☁️くもをもくもくまなぶ

AWS Startup Tech Meetup Online #12 (2022/05/10 19:30〜)

# スタートアップ事例祭り AWS Startup Community 主催の技術系オンラインイベントで、スタートアップのエンジニアの交流や知見の共有を目的としています。 AWS を利用するスタートアップのエンジニア及びスタートアップに興味のあるエンジニアであれば役職によらず、どなたでもご参加いただけます。 ※ より登壇しやすくなることを目的にイベント名をリブランドしてみました。 ## 今回のテーマは「監視・モニタリング・セキュリティ」 今回のテーマは 監視・モニタリング・セキュリティ です。 人・カネ・ものの足りないスタートアップにおいて、どのように工夫しているか発信して頂…

https://aws-startup-community.connpass.com

~スタートアップの人たちに捧ぐ~ 監視再入門 in AWS - Speaker Deck

https://speakerdeck.com

「なぜサービスを監視するのか？」
「ただログを取って終わりにしていないか？」
「収集するツールの選定で満足していないか？」
「大量通知の中に重要な通知が埋もれていないか？」
「監視をしていないなら、監視しよう」
過去に自分の経験の中で「うっ...」思い当たる節がありました。

監視計画に沿って、必要な監視ツールと実装 という改めて導入をする機会と遭遇した場合に、気を付けようと思いました。

エンジニアと気軽に繋がれるプラットフォーム「ハッカー飯」で行った セキュリティ・モニタリングに関する取り組みについて - Speaker Deck

https://speakerdeck.com

• ハッカー飯
• New Relic - Apdex：ユーザー満足度の測定

LightSailを使ったサービス展開をされていました。
また、AWS rootアカウントを使って作業をしている中で AWS SSOへの移行、
また監視もCloudWatchと3rd-Party（ハッカー飯ではNew Relic）のそれぞれ、
複数AWSアカウントの管理等を踏まえて、3rd-Partyを選択するなど参考になりました。

Embed

Slides

https://slides.com

• WafCharm
• VAddy
• Qiita - AWS環境における脅威分析と観点洗い出し
• Zenn.dev - AWS WAF の検知結果を Slack 通知して誤検知に対処しよう
• Github - Configuring Dependabot security updates
• Github - AWS Copilot CLI
• AWS Blog - Amazon EC2 および AWS Fargate 上の Windows コンテナにアクセスするための Amazon ECS Exec のご紹介
• AWS Blog - AWS Copilot を使用して、AWS Fargate で実行されるコンテナのインタラクティブシェルに接続する
• AWS Blog - AWS Copilot CLI を使用した永続性を持つ AWS App Runner サービスの継続的ワークフローの実現
• AWS Blog - Amazon Inspector を使用した Amazon ECR プライベートレジストリでのコンテナスキャンの更新
• AWS Docs - Amazon ECR 拡張スキャン

「自身のサービスがどういったパターンのセキュリティ脅威にさらされるか？」を洗い出し、 それに応じた対策を取られていました。
また、細かい部分をマネージドサービスに任せるため、Copilot CLIを活用したユースケースを聞くことができて、参考になりました。

さらに脅威対策でWAFを導入しているものの、
アプリケーションデプロイ時に作成されるエンドポイントの変化にホワイトリスト登録が追いつかず、
Production環境のアプリに到達できない事象にハマった経験から、
ブロックされたことを通知するようにしたという知見も共有頂けて、
普段運用していない自分からするととても参考になりました。

スタートアップ入社4日目までに考えたAWSのセキュリティ向上/ Startup AWS Security - Speaker Deck

https://speakerdeck.com

• GoogleアカウントからSAML認証でAWSにログインする
• IPA - セキュア・プログラミング講座
  • セキュア・プログラミング講座 -> 脅威モデリング
    • STRIDE
      • S: なりすまし(Spoofing Identity)
      • T: 改ざん(Tampering with data)
      • R: 否認(Repudiation)
      • I: 情報の漏洩(Information Disclosure)
      • D: サービス妨害(Denial of Service)
      • E: 権限昇格(Elevation of Privilege)
• Github -terraform-aws-sso
• NTT - OODAループ

• AWS Docs - AWS Well-Architected
• AWS Docs - クロスアカウントクロスリージョン CloudWatch コンソール
• AWS Blog - Google Workspace を用いて AWS へのフェデレーティッド シングルサインオンをセットアップする方法（Organizations未使用）
• AWS Blog - How to use G Suite as an external identity provider for AWS SSO（Organizations使用）
• Azure AD - チュートリアル: Azure AD SSO と AWS Single-Account Access の統合（Organizations未使用）

限られた時間の中で、現状の把握から対策、合意、アクションを取る上で必要な考え方のフレームワークを共有頂けて参考になりました。
またそれを表題にあるように4日間という短期間で実践されているというところで、着実に進める一方でスピード感も必要という、
個人的には経験がないことを伺えたことはとても参考に なりました。

• AWS Hands-on for Beginners - アカウント作成後すぐやるセキュリティ対策
• AWS Workshop - AWS 環境における脅威検知と対応
• AWS Workshop - GUARDDUTY & SESSION MANAGER
• AWS Workshop - Getting Hands on with Amazon GuardDuty
• AWS Workshop - One Observability Workshop
• AWS Workshop - Performance Insights for RDS

なんとなく知っていることの更新や、全く知らなかったことが一気に入ってきた2時間でした。
完全に自分で後から見返すようにまとめた内容ですが、どなたかの参考になっているとしたら幸いです。