「JAWS-UG横浜 #54 AWS re:Invent 2022 Recap Security」のまとめ!
-
- いいね!0
こばやし 𝕏 情シス部長 (クラウド 𝕏 セキュリティ)
@jkobax
LambdaのInspector対応、CVE公開時にもスキャンしてくれるの知らなかったわ。 これは助かるかも。 レイヤーにはあやしいの放置しちゃってるケースありそうだしな。 #jawsugyokohama
2023-01-28 20:38:04
たけすし
@_takemon
大島さんのLTめちゃめちゃ分かりやすかったです! やっぱり触らないといけないですねー。 #jawsug #jawsugyokohama
2023-01-28 20:41:29
A.Niida
@nid777
AWS Foundational Security Best Practices コントロール数は200ぐらいある! 今日はたかくにさんおすすめのものを紹介 #jawsugyokohama #jawsug
2023-01-28 20:47:11
Yuji Oshima
@yuj1osm
ご清聴ありがとうございました。 本日の資料です。 「AWS re:Invent 2022で発表された新機能を試してみた ~Cloud OperationとSecurity~」 speakerdeck.com/yuj1osm/new-cl… #jawsug #jawsugyokohama
2023-01-28 20:49:28
s.hiruta
@web_se
Ruleに下記あるが、CodeBuildでdocker image buildするケースがあるがこれは外せないなど適用できないものもある [CodeBuild.5] CodeBuild project environments should not have privileged mode enabled #jawsugyokohama
2023-01-28 20:51:30
上地 申吾 (うえち しんご)@40代でメインフレーム運用監視からクラウドアーキテクトに転職
@uechi405
みなさん、「確認」するためのサービスですよ。 #jawsug #jawsugyokohama pic.twitter.com/M5R92aCAsC
2023-01-28 20:52:20
拡大
Yuji Oshima
@yuj1osm
SecurityHubの全基準を有効化してスコアを100%にしたのは素晴らしい #jawsugyokohama #jawsug
2023-01-28 20:55:59
Ryo Suzuki
@suzryo
少し遅れて JAWS-UG横浜のre:Cap、セキュリティ会に参加。前半はYoutubeで後から観れるのがありがたい。 #jawsug #jawsugyokohama
2023-01-28 20:56:31
たけすし
@_takemon
AWS Security Hub で問題点を発見できたことが重要。わかる、ラッキーくらいの気持ちで前向きにいきたい。 #jawsug #jawsugyokohama
2023-01-28 20:58:33
Ryo Suzuki
@suzryo
Security HubのLT。多分サービス名がいろいろな誤解を招く原因な気がする。 現状だとリスクの可視化ツール、Security Detectorとかだったらわかりやすかったのかも。 #jawsug #jawsugyokohama
2023-01-28 20:58:35
s.hiruta
@web_se
Cloud9 managed instancesにも検知しちゃう。Cloud9環境つくるとき、IMDSv2を最初から有効にできない。 [EC2.8] EC2 instances should use IMDSv2 #jawsugyokohama
2023-01-28 20:59:34
Takahiro Tanaka
@led_suezou
Security Hubはトリアージするのが苦行なんだよなぁ。 #jawsug #jawsugyokohama
2023-01-28 21:02:03
Ryo Suzuki
@suzryo
Security Hub、100%の満点目指すと消耗しがち。性悪説、完全クリーンルームを目指さす必要がある現場もあるだろうけど、リスクを可視化した上で、許容レベルの判断や、緩和策を用意するなど、適切な判断ができる処が大事な気がする。#jawsug #jawsugyokohama
2023-01-28 21:02:26
Takahiro Tanaka
@led_suezou
Security Hubの結果もSSVC的にトリアージの判断ができると楽なんだけどな。 #jawsug #jawsugyokohama
2023-01-28 21:05:08
こばやし 𝕏 情シス部長 (クラウド 𝕏 セキュリティ)
@jkobax
アラートのトリアージ悩むわー。 放置がいけないのは頭では理解してるんだけどね…… 通知多すぎると見れないし、運用できるような通知の作り込みに時間かけるしかないのかな。 #jawsugyokohama
2023-01-28 21:07:28
𝙎𝙝𝙞𝙣𝙜𝙤 吉田真吾
@yoshidashingo
WhatsTheCedar.pptx #aws slideshare.net/TakahiroTanaka… #jawsug #jawsugyokohama
2023-01-28 21:15:05
Yuji Oshima
@yuj1osm
SecurityHubの基準は組織の要件とは合わないことも多いので、不要と判断したら無効化していきましょう。 もちろん無効化の際は、周囲への認識合わせをして、判断の根拠や作業ログを残しておくこと。 #jawsug #jawsugyokohama
2023-01-28 21:18:48
こばやし 𝕏 情シス部長 (クラウド 𝕏 セキュリティ)
@jkobax
そういや隣の部署で鍵管理サーバを運営してたな。 KMSの外部キーストア対応とか活かせる場面あるかも。ないかも。 週明け相談してみよう。 #jawsugyokohama
2023-01-28 21:19:45
こばやし 𝕏 情シス部長 (クラウド 𝕏 セキュリティ)
@jkobax
menti.com の結果、わたしの3票がそのまま1, 2, 3で「そうよな!」となってる。 Verified Accessは使いどころ見つけて試したいですね。 あんまりコスパは良くなさそうだけど。 #jawsugyokohama
2023-01-28 21:29:31
s.hiruta
@web_se
Cloudtrail lakeのconfig連携は、AWS Config有効化から docs.aws.amazon.com/ja_jp/AWSCloud… #jawsugyokohama
2023-01-28 21:39:21
Shinoda Yukihiro
@yukkie1114
SOCがあったりプリズムクラウドとかかなー でも担当者レベルは実態はザルに近いかも #jawsugyokohama
2023-01-28 21:40:52
こばやし 𝕏 情シス部長 (クラウド 𝕏 セキュリティ)
@jkobax
「おおしまさんが見てるから」って抑止力いいな。 唐突にはじまったIAM設計の談義もすばらしい。 Change Managerで本番作業にSwitch Roleできるグループへの追加を承認する流れすげえ…… ヘイシャでは「こばやしさんが見てるから」って言われるようなMr. 抑止力を目指さなきゃ。 #jawsugyokohama
2023-01-28 21:56:44