AWS Startup Community
スタートアップの人たちに捧ぐ監視再入門 in AWS
資料
参考書籍
感想
「なぜサービスを監視するのか?」
「ただログを取って終わりにしていないか?」
「収集するツールの選定で満足していないか?」
「大量通知の中に重要な通知が埋もれていないか?」
「監視をしていないなら、監視しよう」
過去に自分の経験の中で「うっ...」思い当たる節がありました。
監視計画に沿って、必要な監視ツールと実装 という改めて導入をする機会と遭遇した場合に、気を付けようと思いました。
エンジニアと気軽に繋がれるプラットフォーム「ハッカー飯」で行ったセキュリティ・モニタリングに関する取り組みについて
資料
参考情報
感想
LightSailを使ったサービス展開をされていました。
また、AWS rootアカウントを使って作業をしている中で AWS SSOへの移行、
また監視もCloudWatchと3rd-Party(ハッカー飯ではNew Relic)のそれぞれ、
複数AWSアカウントの管理等を踏まえて、3rd-Partyを選択するなど参考になりました。
なるべく楽したいAWSセキュリティ
資料
参考情報
- WafCharm
- VAddy
- Qiita - AWS環境における脅威分析と観点洗い出し
- Zenn.dev - AWS WAF の検知結果を Slack 通知して誤検知に対処しよう
- Github - Configuring Dependabot security updates
- Github - AWS Copilot CLI
- AWS Blog - Amazon EC2 および AWS Fargate 上の Windows コンテナにアクセスするための Amazon ECS Exec のご紹介
- AWS Blog - AWS Copilot を使用して、AWS Fargate で実行されるコンテナのインタラクティブシェルに接続する
- AWS Blog - AWS Copilot CLI を使用した永続性を持つ AWS App Runner サービスの継続的ワークフローの実現
- AWS Blog - Amazon Inspector を使用した Amazon ECR プライベートレジストリでのコンテナスキャンの更新
- AWS Docs - Amazon ECR 拡張スキャン
感想
「自身のサービスがどういったパターンのセキュリティ脅威にさらされるか?」を洗い出し、 それに応じた対策を取られていました。
また、細かい部分をマネージドサービスに任せるため、Copilot CLIを活用したユースケースを聞くことができて、参考になりました。
さらに脅威対策でWAFを導入しているものの、
アプリケーションデプロイ時に作成されるエンドポイントの変化にホワイトリスト登録が追いつかず、
Production環境のアプリに到達できない事象にハマった経験から、
ブロックされたことを通知するようにしたという知見も共有頂けて、
普段運用していない自分からするととても参考になりました。
スタートアップ入社4日目までに考えたAWSのセキュリティ向上
資料
参考書籍
参考情報
- GoogleアカウントからSAML認証でAWSにログインする
- IPA - セキュア・プログラミング講座
- セキュア・プログラミング講座 -> 脅威モデリング
- STRIDE
- S: なりすまし(Spoofing Identity)
- T: 改ざん(Tampering with data)
- R: 否認(Repudiation)
- I: 情報の漏洩(Information Disclosure)
- D: サービス妨害(Denial of Service)
- E: 権限昇格(Elevation of Privilege)
- STRIDE
- セキュア・プログラミング講座 -> 脅威モデリング
- Github -terraform-aws-sso
- NTT - OODAループ
その他参考情報
- AWS Docs - AWS Well-Architected
- AWS Docs - クロスアカウントクロスリージョン CloudWatch コンソール
- AWS Blog - Google Workspace を用いて AWS へのフェデレーティッド シングルサインオンをセットアップする方法(Organizations未使用)
- AWS Blog - How to use G Suite as an external identity provider for AWS SSO(Organizations使用)
- Azure AD - チュートリアル: Azure AD SSO と AWS Single-Account Access の統合(Organizations未使用)
感想
限られた時間の中で、現状の把握から対策、合意、アクションを取る上で必要な考え方のフレームワークを共有頂けて参考になりました。
またそれを表題にあるように4日間という短期間で実践されているというところで、着実に進める一方でスピード感も必要という、
個人的には経験がないことを伺えたことはとても参考に なりました。
Workshop(実際に手を動かす)関連
- AWS Hands-on for Beginners - アカウント作成後すぐやるセキュリティ対策
- AWS Workshop - AWS 環境における脅威検知と対応
- AWS Workshop - GUARDDUTY & SESSION MANAGER
- AWS Workshop - Getting Hands on with Amazon GuardDuty
- AWS Workshop - One Observability Workshop
- AWS Workshop - Performance Insights for RDS
当日の自分のTweet chain
感想
なんとなく知っていることの更新や、全く知らなかったことが一気に入ってきた2時間でした。
完全に自分で後から見返すようにまとめた内容ですが、どなたかの参考になっているとしたら幸いです。