AWS re:Inforce 2023 Keynote での新発表まとめメモ

2023/6/13 ～ 14 までAWS re:Inforce 2023 がカリフォルニア州アナイハイムで開催されています。
re:Inforce はクラウドセキュリティ、コンプライアンスに特化したテクノロジーカンファレンスです。

現地時間 6/13 の基調講演で新しくアナウンスされた内容をメモしています。

YouTube でアーカイブも配信されれています。

AWS Verified Permission の GA を発表

• アプリケーション内のきめ細かい権限と認可の管理を行うためのサービス
• Amazon Cognito などの IdP と一緒に利用し、カスタムアプリーケーション内での権限管理を外部化できる
• AWS re:Invent 2022 で発表され、これまでは Private Preview として提供されていた
• 中国を除くすべての商用リージョンで一般利用可能に

EC2 Instance Connect Endpoint の発表 (GA)

• EC2 Instance Connect エンドポイントを使用すると、パブリック IPv4 アドレスを持たせることなく、SSH または RDP 経由でインスタンスに接続できる
  • 要はプライベートなインスタンスにマネコンや CLI から EC2 Insntance Connect で接続できるようになった
• VPC Endpoint として作成する
  
• IAM ベースでEC2 Instance Connect Endpoint 経由で接続可能なインスタンスを制御できる
• エンドポイントは VPC 内のプライベート IP が払い出されるため、セキュリティグループなどのネットワークベースの制御も組み合わせることができる
• 接続履歴はもちろん CloudTrail に記録される

Amazon Inspector Code Scans for AWS Lambda function の GA を発表

• Lambda 関数 のアプリケーションコードをスキャンして、インジェクションの欠陥、データ漏洩、弱い暗号化、または暗号化の欠落などのコードセキュリティの脆弱性を検知する
• 2023/2/28 に発表され、Preview 扱いだった
• 対応リージョンが東京リージョンを含む 10 リージョンに拡大

Amazon Inspector SBOM Export の発表 (GA)

• Inspector がサポートしているリソース (EC2/コンテナイメージ/Lambda 関数) の SBOM を Export できるように
  • SBOM (Software Bill Of Materials：ソフトウェア部品表) とはソフトウェアを構成するライブラリやモジュール、およびその依存関係といった情報をもつインベントリー
  • SBOM によって構築または使用しているソフトウェアに関連するライセンスおよびセキュリティリスクを把握しやすくなる
• 代表的なフォーマットである SPDX / CycloneDX 両方のフォーマットでの出力に対応
• リソースタイプやタグなど任意のフィルターを設定し、簡単に S3 バケットに Export できる
  

AWS Built-In Partners Program の発表 (Preview)

• AWS のサービスと組み合わせた検証済みのパートナーソフトウェアを検索、購入し、迅速にデプロイできるようにするためのプログラム
• パートナーソフトウェアを導入する際に必要な周辺 AWS サービスのデプロイについても IaC などにより自動化され、簡単に利用できるようにするのが目的
• AWS による事前レビューによりベストプラクティスに沿っていることが保証される
• 現在は Preview 段階で、パートナーのプログラムへの参加は招待制、Makertpalce 上での対応パートナーソリューションの購入は 7 月末に可能になる予定

AWS Global Partner Security Initiative の発表 (GA)

• AWS とグローバルシステムインテグレーターが提携し、セキュリティソリューションとマネージドサービスを共同開発する取り組みを発表

本日、AWS は AWS Global Security Initiative を発表します。これは、グローバル システム インテグレーター (GSI) パートナーに、革新的で変革的なセキュリティおよびコンプライアンス サービスを AWS と共同開発する機会を提供し、Generative AI の力を活用して実用的なセキュリティ データの提供を約束します。この取り組みは、リスクを軽減し、規制義務を満たすためにサイバー回復力のある環境を求めるマルチクラウド企業向けのセキュリティ サービスとマネージド サービスに焦点を当てています。

AWS CodeGuru Security の発表 (Preview)

• コードの脆弱性を特定し、修復のガイダンスを提供する機械学習ベースの静的解析 (SAST) ツール
• 言語は Python、Java、および JavaScript をサポート
• Lambda 関数のコードスキャン、Amazon CodeWhisperer のセキュリティスキャン機能は CodeGuru Secueirty と統合されている
• Preview 期間中は無料で利用可能

Amazon Detective for Finding Group の拡張

• Finding Group は機械学習とグラフ理論により、何千もの離散的な調査結果を、関連するセキュリティイベントに抽出する機能
• GuardDuty の Findings に加えて、Amazon Inspector からネットワーク到達可能性とソフトウェアの脆弱性のFindings も含むように Finding Group が拡張された