re:Invent2021で発表されたセキュリティ関連サービスのアップデートをまとめてみました。
1/29 20:00 から JAWS-UG横浜 #43 AWS re:Invent 2021 Recap Security でこのあたりをキャッチアップしますので是非ご参加ください
Amaozn Inspector の刷新を発表
継続的な自動評価スキャン – 定期的な手動スキャンに取って代わります。
自動リソース検出 – 有効にすると、新しい Amazon Inspector は、実行中のすべての Amazon Elastic Compute Cloud (Amazon EC2) インスタンスと Amazon Elastic Container Registry リポジトリを自動的に検出します。
コンテナベースのワークロードの新しいサポート – EC2 とコンテナインフラストラクチャの両方でワークロードが評価されるようになりました。
AWS Organizations との統合 – セキュリティチームとコンプライアンスチームが、組織内のすべてのアカウントで Amazon Inspector を有効にして活用できるようにします。
スタンドアロン Amazon Inspector スキャンエージェントの廃止 – 評価スキャンでは、広くデプロイされている AWS Systems Manager エージェントが使用されるようになりました。これにより、エージェントを個別にインストールする必要がなくなりました。
改善されたリスクスコアリング – CVE (Common Vulnerability and Exposures) のメタデータを、ネットワークアクセシビリティなどのリソースの環境要因と相関させることで、各検出結果について高度にコンテキスト化されたリスクスコアが生成されるようになりました。これにより、優先して対処すべき最も重大な脆弱性を特定しやすくなります。
Amazon EventBridge との統合 – Splunk や Jira などのイベント管理およびワークフローシステムと統合します。また、Systems Manager を使用したシステムのパッチ適用や、EC2 Image Builder を使用した仮想マシンイメージの再構築など、自動修復をトリガーできます。
AWS Security Hub との統合 – 重大な脆弱性のあるリソースやセキュリティのベストプラクティスからの逸脱をチームがより簡単に特定できるようにします。
AWS RAMがグローバルリソースタイプに対応
RAM は、組織内の個人の AWS アカウント間または AWS Organizations 内の組織単位 (OU) 間で、ならびにサポートされているリソースタイプの AWS Identity and Access Management (IAM) ロールおよびユーザーとの間で、リソースを安全に共有するのに役立ちます。
グローバルリソースは、複数の AWS リージョンで使用できるリソース
-
今回、AWS Resource Access Manager (RAM) が、グローバルリソースタイプをサポート
- 例えば、AWS とオンプレミスネットワークを含むマネージドネットワークである AWS Cloud WAN コアネットワークと RAM リソース共有を作成し、組織全体で共有できるようになりました。その結果、クラウド WAN コアネットワークを使用して、リージョン間およびアカウント間で統合されたグローバルネットワークを一元的に運用できます
AWS managed Microsoft ADでCloudWatch対応を強化
- ドメインコントローラとディレクトリの使用率についてのメトリクスをCloudWatchで監視可能に
- Amazon CloudWatch アラームを使って、追加のドメインコントローラーのデプロイを自動化することが可能