Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS Black Belt Online Seminar 2018 ReInvent recap security other

14,225 views

Published on

20180124 AWS BlackBelt re:Invent 2017 Security-other-recap

Published in: Technology
  • Be the first to comment

AWS Black Belt Online Seminar 2018 ReInvent recap security other

  1. 1. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. アマゾン ウェブ サービス ジャパン株式会社 シニアマネージャー/プリンシパルソリューションアーキテクト 荒木 靖宏 シニアセキュリティソリューションアーキテクト 桐山 隼人 2018.01.24 【AWS Black Belt Online Seminar】 re:Invent Recap: Security and Other
  2. 2. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 内容についての注意点 • 本資料では2018年1月24日時点のサービス内容および価格についてご説明しています。最新の情報 はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認ください。 • 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価格に相違が あった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 • 価格は税抜表記となっています。日本居住者のお客様が東京リージョンを使用する場合、別途消費 税をご請求させていただきます。 • AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided.
  3. 3. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Security update
  4. 4. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. @hkiriyam1 氏名: 桐山隼人 役割: セキュリティソリューションアーキテクト 業務: 顧客提案、ソリューション開発、市場開拓 プロフィール: 外資系総合IT会社の開発研究所にて開発エンジニア、 セキュリティベンダーにて技術営業を経た後、現職。 CISSP, CISA, ITIL, PMP, MBA, セキュリティ関連特許多数。 クラウドセキュリティに関するセミナー登壇・記事寄稿など。 自己紹介 RSA Conference 2017 APJ 「Cloud Security Strategy」 Session Speaker AWS Startup Security Talks 「セキュリティ意識が低いCEOは あり得ない」(ITpro) AWS Summit Tokyo 2017 「AWSで実現するセキュリティ・オートメー ション」(マイナビニュース) 「IoTビジネスとセキュリティを 3段階と4要素で理解する」寄 稿
  5. 5. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 43,000 名以上の参加者 60,000 名以上の ライブストリーミング視聴者 1,300 以上のセッション AWS re:Invent 2017 (2017年11月27日-12月1日)
  6. 6. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 11/28 TUESDAY NIGHT LIVE
  7. 7. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 11/28 TUESDAY NIGHT LIVE 人はソリューションの一部になりたいのであり、問題の一部 になりたい訳ではありません。 人をデータから離すことで問題は起きづらくなります。 リスクに対する良い判断は人間だけができるのであり、私達 がすべきことはそのためのツールを作ることです。
  8. 8. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 11/29 基調講演
  9. 9. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 11/29 基調講演 機密情報が第三者のデータセンターにあったとしても、デー タに対する統制権を失うことは考えられません。 「重要なのは、自分が金庫の鍵を持つことです。」そのことを AWSに話すと、AWSはすぐさまBYOK (Bring Your Own Key)アーキテクチャーの要件を定義しました。
  10. 10. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 11/30 基調講演
  11. 11. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 11/30 基調講演 もはやセキュリティチームなんてないのです。 実際、全員がセキュリティエンジニアであり、 その中心は開発者なのです。 イノベーションのスピードにはセキュリティのスピードが必要 であり、その最良なやり方は自動化です。
  12. 12. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. お客様の データ IDと アクセス管理 発見的統制 インフラ ストラクチャー 保護 データ 保護 インシデント レスポンス リスクと コンプライアンス お客様のデータを守るAWSセキュリティ
  13. 13. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IDとアクセス管理
  14. 14. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 新しいIAMポリシーのビジュアルエディタで ポリシー記述が容易に • AWS IAMのコンソールにてGUIによる操作でルールを記述できるポ リシーエディタが新たに利用可能に • 許可・拒否するアクションの指定や条件を定義するconditionの設定 も可能なので、最小権限付与の原則を守りやすくなる https://aws.amazon.com/jp/about-aws/whats-new/2017/11/use-the-new-visual-editor-to-create-and-modify-your-aws-iam-policies/
  15. 15. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Single Sign-On (SSO) の提供開始 • AWS アカウントとビジネスアプリケーションへの シングルサインオン (SSO) を提供するマネージドサービス 複数 AWS アカウントのコ ンソールに SSO アクセス 簡単に利用を 始めれる 既存の社内 ID 基盤 (Active Directory) を活用する ビジネス アプリケーションに SSO アクセス [AWS Single Sign-On (SSO)] https://aws.amazon.com/jp/single-sign-on/
  16. 16. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 発見的統制
  17. 17. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon CloudWatch アラームのアップデート https://aws.amazon.com/jp/about-aws/whats-new/2017/12/amazon-cloudwatch-alarms-now-alerts-you-when-any-m-out-of-n-metric-datapoints-in-an-interval-are-above-your-threshold/ • 今回の発表により、メトリクスの N 個のデータポイントのうち M 個が所定のしきい値を超えた場合に警告する CloudWatch アラームを作成可能に • 例えば、5 分間隔でメトリックスを取得している場合、データ ポイント 5 回のうち 3 回が閾値を超えた場合、アラートを上げる、という 設定が可能
  18. 18. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon CloudWatch ログが KMS 暗号化をサポート https://aws.amazon.com/jp/about-aws/whats-new/2017/12/amazon-cloudwatch-logs-now-supports-kms-encryption/ • CloudWatch Logs に保存されたログデータを AWS Key Management Service (KMS) を使って暗号化可能に • CMK (カスタマーマスターキー)とロググループを関連付けることにより ロググループレベルで暗号化を有効化可能 • ロググループの新たに取り込まれたすべてのデータが CMK を使用し て暗号化
  19. 19. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon CloudWatch とAWS Systems Manager の エージェントが統合 https://aws.amazon.com/jp/about-aws/whats-new/2017/12/amazon-cloudwatch-introduces-a-new-cloudwatch-agent-with-aws-systems-manager-integration-for-unified-metrics-and-logs-collection/ • Cross-Platform / Cross-Environment • Cloud/Onprem/Windows/Linux 等の環境に依存しない共通な Agent • Single Agent • Metrics, Logs も単一の Agent から CloudWatch に送信可能 • 同時に AWS Systems Manager との連携も可能 • CloudWatch-Friendly (親和性) • 標準の 1 分間隔メトリクスも、新しい 1 秒間隔の高解像度メトリクスもサポート • Migration • 簡単に新しいエージェントに移行できるプロセス
  20. 20. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS CloudTrail にAWS Lambda 関数の 実行ログ機能を追加 • CloudTrail Lambda データイベント機能にてLambda関数の実行ログを取得可能に – 関数がいつ誰によって作成、変更、削除されたかという情報 – Lambdaデータイベントの記録 – どの関数が実行されたか – いつ誰がどのAPIコールを呼び出したのか • 全てのLambdaデータイベントは S3 や CloudWatch Events に送出可能 • 設定 – AWS CloudTrailコンソールやAWS CLI、SDKを使うことで、AWS Lambdaデータイベント機能を有効化可能 – 既存のトレールを編集することで設定可能 • リージョン – 全てのリージョン(GovCloud, 中国リージョン含む) https://aws.amazon.com/jp/blogs/news/aws-cloudtrail-adds-logging-of-execution-activity-for-aws-lambda-functions/
  21. 21. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 継続的なセキュリティ監視と脅威の検知を実現する Amazon GuardDutyを発表 • CloudTrailやDNSのログ、VPC Flow Logs等の データから疑わしいアクティビティを検知する • GuardDutyはAWSが管理する基盤で動作し、エー ジェント等の導入は不要。性能影響もない • サービスが検知したイベントは重要度に応じて3レ ベルにラベリングされ、推奨される対策とともに提 示される • 処理したログ量に応じた課金体系。30日の無料試 用により実績量を測定できる • 東京を含む各リージョンで利用可能に [Amazon GuardDuty] https://aws.amazon.com/jp/guardduty/
  22. 22. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. インフラストラクチャー保護
  23. 23. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS WAFでパートナーの提供による マネージドルールが利用可能に • パートナーが管理するマネージドルールを利用す ることで、ウェブアプリやAPIの保護を即座に開始 することができるように • 現時点でAlert Logic, Fortinet, Imperva, Trend Micro, TrustWaveなどセキュリティのエキスパート がルールを提供 • AWS Marketplaceを通じて調達でき、従量制の料 金で利用可能。長期契約は必要ない • ルールの適用はAWS WAFのコンソールからも [AWS WAF Managed Rules] https://aws.amazon.com/jp/mp/security/WAFManagedRules/
  24. 24. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Shieldグローバル脅威環境ダッシュボードでAWS 全体における DDoS 攻撃の傾向を把握 https://aws.amazon.com/jp/about-aws/whats-new/2017/11/global-threat-environment-dashboard-view-ddos-attack-trends-across-aws/ グローバル脅威環境 Global threat environment を選択
  25. 25. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Shield Advanced の保護対象に NLB と EC2 が追加 • 従来の CloudFront, CLB/ALB, Route 53 に加えて NLB と EC2 もAWS Shield Advanced による DDoS 保護が可能に • EC2 によりホストされている UDP 等のアプリケーションにもAmazon DDoS Response Team (DRT) のサポートや経済的保護等の利点を活用 可能に https://aws.amazon.com/jp/about-aws/whats-new/2017/11/aws-shield-adds-advanced-ddos-protection-for-ec2-and-network-load-balancer/
  26. 26. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. データ保護
  27. 27. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Lightsailで証明書管理機能を持った ロードバランサーを利用可能に • ロードバランサーを利用することで、HTTPSベース のセキュアなアプリを簡単に構築可能に • SSL/TLS証明書は無料でリクエストでき、有効期限 が近づいたら自動的に更新処理が行われる • Lightsailのロードバランサは自動化されたヘルス チェック結果に従い、正常に動作しているインスタ ンスにトラフィックを振り分ける • ロードバランサの料金は月額18ドル(US価格)。東 京を含む各リージョンで利用可能 https://aws.amazon.com/jp/about-aws/whats-new/2017/11/amazon-lightsail-adds-load-balancers-with-integrated-certificate-management/
  28. 28. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon S3の新しい暗号化と セキュリティ機能を発表 • Amazon S3で暗号化とセキュリティに関わる5つの 機能が追加された – デフォルト暗号化 バケットポリシーを定義することなく、バケットに格納するオブジェクトの暗号化を 強制することが可能に – アクセス許可チェック S3コンソールで公開アクセスが許可されたバケットが容易に分かるようなインジ ケータを表示するようになった – クロスリージョンレプリケーションのACL上書き AWSアカウント間でオブジェクトのレプリケーションをする際に、受け取り側アカウ ントのACLを適用し直すよう設定できるようになった – KMSで暗号化されたオブジェクトのクロスリージョンレプリケーション レプリケーション実行時に送信先で利用するキーを指定可能に – インベントリレポートで暗号化ステータスを出力 日次または週次で出力するインベントリレポートにオブジェクトの暗号化状態を出 力できるようになった https://aws.amazon.com/jp/blogs/news/new-amazon-s3-encryption-security-features/
  29. 29. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. インシデントレスポンス
  30. 30. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. クラウドとハイブリッドリソースの統合管理 AWS Systems Managerを発表 • ハイブリッド環境のリソースやアプリケーションを管 理するための統合インタフェースを提供 • EC2やELBなどタグ付け可能なリソースをグルーピ ングし、ダッシュボード形式でオペレーションに必要 な情報を可視化する • 運用自動化やパッチ適用、パラメータストアとの連 携も可能に • AWS Systems Managerは無料。東京を含む全て のパブリックなリージョンで利用できる [AWS Systems Manager] https://aws.amazon.com/jp/systems-manager/
  31. 31. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. リスクとコンプライアンス
  32. 32. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Inspector の利用開始とセキュリティ評価がより 簡単になる 3 つの新しい拡張機能 • AWS CloudFormation のサポート • Inspector のリソースグループ、評価ターゲット、評価テンプレートを作成可 • AWS::Inspector::ResourceGroup • AWS::Inspector::AssessmentTarget • AWS::Inspector::AssessmentTemplate • Amazon Inspector Agent が事前インストールされた Amazon Linux AMI • Marketplaceから入手可能な Amazon Linux 2017.09 AMI でデプロイを更にすばやく • Service-linked Role • Inspector の IAM ロールを作成して登録する必要がなくなる { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", ], "Resource": "arn:aws:iam::*:role/aws-service-role/inspector.amazonaws.com/AWSServiceRoleForAmazonInspector “ } https://aws.amazon.com/jp/about-aws/whats-new/2017/12/amazon-inspector-announces-aws-cloudformation-support--a-new-ami-pre-installed-with-the-inspector-agent--and-use-of-service-linked-roles/
  33. 33. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Inspector のルールパッケージが OS カーネル バージョンに依存しないで評価可能に • Inspector エージェントがインストールされるカーネルのバージョンに関係なく、サ ポートされる OS 上で以下のルールパッケージが実行可能に • 共通脆弱性識別子 (CVE) • Center for Internet Security (CIS) ベンチマーク • AWS セキュリティのベストプラクティス • 実行時振る舞い分析(Runtime Behavior Analysis)ルールパッケージは、依然としてカーネ ル依存 • サポートする OS カーネルバージョンのリストはこちら https://docs.aws.amazon.com/inspector/latest/userguide/inspector_supported_os_regions.html#inspector_supported-linux-os • サポート対象の Linux OS であれば、デフォルトでないカーネル、古いカーネル、 カスタムカーネルであっても、その評価を実行可能に https://aws.amazon.com/jp/about-aws/whats-new/2018/01/amazon-inspector-no-longer-requires-a-compatible-kernel-for-rules-packages-like-common-vulnerabilities-and-exposures-cve/
  34. 34. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. お客様の データ IDと アクセス管理 発見的統制 インフラ ストラクチャー 保護 データ 保護 インシデント レスポンス リスクと コンプライアンス お客様のデータを守るAWSセキュリティ OrganizationsIAM CloudWatch CloudTrail VPC flow logs WAFsecurity groupKMS CloudHSM Lambda AWS Step Functions Config Service CatalogTrusted Advisor
  35. 35. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. お客様の データ セキュリティもマネージドサービスへ OrganizationsIAM CloudWatch CloudTrail VPC flow logs WAFsecurity groupKMS CloudHSM Lambda AWS Step Functions Config Service CatalogTrusted Advisor AWS Single Sign-On (SSO) Amazon GuardDuty AWS Shield Amazon Macie AWS Systems Manager Amazon Inspector
  36. 36. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. [AWS re:Invent 2017 Security re:Cap セミナー開催報告] http://aws.typepad.com/sajp/2017/12/aws-reinvent-2017-security-recap-seminar-report.html
  37. 37. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoTセキュリティ
  38. 38. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Cogintoの認証機能を強化する Advanced Security Features(ASF)を発表 • アプリケーションのユーザアカウント保護をさ らに強化する機能をベータで提供開始 – 通常と異なるアクセスパターンを検知した際にリスク スコアを設定。それに基づいてアクセスを拒否したり 追加認証を要求できる – Google AuthenticatorやAuthyのような時刻ベースの ワンタイムパスワードを利用可能に – アカウント情報が漏洩したと推測される際に、ユーザ にパスワード変更を促すことができる • バージニア、オハイオ、オレゴン、フランクフ ルト、アイルランド、ロンドンで利用可能 https://aws.amazon.com/jp/about-aws/whats-new/2017/11/announcing-advanced-security-features-beta-for-amazon-cognito/
  39. 39. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS IoT Coreの認証機能を強化 • OAuthなどのトークベンースの認証システムを利用することで、X.509 証明書をデバイスに配置することなくクラウドに接続できるように • X.509証明書で認証を行うとAWS IoT CoreがIAM Roleと紐付いたIAM のクレデンシャルを取得するようになった。これによって複数の認証情 報を管理する必要がなくなり管理がシンプルに • 東京をはじめ、バージニア、オハイ オ、オレゴン、ソウル、シンガポー ル、シドニー、フランクフルト、ダ ブリン、ロンドンで利用可能 [AWS IoT Core] https://aws.amazon.com/jp/iot-core/
  40. 40. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoTデバイスの管理運用を容易にする AWS IoT Device Managementを発表 • 膨大な数のIoTデバイス群のセットアップや監 視、更新、リタイアをまとめて実行可能にする – デバイス登録:工場出荷状態のデバイスを登録するワーク フローをコントロールできる – 管理:大量のデバイス管理のためIoT Device Registoryを 拡張し、階層による管理機能を追加 – 監視:デバイスからのテレメトリ情報をAmazon CloudWatchに連携し、メトリクスの収集や例外値の調査 に活用できる – 遠隔管理:デバイスに対してセットアップや、ソフトウェ アアップデート、工場出荷状態へのリセット、再起動など を実行 [AWS IoT Device Management] https://aws.amazon.com/jp/iot-device-management/
  41. 41. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. IoTデバイス群をさらにセキュアにする AWS IoT Device Defenderの開発が進行中 • IoTデバイスのセキュリティを担保するための 新たなサービスを開発中。詳細は今後発表 • 主に以下のような機能を提供する – 継続的な監査 デバイスがあらかじめ設定したセキュリティポリシーに合致しているか モニタリングする。定期的な実行と任意のタイミングでの実行の双方を サポート – リアルタイムの検知と警告 疑わしいデバイスの挙動を迅速に検知し、アラートを発報する。通常時 のデバイスの振る舞いや通信パターンなどのデータを元に機械学習のテ クノロジを活用 – 迅速な調査と緩和 デバイスの基礎情報や分析結果、自己診断ログなどの情報が提供される。 これを利用して異常なデバイスに対して再起動やアクセス権限の剥奪、 セキュリティパッチの配信やファクトリーリセットが可能に [AWS IoT Device Defender] https://aws.amazon.com/jp/iot-device-defender/
  42. 42. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Other update
  43. 43. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 自己紹介 荒木靖宏 技術スペシャリストのリーダーをしています Linux、IPネットワークからWebサービスまで
  44. 44. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Media Services ストリーミングワークロード向けの マネージドサービス
  45. 45. AWS Media Servicesを発表 • 放送品質レベルのメディアワークロード向け マネージドサービス発表 – AWS Elemental MediaConvert 様々なフォーマットとコーデックをサポートし、ブロードキャストおよびマルチスク リーン配信用ファイルベースのトランスコーディングサービス – AWS Elemental MediaLive ブロードキャストやストリーミング配信用のライブエンコーディングサービス – AWS Elemental MediaPackage 単一の元素材から多種類のデバイスに対してセキュアなストリーミングを行うための ジャストインタイムパッケージサービス。DRMや広告挿入もサポート – AWS Elemental MediaTailor サーバサイド・クライアントサイドにおいて、コンテンツへパーソナライズされた広告 挿入を可能にするサービス – AWS Elemental MediaStore Amazon S3をベースとしたライブおよびオンデマンドビデオ用の高性能 メディア最適化ストレージサービス 全て冗長化済みのマネージドサービス 現在MediaConvert とMediaPackageが Tokyo Regionで利 用可能
  46. 46. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Sumerian VR・AR・3D コンテンツの開発を容易に
  47. 47. © 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved. Amazon Sumerian VR・AR・3D コンテンツの開発を容易に マルチプラットフォームに向けたVR/AR/3Dコ ンテンツを開発するためのツールキット 3Dグラフィクスや特殊なプログラミングの知識 がなくても、リッチなユーザエクスペリエンスを 提供することが可能に UnityのプロジェクトやFBX/OBJ形式のオブ ジェクトをインポートして利用できる
  48. 48. © 2018, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

×