はじめに
Amazonセキュリティ関連サービスの最新動向をウォッチしています。
re:Invent 2022および2023年以降発表されたセキュリティ関連のサービスと機能を確認しました。
re:Invent 2022で発表されたセキュリティ関連サービス
Amazon Security Lake (プレビュー)
※ 引用元: https://aws.amazon.com/jp/security-lake/?did=ap_card&trk=ap_card
-
Amazon Security Lake とは
- 数ステップでセキュリティデータを自動的に一元化するサービス
-
構成
-
仕組み
- クラウド、オンプレミス、およびカスタムソースからのセキュリティデータを、アカウントに保存されている専用のデータレイクに自動的に一元化
- 組織全体のセキュリティデータをより完全に理解できる
- ワークロード、アプリケーション、およびデータの保護を強化できる
- オープンスタンダードである Open Cybersecurity Schema Framework (OCSF) を採用
- AWS からのセキュリティデータと幅広いエンタープライズセキュリティデータソースを正規化し、組み合わせることができる
-
特徴
- セキュリティデータの制御と所有権を維持しながら任意の分析ツールを使用できる
- 複数のアカウントとリージョンにまたがるクラウドとオンプレミスソースからのデータ可視性を一元化
- 複数の分析ツールでより効率的にデータを共有して使用するために、データをオープン標準に正規化
- より効率的な保存とクエリのためにセキュリティデータを改善して管理できる
Amazon Verified Permissions (プレビュー)
※ 引用元: https://aws.amazon.com/jp/verified-permissions/?did=ap_card&trk=ap_card
-
Amazon Verified Permissions とは
- カスタムアプリケーション内できめ細かい権限と承認を管理するサービス
-
構成
-
仕組み
- カスタムアプリケーション向けのスケーラブルできめ細かなアクセス許可管理および承認サービス
- カスタムアプリケーション向けのきめ細かいアクセス許可を一元化し、デベロッパーがアプリケーション内でのユーザーアクションを承認するのに役立つ
- Cedar ポリシー言語を使用して、アプリケーションユーザーのきめ細かいアクセス許可を定義
-
特徴
- ビジネスロジックから認証を分離することによってアプリケーション開発を加速化
- 一元化された許可とポリシーライフサイクル管理で時間とリソースを節約
- 自動化された分析を使用して許可が意図したとおりに機能することを確認することで、コンプライアンス監査を大規模に簡素化
- 動的なリアルタイムの認証判断機能を備えたゼロトラストアーキテクチャをサポートするアプリケーションを構築
2023年以降発表されたセキュリティ関連サービスと機能
Amazon RDS for Oracle が OEM Agent オプションおよび SSL オプション向けの新しい暗号スイートに対応
-
機能
- 新しい暗号スイートを使用することで、RDS for Oracle データベースインスタンス接続をより強固に保護
- インフラストラクチャのセキュリティ体制を強化できる
-
新たに対応した 4 種類の OEM Agent オプション向け暗号スイート
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
-
新しい 6 種類の SSL オプション向け暗号スイート
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
Amazon EC2 Windows インスタンスにおける Credential Guard のサポート
- 機能
- Windows 仮想化ベースセキュリティ (VBS) の分離機能を使用して、OS メモリから Windows のログイン認証情報が抽出されないようにする
- Credential Guard がオンになっていると、別のホストからログイン認証情報を使用したり、ユーザーがログアウトした後にログイン認証情報を使用することはできない
- 規制の厳しい業界で Windows Server を運用している企業において、「コンプライアンス遵守」と「クラウド移行によるイノベーション加速」両方を EC2 で実現できるようになる
AWS CloudTrail Lake が AWS 以外のソースからアクティビティイベントを取り込み可能に
- 機能
- ユーザーと API のアクティビティイベントを不変的に保存する単一場所として CloudTrail Lake を使用可能になる
- AWS 環境とハイブリッド環境全体の監査やセキュリティ調査を行える
- 複数のログアグリゲーターや分析ツールを管理しなくても、AWS と AWS 以外のソース (クラウドまたはオンプレミスで実行されている社内開発アプリケーションや SaaS アプリケーションなど) からのアクティビティイベントを統合できる
- 指定された CloudTrail スキーマにすべてのイベントを記録し、最大 7 年間不変的に保存し、アクティビティイベントをクエリするための統合 SQL サービスを提供
- これにより、AWS 環境やハイブリッド環境におけるセキュリティ、監査、運用上のインシデントの管理と診断が容易になる
AWS Managed Services (AMS) の Accelerate 運用プランで、Config ルールに関するデフォルト対応を変更できるように
- 機能
- AMS がサポートするセキュリティに関する Config ルールからのアラートについて、以下対応を選択できる
- AMS が修復を行う
- 顧客の承認を求める
- 月次レポートに追加する
- デフォルト対応を調整し、修復用の Config ルールをより多く設定することで、適合性が向上する
- 検出結果の修復を選択した場合、AMS は迅速かつ一貫した対応を行う
- 検出結果について、承認を求めるケースを作成したり、次回の月次ビジネスレビュー (MBR) で報告したりできる
- タグに基づいて、アカウントおよびリソースに一致する Config ルールに複数の対応を設定できる
- Accelerate では、コンプライアンス違反のリソースを修復し、確認が必要な場合のみ連絡を受けるようにリクエストできる
- 例えば、特定のアカウントに存在する暗号化されていない S3 バケットのデフォルト対応を、「承認を求める」に変更できる
- また、「Regulated: True」のタグキーと値のペアを持つ暗号化されていない S3 バケットには「修復」を、「Regulated: False」のタグを持つ S3 バケットには「レポートのみ」を、といった具合に対応を追加できる
- AMS がサポートするセキュリティに関する Config ルールからのアラートについて、以下対応を選択できる
Amazon Detective が、Amazon EKS ワークロード用 Amazon VPC フローログに視覚化機能を追加
- 機能
- EKS ワークロードからのすべてのネットワークトラフィックが視覚化され、以下の情報を取得しやすくなる
- 「EKS ワークロードではどのポートやネットワークサービスが使用されていたのか」
- 「EKS ワークロードから大量のデータ転送があったかどうか」
- 「どの IP アドレスが EKS ワークロードに接続されていたのか」
- これらの詳細情報を基に、セキュリティアナリストは
- 潜在的なセキュリティ問題を調査し、予期しないネットワーク動作の診断を行える
- 影響を受ける可能性がある他の AWS リソースを特定することも可能
- Amazon Detective は、監視対象の AWS アカウントから VPC フローログを自動的に収集
- これまで、Detective では
- Amazon EC2 インスタンスの VPC フローログ情報をインタラクティブに調査できていた
- これからは
- EKS ワークロードの VPC フローログ情報を調査し、ネットワークフローの概要を視覚化でき、さらに EKS ポッドごとに情報を集約できる
- これまで、Detective では
- EKS ワークロードからのすべてのネットワークトラフィックが視覚化され、以下の情報を取得しやすくなる
Amazon RDS for MariaDB データベースインスタンスに対して SSL/TLS クライアント接続を適用できるように
- 機能
- トランスポート層のセキュリティを強化できる
- SSL/TLS を適用するには、Amazon RDS マネジメントコンソール、AWS CLI、または API を使用して、require_secure_transport パラメータ (デフォルトでは無効) を有効にする
- require_secure_transport パラメータを有効にすると、データベースクライアントは、暗号化された接続を確立できる場合にのみ、RDS for MariaDB インスタンスに接続できる
- require_secure_transport パラメータは、RDS for MariaDB バージョン 10.5 以降でサポートされる
EC2 Image Builder に Center for Internet Security (CIS) Benchmarks が追加され、Amazon マシンイメージのセキュリティが強化
- 機能
- EC2 Image Builder が CIS Benchmarks レベル 1 をホストする OS
- Amazon Linux 2
- Red Hat Enterprise Linux (RHEL) 7
- Microsoft Windows Server 2019
- Microsoft Windows Server 2022
- これらのオペレーティングシステムで、CIS レベル 1 に合わせてイメージのセキュリティを強化するための、独自のカスタムスクリプトを管理する必要がなくなる
- 最新バージョンの CIS 標準が利用可能になり次第、AMI をその標準に合わせて自動的に更新するよう選択することもできる
- セキュリティ強化に必要な手順が簡潔に
- EC2 Image Builder コンソールから AWS Marketplace にアクセス
- 必要な CIS AMI にサブスクライブ
- CIS AMI をイメージカスタマイズプロセスのベース AMI として使用
- EC2 Image Builder が CIS Benchmarks レベル 1 をホストする OS
Amazon Detective に新しい AWS マネージド IAM ポリシーが追加され、セキュリティアナリストによるアクセスの安全性が向上
-
機能
- Amazon Detective に新しい AWS マネージドポリシーが 2 つリリースされた
- AWS マネージドポリシーを使用すれば、ユーザーが Amazon Detective でセキュリティ調査を行う際に、適切なレベルのアクセス許可を簡単に取得できる
- AWS マネージドポリシーは AWS によって管理されるため、特定の役割のユーザーに対するアクセス許可の管理作業が軽減される
-
今回追加された AWS マネージドポリシー
- AmazonDetectiveMemberAccess
- 下記アクセス許可をユーザーに付与
- Detective 動作グラフへの招待の表示
- 招待の受諾/拒否
- コストに対する使用状況の影響を表示
- 下記アクセス許可をユーザーに付与
- AmazonDetectiveInvestigatorAccess
- 下記アクセス許可をセキュリティアナリストに付与
- 完全なセキュリティ調査
- Amazon GuardDuty 検出結果のアーカイブ (ただしメンバーアカウントの管理はしない)
- 下記アクセス許可をセキュリティアナリストに付与
- AmazonDetectiveMemberAccess
-
変更された現行 AWS マネージドポリシー
- AmazonDetectiveFullAccess
- 下記アクセス許可をユーザーに付与
- GuardDuty 検出結果の完全な詳細情報を Detective コンソールで表示
- 下記アクセス許可をユーザーに付与
- AmazonDetectiveFullAccess
AWS Network Firewall が ファイアウォールルールアクションとして TCP トラフィックの拒否アクションをサポート
- 機能
- レイテンシーの影響を受けやすいアプリケーションのパフォーマンスを向上させ、内部のセキュリティ運用を改善できる
- AWS Network Firewall の柔軟なルールエンジンにより、ネットワークトラフィックのきめ細かいコントロールを提供するファイアウォールルールを定義できる
- これまでのAWS Network Firewall では
- ネットワークトラフィックを渡したり、ドロップしたり、警告したりするステートフルルールを設定していた
- ドロップアクションが設定されている場合、ファイアウォールはトラフィックをドロップするが、送信元には応答を送信しない
- セッションは有効期限のしきい値を超えるまで開いたままになるため、TCP 接続に影響した
- パケットがドロップされた理由を理解するには、さらに時間と労力をかけてトレースルートテストを完了するか、ログを確認する必要があった
- これからの AWS Network Firewall では
- ステートフルルールを設定し、そのルールが TCP トラフィックと一致した場合に拒否アクションを適用できるようになる
- ファイアウォールはパケットをドロップし、TCP リセット (RST) を送信して、TCP 接続が失敗したことを送信者に通知する
- デフォルトのアクション順序を使用してファイアウォールルールに拒否アクションを適用することも、厳密なルール順序付け方法を使用して正確な順序を設定することもできる
AWS App Runner が AWS Secrets Manager と AWS Systems Manager からシークレットと設定をランタイム環境変数として取得できるように
- 機能
- デベロッパーは App Runner を使用することで、インフラストラクチャを管理せずに、コンテナ化されたウェブアプリケーションと API をクラウドにすばやく、より簡単かつ大規模にデプロイできる
- 多くのウェブアプリケーションや API は、データベースの認証情報や API キーなどの機密情報にアクセスして、ダウンストリームシステムに接続する
- 機密情報の管理をアプリケーションコードから切り離すことで、コードの再利用性を高める
- シークレットと設定のデータを更新するためアプリケーションコードを更新および再構築するなどの運用上のオーバーヘッドを削減できる
- Secrets Manager と SSM Parameter Store に保存されているシークレットと設定のデータを、App Runner サービスのランタイム環境変数として安全に参照できるようになる
- 機密情報をアプリケーションコードやサービス設定と分けて管理できるため、App Runner で実行されるアプリケーションのセキュリティ体制を強化できる
おわりに
Amazonセキュリティ関連サービスの最新動向を確認しました。
今後使ってみたいサービスや機能がいくつか含まれていました。