いつも記事を読んでいただきありがとうございます!
モブエンジニア(@mob-engineer)です!
今回は2025.02.08(土)に開催したJAWS-UG横浜 #83 AWS re:Invent 2024 re:Cap Securityへ参加したので、アウトプットとしてイベントレポートを執筆しました。
初学者でもサクッと読めるように平易な表現で執筆しておりますので、お気軽に読んでいただければ幸いです。
誤字脱字、わかりづらい表現に関しては極力なくすように心がけていますが、リアルタイムで執筆しているため、誤字脱字があるかもしれません。
イベントレポート
目次
- TCPプロトコルに対するAWS Verified Access接続サポート機能のご紹介
- 宣言型ポリシーが発表されたのでOrganizationsをおさらいしよう
- re:Invent 2024のアップデート予測の答え合わせとCloudWatchのアップデート振り返り
- 安全保障関係のセッション解説
- Security Talks
- まとめ
TCPプロトコルに対するAWS Verified Access接続サポート機能のご紹介
参考サイト
- 自己紹介
- 日本IBM所属の方
- はまっていることはAWS Cloud Quest全制覇
- AWS Verified Access概要
- VPNを使用するなくVPC内奥のアプリケーションやリソースへのアクセス可能
- ユーザー認証・デバイス認証の場合、信頼されるプロバイダが必要
- アクセスポリシーを利用した細かい制御が必要
- 今回のアップデートでTCPプロトコルを使用した接続サポートが可能
- SSHなどのセキュアな接続が実現可能
- プレビュー機能だが、東京リージョンではサポートされている
- Terraformはサポート外
- 機能検証
- Network CIDRエンドポイント構成
- Amazon Route53が必要
- RDSエンドポイント構成
- Network CIDRエンドポイント構成
- 準備作業
- 基本的にマネージドコンソールで設定可能
- Connectivity ClinentをPCへインストール要
- ポート範囲設定に関してポート範囲を追加を必ず押しておくこと
- 基本的にマネージドコンソールで設定可能
- まとめ
- Network CIDRエンドポイント、RDSエンドポイント構成双方とも成功した
- Connectivity Clientに関してトラブルが発生していた
- 隠しフォルダ問題、クライアント接続後のエンドポイント見つからない問題
- Paramicoを利用すれば、プログラムによる接続管理が実現可能
- Connectivity Clientで接続拒否が発生したときはエラーが出ないので出るようにしたい
- 質問
- Connectivity ClientのマニュアルはAWSにあるのか
- ドキュメントにリンクはあるが、キャプチャ付きの説明はなかった
- Connectivity ClientのマニュアルはAWSにあるのか
宣言型ポリシーが発表されたのでOrganizationsをおさらいしよう
参考サイト
- 自己紹介
- AWSが得意な会社の方
- インフラエンジニアの方
- 昨年はストレージのre:Capでの参加
- 発表の目的
- 今回の発表で生成AI・Organizationsによるアップデートが多かった
- 今一度整理する目的で発表
- SCPとは
- 組織内でのAWSリソースに関する制御
- EC2インスタンスの終了、AMIの削除もフォローしている
- 組織内でのAWSリソースに関する制御
- RCP
- 特定の組織、組織内外からのアクセス制御
- リソースを対象にアクセス制御を行う
- 特定の組織、組織内外からのアクセス制御
- 優先順位はRCP⇒SCPの順序
- RCPで制御できるリソースはKMS、S3、SQS、STS、Secret Managerのみ
- 野良アカウントによるログ処理へ対処できる
- 宣言型ポリシー
- まとめ
- SCP:サービスに対してアクセス拒否を明示
- RCP:組織内外からリソースに対してアクセス拒否を明示
- 宣言型ポリシー:アクションに対して管理する
re:Invent 2024のアップデート予測の答え合わせとCloudWatchのアップデート振り返り
登壇資料
参考サイト
- アップデートの予想を答え合わせしよう
- AWSセキュリティの傾向
- 統合的なセキュリティ管理
- Security Hubを中心にしたセキュリティサービスの統合管理
- ゼロトラストを支える強力なアクセス管理
- IAM Identity Centerを用いた強力なアクセス制御
- 先進的な脅威検知と対応
- GuardDutyの検出結果へAIを活用
- 不審なIPアドレスを即座にキャッチする
- 統合的なセキュリティ管理
- AWSセキュリティの傾向
- 答え合わせ
- Qで運用調査ができるアップデート予測はあたり
- Qが調査仮説を示し、トラブルシューティングと修復を行うためのガイダンスを提供
- Qで運用調査ができるアップデート予測はあたり
- CloudWatchアップデート
- CloudWatch Database
- CPU使用率などをダッシュボードで表現してくれる
- CloudWatch Network Flow Monitor
- ネットワーク関連のメトリクスをモニタリング可能
- CloudWatch Container Insights for ECS
- ECS内のクラスターのCPU・メモリ使用率を調査可能
- CloudWatchをテレメトリ設定を一元管理
- ダッシュボードからログ取得設定を確認できる
- 傾向としてオブザーバビリティが熱い印象
- CloudWatch Database
- まとめ
- 今後もオブザーバビリティ関連のアップデートが熱い印象
- 雑談
- CloudWatch Databaseは反映までに時間がかかる
- 長期間データを取得して傾向を見る目的での利用がベターでは
- CloudWatch Databaseは反映までに時間がかかる
安全保障関係のセッション解説
参考サイト
- 安全保障関連とAWS Securityガチ話題に触れていく
- 他のJAWSではなかなか取り上げられにくい
- 前置き
- 素晴らしいセッションは多数ある
- 今回は米空軍のクラウドジャーニーで取り上げていた
- 米空軍のクラウドジャーニー
- 軍で抱えているシステムについてクラウド化が進んでいる
- 昨年のre:Inventでも軍事関係がまとめられている
- 特に関心が集められていたところはデータへの関心
- ウクライナ有事、宇宙など
- クラウドテクノロジーを活用したデータ戦略
- Decision advantage data platform
- 軍専用のソフトではなく、一般ユーザ向けで利用されている
- 標準化することでデプロイ頻度、速度、高度化を進められるようになった
- クラウド戦略に関しては軍も民間事例をキャッチアップしていった
- Decision advantage data platform
- まとめ
- 日本の防衛システムはどうだろうか?
- 今後もクラウドを用いたデータ利活用は進んでいくのでは
Security Talks
参考サイト
- DE&Iの取り組みについて
- 2025年のre:Inventでも取り上げられると思うが...
- Google・OracleはDE&I中止の声明を出しているが、Microsoftは何も出していない
- AWSのVPについて
- 各ソリューションごとにVPが存在する
- AWS全体であれば20名
- VPの約半数は女性の方
- DE&Iに関係なく優秀だから選ばれただけかと
- 日本はどうだろうか?
- FedRAMPは認証 or 規約
- 基本的には規約の扱い
- FedRAMPは各省庁が決めていく
- 基本的にIT統制はできているので国内準拠でいい
- 日本の場合はISOなどの第三者認証を持っている
- AWSのFedRAMPは準拠の取り扱い
- 認証ではないため、自身で説明する必要がある
まとめ
クラウドと安全保障関連の話はほかのJAWS-UGイベントではお話を聞けないので、非常に考えさせる内容でした。
最後まで、記事を読んでいただきありがとうございました!!