狠狠撸

? 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved.
G-0-3

しょこたん大好きポケモン三犬ではなく、
クラウドネイティブセキュリティ三犬
を紹介
Security-JAWS 所属（JAWS-UG セキュリティ専門支部）
G-0-3
Shun Yoshie
AWS Community Hero, Community Leader

{
"name": "Shun Yoshie",
"titles": [
"AWS Community Hero",
"AWS Samurai 2018/2019/2020"
],
"favoriteAwsService": "Amazon GuardDuty",
"jobTitle": "IT Security Consultant",
"community": [
"Security-JAWS Organizer",
"JAWS PANKRATION Originator"
]
}
Who am I ?

{
"name": "Akina",
"dog_breed": "Toy Poodle",
"age": "9"
}
My doggie ?

2015年2月22日のタワーレコード新宿店での
握手会＆２ショット会以来に生しょこたんに
会いたくて、しょこたんドリブンでLT内容を
考えて申し込みすることを考えました。
しょこたんとの出会い
し「どんなポーズで撮ります？」
僕「メロイック?サインでm/」
し「ROCKすなーm/」

エラー画面
Amazon は犬が好き

本題

クラウドネイティブセキュリティ
CNCF Security Technical Advisory Group (STAG)ビジョンの記述一部
- “私たちは、クラウドネイティブのオペレーター、管理者、開発者の
エクスペリエンスを簡素化できるツールのエコシステムが存在する可能性が
あると考えています。”
- 増え続けるシステムの異質性を理解して対応し、
ユーザーにサービスを提供しながらリソースとデータを保護するための
フレームワークを提供するシステムセキュリティアーキテクチャ
- 開発者がシステムのセキュリティ要件を満たすアプリを簡単に作成および
展開できるようにする、一般的な語彙とOSSライブラリ
- 監査や説明可能性機能など、システムのセキュリティについて人々が
推論できるようにする共通のライブラリとプロトコル
https://github.com/cncf/tag-security#vision
ツールによるセキュリティ対策の省力化?自動化を想定
https://www.cncf.io/

Cloud Security Alliance (CSA) が公開する責任共有モデルと CNAPP の
関係は以下
※CNAPP: Cloud Native Application Protection Platform
Shared Responsibility Model と CNAPP
CIEM
Apps & Data Security
CWPP / Apps & Data Security
CWPP
CSPM / IaC Security
CIEM / Apps & Data Security
CNAPP
https://event.cloudnativedays.jp/cnsec2022/talks/1450
https://cloudsecurityalliance.org/

CNAPP (Cloud Native Application Protection Platform)
CNAPP (Cloud Native Application Protection Platform) は総じて以下を統べるもの
- CSPM (Cloud Security Posture Management)
- クラウドの設定不備確認、ガイドライン準拠、通知
- CWPP (Cloud Workload Protection Platform)
- ワークロード保護
- CIEM (Cloud Infrastructure Entitlement Management)
- アカウントとリソース観点で過剰権限付与の検出、最小権限推奨設定
- IaC Security (Infrastructure as Code Security)
- Infrastructure as Code で管理するコードのセキュリティ
- Apps & Data Security (Application & Data Security)
- アプリケーションの脆弱性、データ暗号化
※CNAPPの定義はベンダーによって諸説あり

しょこたん大好きポケモン三犬
https://www.pokemon.co.jp/ex/oras/feature/41.html

クラウドネイティブセキュリティ三犬

関係は以下
三犬のカバー範囲
(犬ロゴサービス単体では現在不可) CIEM
CWPP
CSPM / IaC Security

Datadog (https://www.datadoghq.com/)
- 500以上のインテグレーション
を組み込み、全てのシステム、
アプリケーション、サービスを
横断して監視することが可能な
オブザーバビリティツール
- CSPM、CWPP、RASP、SIEM
など、近年、セキュリティに
とても力を入れている
- 最近、認定資格もスタート

Snyk (https://snyk.io/)
- コード、依存関係、コンテナ、
インフラストラクチャを保護する
ための開発者向けセキュリティ
プラットフォーム
- Open Source Vulnerability
Databaseを提供
- 先日、OpenSSLの脆弱性に対し
てのブログを早々と提供
https://qiita.com/SnykSec/items/131024996d4e20f208b7

Spectral (https://spectralops.io/)
- クラウドネイティブ向けAIOps
なセキュリティサービスを提供
- コード、依存関係、コンテナ、
インフラストラクチャを
保護するための開発者向け
セキュリティプラットフォーム
- Checkpointに買収され、同社
CloudGuardの一部を機能提供
問題がないと犬が喜んでます。
これは犬です。（しらんけど）

CIEMをDatadogで(部分)実装する方法
- 外部エンティティと共有されて
いる Amazon S3 バケットや IAM
ロールなど、組織とアカウント
のリソースを識別
- 脆弱な設定のリソースやデータ
への意図しないアクセスを特定
https://www.datadoghq.com/ja/blog/aws-access-analyzer-datadog/
- AWS IAM Access Analyzerと
Datadog で CIEM を実現
- IAM Access Analyzer を Datadogに
インテグレーション
- S3 バケットの権限設定不備から
不正リクエストが発生している
状況等を監視
AWS IAM Access Analyzer

関係は以下
三犬で CNAPP を実現
CIEM
CWPP
CSPM / IaC Security

最後に
- クラウドネイティブセキュリティ on AWSはまだ道半ば(と思ってる)
- CWPP相当だとワークロード保護がない
- IaC Security は AWS CloudFormation Guardはあるが、CDK向けは？
- etc
- 守るべきものの洗い出しとツールで対策(多層防御)しよう
- 何を守るべきかがわかっているか？
- それを守れているか？
- AWSのサービスで守れるか？
- CNセキュリティで守れるか？
https://d1.awsstatic.com/events/jp/2021/summit-online/AWS-39_AWS_Summit_Online_2021_SEC03.pdf

Thank you!
Shun Yoshie
Tw:@typhon666_death
Linkedin:shun-yoshie
URL: https://aws.amazon.com/jp/
developer/community/heroes/shun-
yoshie/
Security-JAWS
Tw: @security_jaws
URL: s-jaws.doorkeeper.jp

狠狠撸

Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT

More Related Content

Introduction_of_CNSec_three_dogs _AWS_Dev_Day_LT