【開催報告】アップデート紹介とちょっぴり DiveDeep する AWS の時間 第三十三回 (8/31)

みなさんこんにちは！
アマゾンウェブサービスジャパン合同会社 ソリューションアーキテクトの前田です。

2023 年 8 月 31 日に「第三十三回 アップデート紹介とちょっぴり DiveDeep する AWS の時間」をオンラインで開催しました。本イベントは、AWS の数あるアップデートの中から「すぐ使える、運用に役立つ、あったらいいなと思ってた、おもしろい、重要」なものをピックアップし、ちょっぴり DiveDeep してカジュアルな雰囲気でお伝えするイベントです。

今回は「Security 編」ということで、AWS ソリューションアーキテクト や 実際にセキュリティサービスをご利用いただいているお客様から事例やサービスの機能についてご紹介頂きました。
今回も非常に多くの方にご参加いただきました。ご参加いただいた皆様、誠にありがとうございました。

当日の様子と実施内容

AWS ソリューションアーキテクトから AWS Gateway Load Balancer と Amazon GuardDuty の機能についてデモを交えてお伝えし、ゲストスピーカーとして弥生株式会社の峯岸様、HENNGE 株式会社の土居様、穂坂様からマルチアカウント環境におけるセキュリティ強化の事例や AWS Control Tower Account Factory for Terraform の事例について発表して頂きました。合計 1 時間半の中で盛りだくさんの内容でお送りしました。
記事の中に資料や動画のリンクがありますので、見逃してしまった方はそちらから御覧ください。

当日参加したメンバー(一部)

アジェンダ

• 今月のお勧め 5 分間アップデート (5 分)
  • スピーカー：AWS ソリューション アーキテクト 前田 駿介
  • 今月の AWS のサービスアップデートを 5 分でご紹介。たくさんのアップデートの中から 5 つをピックアップしました。
    • Network Load Balancer でセキュリティグループのサポートを開始
    • 汎用 Amazon EC2 M7a インスタンスの発表
    • Amazon Aurora Global Database がグローバルデータベースフェイルオーバーを導入

AWS の新着情報については 公式ページ のほか、週刊 AWS を合わせてご覧いただくのがオススメです！

• AWS 初心者が取り組んだセキュリティ強化の 2 年間とこれから（15分）
  • スピーカー:弥生株式会社 峯岸 純也 様

• • マルチアカウント環境を構築し、増え続ける AWS アカウント数（2021 年 8 月： 23 → 2023 年 5 月：110 → 20xx 年 x 月： 300 ？）に対して取り組んでいるセキュリティ強化にて、主に活用している「AWS Security Hub」、「SIEM on Amazon OpenSearch」の活用事例の紹介と今後の取り組みについて発表致します。
• AWS Gateway Load Balancer を用いた仮想アプライアンスの活用（15分）
  • スピーカー:アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト 長屋 和真
  • AWS Gateway Load Balancer は、クラウド上のファイアウォール、侵入検出と防止システム、ディープパケットインスペクションシステムなどのサードパーティの仮想アプライアンスの可用性を簡単かつ費用効果の高い方法で、デプロイ、スケーリング、管理できるようにするサービスです。このセッションでは、AWS Gateway Load Balancer の基本的な概念をお伝えしつつ、どのように仮想アプライアンスとの通信を実現できるのかをご紹介します。
• Amazon GuardDuty 2023 夏（15分）
  • スピーカー:アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト 吉田 裕貴
  • Amazon GuardDutyのProtection 機能を中心にデモを交えてご紹介します。
• AFT で AWS アカウントをばら撒いてみた（15分）
  • スピーカー:HENNGE株式会社 Cloud Product Development Division 土居 俊也 様、Internal IT Section 穂坂 栄一 様
  • HENNGE では「挑戦し続けること」をモットーに、常に新しいことへのキャッチアップやアイデアの具現化を推奨しています。 本セッションでは、 AWS Control Tower Account Factory for Terraform (AFT) を用いた AWS アカウント管理の自動化を通じて、企業としてのセキュリティのベースラインは担保しつつ、エンジニア一人一人に専用のアカウントを提供した仕組みを紹介します。

当日の様子

当日の内容を抜粋してご紹介します。

AWS 初心者が取り組んだセキュリティ強化の 2 年間とこれから

[資料、動画]

最初のセッションは弥生株式会社の 峯岸 純也 様より実際に取り組んでいるセキュリティ施策として AWS Security Hub の検知・自動復旧対応と SIEM on Amazon OpenSearch Service 環境の構築についてお話いただきました。弥生様では Security Hub で検出した内容を Slack に通知する仕組みで運用されていましたが、当初 AWS Health、 Amazon GuardDuty、Security Hub の通知をそれぞれ 1 つのチャンネルに集約しており、AWS アカウントが増えるに連れて情報が流れてしまう、通知時にアカウント ID しか表示されないといった課題を抱えていました。そこで通知部分のアーキテクチャを見直し、各通知情報を各チームの Slack へ Post される形に改善されています。この改善によって開発チームのセキュリティ意識の向上や Security Hub スコアの改善など良い効果が出てきているとのことです。また、 SIEM 環境については具体的にどういったイベントをトリガーに調査を実施するのか具体的な活用方法についてお話いただき、運用していく中で改善したアーキテクチャについても共有していただきました。過去のご経験を元にアーキテクチャ改善された事例というのはどのお客様にとっても有益な情報だと思います。 AWS の様々なセキュリティサービスを利用した検知、通知の具体的な運用方法を知りたい方、SIEM の活用方法について具体的なイメージを確認したい方にはぜひご覧いただきたい内容です。

AWS Gateway Load Balancer を用いた仮想アプライアンスの活用

[資料、動画]

2 つ目のセッションでは、ソリューションアーキテクトの長屋より、Gateway Load Balancer の概要とユースケースごとの設定内容について説明し、紹介したユースケースを使ったデモも実施いたしました。セキュリティ仮想アプライアンスとは 3rd パーティの製品をサーバーに導入し、検査対象の通信を経由させて利用するものです。AWS で従来型のセキュリティアプライアンスを利用する場合、仮想アプライアンスをセットアップしたインスタンスを検査対象の間に挟む構成をよく取ります。しかし、この構成の場合、検査対象となるアプリケーションがトラッフィク増などに対応するためにスケーリングを行った場合、仮想アプライアンスも追従してスケーリングが必要となります。構成が複雑化し、管理不可の増加が課題となるケースが多いです。そこで Gateway Load Balancer を利用することでこれらの課題に対応するスケーラビリティを実現し、トラフィックに対応する適切なコンピュートを割り当てることが出来るようになります。デモでは外部通信のトラフィック検査としてルーティング設定や実際の通信、Gateway Load Balancer を用いた仮想アプライアンスインスタンスのスケーリングの確認を行いました。AWS 環境にセキュリティ仮想アプライアンスの導入を検討されている方にぜひご確認頂きたい内容です。

Amazon GuardDuty 2023 夏

[資料、動画]

３つ目のセッションでは、ソリューションアーキテクトの吉田より Amazon GuardDuty の標準で利用できる機能と追加で利用可能な各種 Protection について概要を説明したうえで検知に関するデモを実施しました。GuardDuty は、基本的なログデータソースに加えて、他の AWS サービスからの追加デー タを使用して、潜在的なセキュリティ脅威を監視および分析が出来るサービスです。具体的にどういった脅威の検出が出来て、裏側の仕組みとしてどのように動いているのかを説明しました。デモでは Malware Protection での脅威検出の流れを確認しました。Malware Protection は Amazon EC2 インスタンスおよびコンテナワークロードにアタッチされた Amazon EBS ボリュームをスキャンすることで、マルウェアの検出が可能な機能です。マルウェア対策を検討されている方、GuardDuty というサービスが何を検出し、どのように振る舞うサービスなのか理解するために有用なセッションとなっているためぜひ動画や資料でご確認ください。

AFT で AWS アカウントをばら撒いてみた

[資料、動画]

最後のセッションは、HENNGE 株式会社 土居 俊也 様、穂坂 栄一 様より、 AWS Control Tower Account Factory for Terraform (AFT) を用いた AWS アカウント管理の自動化を通じて、企業としてのセキュリティのベースラインは担保しつつ、エンジニア一人一人に専用のアカウントを提供した仕組みについてご紹介頂きました。HENNGE 様では元々スプレッドシートで AWS アカウントを管理されており、AWS アカウントの増加に伴ってより効率の良い管理方法の検討を開始されました。本セッションではスプレッドシートで管理されていた頃のお悩みや AWS Organizations を運用するなかでの課題感を共有して頂き、最終的に導入することとなった AFT の概要についてご紹介いただいています。AFT を用いて最少人数で 100 以上のアカウントをセキュリティを担保しつつ管理出来るようになるということで、同じようなお悩みを抱えている方やあまりセキュリティに人数を当てることが出来ず困っているお客様にぜひご覧頂きたい内容です。また、本セッションの内容は builders.flash に寄稿いただきた記事である「HENNGE が Account Factory for Terraform を導入して実現できたこと」がベースになっているということで、こちらの記事も是非皆様にもご覧頂ければと思います。

いただいたご質問とその回答

「Amazon GuardDuty 2023 夏」について
Q. GuardDuty のProtection のサービスですが、手動で有効化という風に言っていたかと思いますが、AWS Control Tower を使って一括で各アカウントを有効化することはできますでしょうか。
A. 現時点では AWS Control Tower のみを利用した Amazon GuardDuty の Protection の一括有効化はできません。
AWS Control Tower を利用した有効化を実施する際には、AFC、CfCT、AFT、AWS CloudFormation StackSets といった方法を利用してAWS Control Tower Account Factory でアカウントを作成する際に有効化いただけると幸いです。
もしくは Amazon GuardDuty の委任管理者を利用して新しく作成されるアカウントに対してProtectionを有効化することも可能です。こちらをご利用いただくと上記の AFC、CfCT、AFT、AWS CloudFormation StackSets といった設定は不要です。

「Amazon GuardDuty 2023 夏」について
Q. Malware Protectionでは、AWS側が所有するところにコピーしてスキャンされるということですが、保存期間はどれくらいになるのでしょうか。自身で制御できますか？また、定期のスキャンも同じ手法でされているのでしょうか。
A. ドキュメントに記載の通り、スナップショットの保持設定の有効性とは関係なく、マルウェアが検出されなかった場合は、スキャン完了後に自動的に削除されます。また、スナップショットの保持設定を有効化しマルウェアが検出された場合、お客様の EBS のスナップショットにマルウェア検出したスナップショットが追加されるため、お客様側で Delete 操作を行わない限り削除されることはありません。

「AWS Gateway Load Balancer を用いた仮想アプライアンスの活用」について
Q. Gateway Load Balancer を導入した場合、レイテンシの増加などによるアプリケーションへのパフォーマンス影響はありますか？
A. セキュリティ仮想アプライアンスにてどのような検査を実施するかによって、どの程度パフォーマンスに影響するかが変わってくるものかと思います。
この影響を最小限にするために、AutoScaling による適切なインスタンスの配置や、クロスゾーンでの負荷分散をご活用頂けます。詳細については下記ドキュメントをご参照ください。

• AutoScalingの活用
  • https://docs.aws.amazon.com/ja_jp/autoscaling/ec2/userguide/attach-load-balancer-asg.html
• クロスゾーン負荷分散の活用
  • https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/gateway/gateway-load-balancers.html#cross-zone-load-balancing

次回予告

次回は「 Container 」編です。
ゲストスピーカーとして、株式会社ラクスの下西 氏、freee 株式会社の藤原 氏をお招きしましてコンテナ運用ノウハウKubernetes ネイティブのワークフローエンジンである Argo Workflows を Amazon EKS Cluster に導入する方法などに DiveDeep してお伝えします。
次回も多くの方々のご参加を心よりお待ちしております！
2023 年 4 月以降に開催予定の『アップデート紹介とちょっぴり DiveDeep する AWS の時間』の視聴申し込みを一括でできるようになりました！毎月申し込みする必要はなくなります。また、イベント開催直前にリマインドメールをお送りいたします。下記リンクから参加ご希望月の申し込みをお願いいたします。

第三十四回「アップデート紹介とちょっぴり DiveDeep する AWS の時間」- Container 編-

• 開催日時：2023 年 9 月 28 日（木）16:00 – 17:30 オンライン開催
• アジェンダ
  • 16:00 – 16:10 オープニングセッション
  • 16:10 – 16:25 AWS 上でコンテナを爆速起動する方法をまとめてみた
    • スピーカー： アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト 祖父江 宏祐
  • 16:25 – 16:40 AWS でメール配信システムを構築！ Amazon ECS on AWS Fargate で楽楽運用
    • スピーカー： 株式会社ラクス インフラ開発部 東京インフラ開発2課 アシスタントマネージャー 下西 章王 氏
  • 16:40 – 16:45 Q&A
  • 16:45 – 17:00 Amazon EKS と Argo Workflows で実現するタスク実行と AWS リソースとの連携方法
    • スピーカー： freee 株式会社 SRE / Developer Experience エンジニア 藤原 彰人 氏
  • 17:00 – 17:15 Amazon EKS と KubeVela でプラットフォームエンジニアリングに入門しよう！
    • スピーカー： アマゾン ウェブ サービス ジャパン合同会社 ソリューションアーキテクト 後藤 健汰
  • 17:15 – 17:20 Q&A
  • 17:20 – 17:30 クロージングセッション

このブログの著者
前田 駿介 ( Maeda Shunsuke )
ソリューションアーキテクトとして ISV/SaaS 系のお客様の技術支援を行っております。好きなサービスは Amazon Cognito です。自転車で琵琶湖一周してきました。