前書き
AWSの研修に参加してきました。その備忘録です。
3日分あるので、ちょっと長くなるかもしれません。本当に一部の一部だけを抜粋します。
Day1
・IAM Roles Anywhere
公開鍵基盤 (PKI) によって発⾏された X.509 証明書を使⽤して、AWS 外のワークロードで⼀時的な AWSクレデンシャル を使⽤するサービス。オンプレでもIAMロールが使えるってことらしい。
・VPCのアドレス拡張
マネコンからポチポチで簡単に拡張が可能。あと、EC2のインスタンスタイプもポチポチで簡単に変更できる。クラウド凄い
・サブネット
AZに紐づいているサービス。だからAZをまたいでサブネットを作ることはできない。絶対に勉強してるはずなのに、忘れてしまっていた。実践を伴わない知識はなかなか定着しませんね。
・NACL
講師の方が「ナックル」と呼んでいました。自分も今後ナックルと呼びます。こういう略語って人によって呼び方違いますよね。
今のPJで先輩が「キューブコントロール」と何度もおっしゃっていて、何を指しているのか初めはわからなかったのですが、何回か聞いているうちに「kubectl」を指しているのだと気づきました。自分は心の中で「クーベシーティーエル」と呼んでいたので、全く紐づいていませんでした。
こちらに関しては、kubernetesを「クーベ」と呼ぶのが好きなので、我を通そうと思います。
・GuardDuty
ログを分析して、悪意のあるアクティビティを特定してくれるサービス。
不正アクセスされた EC2 インスタンスがマルウェアを提供したり、ビットコインをマイニングしたりすることを検出してくれる
・GWLB
IPS, IDSサービスをうまく動かすためのサービス。
EC2のオートスケーリングじゃダメですか?と聞いたところ、
・ パケットの検査はインバウンドとアウトバウンドで同じインスタンスを通らないといけない
・ライセンスが必要なサードパーティのサービスは立てた台数分余分に費用が掛かるから、あまりインスタンスを立てたくない
・5tuple云々(ちゃんと理解できませんでした)
等の理由でL3層でバランシングできるのが嬉しいらしいです。
この日一番勉強になりました。
・インスタンスメタデータ
v2では、セッショントークンを用いたアクセスを採用しており、セキュリティが向上しているとのこと
ハンズオン
AWS ID およびアクセス管理 (IAM) Immersion Day
初日なので易しめだった&PJで最近近いことをしたので、順調に進みました。
Day2
・Security Hub
WAFやGuardDutyなど、危険を察知するサービスの通知をまとめて引き受ける場所。
Amazon Security Findings Format(ASFF)
→AWS Security Hubによって定義された共通のスキーマ。このスキーマは、さまざまなAWSサービスやサードパーティのソリューションからのセキュリティの警告や異常を統一的に表現するために使用される。
・Shield Advanced
DDoS対策のサービス。最低でも3000$~/monthらしい。
ただ、AWSに委任すれば勝手にリソースの改修をしてくれたり、追加でかかるリソースの費用がものによっては無料になったりするらしい。
・ VPC Flow Logs
ENI, サブネット、VPCごとに有効化できる。
ハンズオン
Amazon GuardDuty と Amazon Detective を使用した脅威検知と対応
・Tor(The Onion Router)ネットワーク
インターネット上の匿名性とプライバシーを保つために設計された無料のオープンソースソフトウェア
Q.
ブロックチェーンと何が違うの?
A.
1. Torネットワークは、ユーザーのオンライン活動を匿名化しプライバシーを保護することを目的としています。Torはインターネットトラフィックを多数のリレー(サーバー)を通じてルーティングすることで、ユーザーの行動を追跡することを困難にします。このようなシステムにより、インターネット接続の監視やセンシップから逃れることが可能になります。
2. ブロックチェーンは、情報を分散化し、不変性と透明性を提供するデータ構造です。ブロックチェーンは主にデジタル通貨(ビットコインなど)のトランザクションの追跡に使用されますが、その他の用途(スマートコントラクト、分散型アプリケーションなど)も存在します。ブロックチェーンは情報をネットワーク全体に分散し、全てのトランザクションが各ブロックに永続的に記録されるため、データの改ざんが非常に困難です。
by GPT先生
本ハンズオンでは攻撃する側も守備する側も行ったのですが、攻撃する側がハッカーを疑似体験したみたいで楽しかったです。インスタンスメタデータ見ただけなんですけどね。
Day3
・KMS
S3のオブジェクトやEBSには、それぞれ固有のデータキーが存在する。
複数リージョンにレプリケートできる。HSMでは不可能。
・inspector
対象のサービスはEC2, ECR, Lambda
Lambdaのコードレビューができるようになった。
AMIとコンテナもチェックできるようになった。
EC2のディープインスペクションができるようになった。
ハンズオン
Startup Security :迅速な構築の中でセキュリティを確保するためのテクニック
こちらもDay2と同様に、攻撃側と守備側を行いました。
今回は、ハンズオン用のECサイトのログイン画面からSQLインジェクションを行いました。ハッカー度合いが増して、やはり楽しかったです。
感想・まとめ
セキュリティ関連のサービスは資格勉強でたびたび名前は目にするものの、具体的なサービスの中身はあまり知らなかったので勉強になりました。