EKS) クラスタに対するセキュリティ調査において、コンテナワークロードに対する潜在的な脅威を表す疑わしい振る舞いを分析・調査し、根本原因を特定します EKSクラスタにまつわるセキュリティ検出事項、たとえば、暗号通貨マイニング、意図しない管理者権限の露出、EC2ノードへのアクセスを許す間違ったコンテナ構成、コンテナクラスタの感染時によくある特徴的な振る舞い、などを調査 Amazon EKS 特有の活動、たとえば、Podのボリュームの特徴やコンテナサービスユーザーアクティビティなどのEKS クラスタ内外の逸脱した振る舞いを確認 [AWS re:Inforce 2022 Session] Using Amazon Detective to improve security investigations https://www.youtube.com/watch?v=vd_VHg6-xWc&t=941s

25. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Detective がサポートする EKS リソース EKS audit logs CloudTrail Flow logs GuardDuty findings EKS cluster X X X X Kubernetes pod X X Container image X X Kubernetes subject X X AWS account X X X X IAM user X X X IAM role X X X Role session X X X X EC2 instance X X X X IP address X X X X User agent X X S3 bucket X X 新しい検出結果タイプ

27. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. エージェントインストール、更新、管理の必要なしパフォーマンス影響や EC2分の隠れたコスト増も無いワンクリックで組織全体にマルウェアファイル検知を有効化統合された自動的な監視・調査コンテキストベースの検出で疑わしい振る舞いを検証コンテナ対応 Amazon GuardDuty Malware Protection D E L I V E R S A G E N T L E S S D E T E C T I O N O F M A L W A R E O N A W S W O R K L O A D S [AWS re:Inforce 2022 Session] Introducing Amazon GuardDuty Malware Protection https://www.youtube.com/watch?v=9wCxAZtrjpw

28. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. GuardDuty Malware Protection の対象範囲 • GuardDuty が潜在的に感染した可能性のある Amazon EC2 インスタンスの活動を検知すると自動的にスキャン開始 • 一つのEC2インスタンスにおけるスキャン間隔は24時間。GuardDuty による検出が複数回あったとしても、前回のスキャンから24時間未満であれば追加のスキャンは開始されないマルウェアスキャンの実行タイミング Amazon EC2 instances Amazon EC2 対象範囲 Amazon ECS Amazon EKS Amazon EC2 上で独自に管理しているコンテナ

29. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Security Hub でのデータの流れ GuardDuty Malware Protection 検出結果も統合その他、AWS パートナーソリューションその他、AWS サービス修正アクション Findings 対応パートナーその他、AWS パートナーソリューションその他、AWS セキュリティサービス

31. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Amazon Macie : Amazon S3 オブジェクト内の機微なデータをワンクリックで一時的に参照可能に • セキュアに Amazon S3 オブジェクト内の機微データを調査・検証し、必要なアクションを素早く取れる • この新機能で取得される全ての機微データは、 AWS Key Management Service (AWS KMS) のカスタマーマネージドキーで暗号化され、Amazon Macie 管理画面から一時的に参照できる

33. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. 多機能のコラボレーション製品低帯域幅環境も考慮した多種デバイス(モバイル、デスクトップ)アクセスエンタープライズ向け管理者用コントロールや IT統合データ保持やプライバシー保護などのコンプライアンスサービス認証連携したSaaS、独自ホスト、エアギャップなどのデプロイオプション最先端のエンドツーエンド暗号化 VPNや特別なソフトウェアがなくても個人端末からセキュアに運用 AWS Wickr [AWS re:Inforce 2022 Session] Using AWS Wickr (preview) for secure communications https://www.youtube.com/watch?v=nbHPWK5NR-4

34. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. 更に拡張性高くアクセスしやすく使いやすくサービス品質サポートデリバリーの向上進化したセキュリティ機能開発者ツールデータ駆動型のツールとシステム利用者がデータアクセスを完全に統制 Better together. ゼロトラストに対するより強力なサポート効果的なインシデントレスポンス

36. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS WAF SQLi ルールの感度レベル追加 • 高・低 2種類の感度レベルを提供 • 現行 SQLi ルールのデフォルト値は低感度 • 高感度ルールはより多くのSQLi シグニチャが有効 • 高感度ルールを推奨 [AWS Japan Blog] AWS WAF で SQL インジェクションルールステートメントの感度レベルを追加 https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws-waf-sensitivity-alevels-sql-injection-rule-statements/

38. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS Network Firewall Prefix Lists [AWS Japan Blog] AWS Network Firewall が VPC プレフィックスリストのサポートを開始 https://aws.amazon.com/jp/about-aws/whats-new/2022/07/aws-network-firewall-vpc-prefix-lists/

40. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS SSO は AWS IAM Identity Center へ • 従業員のIDの作成や接続を一元的に管理し、AWS 環境に安全にアクセスさせる • 使用する IDソースは自由に選択可能 • マルチアカウント環境にて、拡張性に富んだきめ細かいアクセス許可を管理 • AWS やその他クラウドのアプリケーションへ割り当てるアクセスを管理変更されたものサービス名コンソール名コンソールナビゲーションの改善変更されていないもの技術的な変更無し API の変更無し

41. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. AWS IAM Identity Center 動作概要 One place for workforce identities Identity Center directory Microsoft Active Directory Domain Services Okta Universal Directory Microsoft Azure Active Directory Other SAML 2.0 & SCIM 2.0 compatible IdP One place to manage permissions Access AWS accounts One place to manage application access Access AWS integrated apps SAML 2.0 apps Authenticate Sync Multi-account permissions Application assignments Choose your identity source

42. © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Top 5 Attended Sessions • AWS Identity and Access Management (IAM) deep dive • Crawl, walk, run: Accelerating security maturity • What’s new with AWS threat detection services • An overview of AWS firewall services and where to use them • Automating patch management and compliance using AWS

AWS_reInforce_2022_reCap_Ja.pdf

Du liest eine Vorschau.

Hier ansehen

AWS_reInforce_2022_reCap_Ja.pdf

Weitere Verwandte Inhalte

Diashows für Sie (20)

Ähnlich wie AWS_reInforce_2022_reCap_Ja.pdf (20)

Weitere von Hayato Kiriyama (18)

Aktuellste (20)