はじめに
2023/12/04開催のJAWS-UG横浜イベントにて、
自分の業務に関わりの深いLTを備忘のため簡潔にまとめました。
※LTの内容と自分のコメントが混ざっているのでLTだけの要約ではないです。
正直re:Inventでアップデートされたサービスを全て追う時間がないので、
こういった機会で知れた/興味を持てた内容をピックアップしてまとめようと思います。
また増えた!?CloudWacthの新機能紹介
Cloudwatchの新機能
Cloudwatch Service(ダッシュボード):
→サービスの健全性・可用性・パフォーマンスをダッシュボードで確認
Cloudwatch Map:
→サービスの状況、依存関係をマップで表示
Cloudwatch SLO:
→サービスを俯瞰してSLI/SLOで異常を検出
Observability Shines a light on costs
オブザーバビリティがコストに光を当てる
→オブザーバビリティはワークロードを可視化するだけでなく、
不要なコストがかかっている所も明確にしていけるみたいな感じ?
CloudWatch Application Signals
AWS上のアプリケーションを自動的に計測し、運用・改善を容易にする
コーディング不要でAPの総合分析が可能なダッシュボードを提供
- 利用対象
- EKS or EC2/オンプレミスでホストされるJavaアプリに限定
- EKS以外はCloudwatchAgentとOpenTelemetoryのインストールが必要
- 主な機能
- Service(ダッシュボード)
- リクエスト成功失敗などの情報
- サービスマップ
- サービスのリクエスト、レイテンシ、障害、依存関係
- ★SLO
- 全てのサービスメトリクスを俯瞰で見れる
- 一定周期でリクエストの成功率が99%以上になっているかなど確認
- 全てのサービスメトリクスを俯瞰で見れる
- SLI
- システムが正常である目標値を設定できる
- SIOとSLIのメリット
- システムにおける重要なふるまいを定義することができる。
- W-Aの信頼性観点にもあるようなアプリケーションが正常である計測評価することが重要
- Service(ダッシュボード)
Amazon Detectiveの最新アップデートを5分でキャッチアップしよう
Amazon Detectiveとは?
Amazon Detectiveはフルマネージド(運用不要)サービスであり、
インシデント発生時に調査を楽にしてくれる頼れるサービス
re:InventにおけるDetectiveのアップデート
全部で4件
- DetectiveがIAMエンティティ侵害の痕跡調査に対応
- DetectiveがGuardDutyのECSランタイム脅威検知の調査に対応
- Detectiveが生成系AIを活用した検出グループの概要を提供
- DetectiveがSecurity Lakeからのログ取得をサポート
1. DetectiveがIAMエンティティ侵害の痕跡調査に対応
- IAMユーザ/ロールを指定して怪しい動きをしていないか調査可能
- 攻撃者が不正利用したIAMロール特定後に、どのようなアクションをしているか調査に使用できそう
- ただ、具体的なAPIが表示されるのではなくアクションサマリ/TTPマッピングなどが検出される模様
※TTP:攻撃者がよく使用する手法やパターン - 要は不正利用の疑惑があるIAMがやったやばそうなアクションレポートが出る
2. DetectiveがGuardDutyのECSランタイム脅威検知の調査に対応
- GuardDutyのアップデートをDetectiveでもサポート(GuardDutyの調査をDetectiveでも調査可能に)
- GuardDutyのアップデートによりECSのランタイムの潜在的なセキュリティ問題を検出
- そもそもランタイムって?
- ファイルアクセス、プロセス実行、ネットワーク接続など、コンテナに関するデータ(コンテナアクティビティ)
3. Detectiveが生成系AIを活用した検出グループの概要を提供
- Detectiveによる調査結果グループの内容を生成系AIでわかりやすく表示
- AIと会話しなくてもサマリを連携してくれる
- そもそも調査結果グループって?
- GuardDuty の検出結果が項目として表示され、同じ種類の以上アクティビティをまとめて表示してくれるグループ
4. DetectiveがSecurity Lakeからのログ取得をサポート
- DetectiveとSecurityLakeを統合することで、Detective側の操作でAthanaクエリによる調査を可能に
- 問題個所の特定~ログ調査まで一括でDetective側でシームレスに行える
AWS re:Invent 2023に参加してきた ~Amazon Inspectorのアップデートを添えて~
re:InventにおけるInspectorのアップデート
全部で3件
- Inspectorが開発者ツールと統合し、コンテナイメージのセキュリティを強化
- InspectorのLambdaコードスキャンに生成系AIを使用した修復機能が追加
- InspectorのEC2へのエージェントレスな脆弱性評価がリリース
1. Inspectorが開発者ツールと統合し、コンテナイメージのセキュリティを強化
- CI/CDツール内でコンテナイメージのスキャンが可能に
- 本稼働前にCICDの一連の流れでスキャンが行える〇
2. InspectorのLambdaコードスキャンに生成系AIを使用した修復機能が追加
- InspectorによるLambdaコードスキャンが、生成系AIを使用してコード修復機能をサポート
- 具体的なコード案と適用のためのパッチファイルもダウンロード可能
3. InspectorのEC2へのエージェントレスな脆弱性評価がリリース
- SSMエージェントがインストールされなくてもEC2脆弱性スキャンの実施が可能
- 仕組みとしてはEBSのスナップショットを取得しスナップショットに対してスキャン
おわりに
初めてのオフラインイベントだったけど、参加してみてよかった。
いつかは自分も登壇してみたいと。
参考