Open1
NW X Security JAWS勉強会#3(2024/4/25)
Twitterハッシュタグ
#nwsecjaws3 #jawsug
L1-2: データセンターインフラ:エンジニアリングとオペレーションの現場
- データセンターは増えるけど電力問題がでてくるかもしれない
- 重要視してるのは複雑性と影響範囲をできる限り少なくすること
- 緊急対応手順は毎週のようにやっている
L3-4: AWS環境IPv6移行に向けて知っておきたいこと
- パブリックIPv4が有料化してる(EIPだけではない)
- 片側のサービスでしかIPv6が使えないのがハマりやすいパターン
- (EC2はつかえるけど、SystemsMangerのエンドポイントがIPv4のみなど)
- CloudFrontのオリジンはIPv4のみ
- IPv4から移行するときは一旦デュアルスタックにしてEgressOnly等…以下もろもろを設定していく
- IPv6はEC2のみの環境がむいている
- Web3層ならデュアルスタック
- CloudFrontを使うときはIPv4がよい
- リファレンスアーキ https://speakerdeck.com/shotashiratori/nw-x-security-jaws-number-3-l3-4-awshuan-jing-noipv6yi-xing-nixiang-ketezhi-tuteokitaikoto?slide=16
L5-7: TLS1.3対応のサービスが増えているが、クライアントアプリケーション側で考慮すべきことも考えてみる
- TLS 1.2は非推奨ではない。安全に使える。(2024/4/25時点)
- セキュリテイポリシー https://dev.classmethod.jp/articles/app-runner-amplify-hosting-tls-version/
- sslscanコマンドで利用対象を確認できる
- 利用するときは理解してから使ったほうがよい
- バージョンネゴシエーションはcurl(オプション)で確認できる(Wiresharkとか使うといいかも)
- クライアントで1.3が使えなくてもサーバ側で1.3以外が使えれば通信できる
- クライアントがサポートするバージョンは確認しておく
内容をしっかり詰めた感じがひしひし伝わってきた。登壇の展開自体もとても学びになった。
L7+: 生成AIのセキュリティについて学ぼう
- 機密データの流出 入力したデータが学習されないように設定でオフにしておく(実際にできる)★これはやっておこう
- GitHub Copilotのビジネスプランは再学習されないが、個人プランは再学習される
- RAGときにDB側へ機密情報をいれない LLMで出力されてしまう場合がある
- 生成されたコードで脆弱性がないか確認すること
- ガイドライン https://www.jdla.org/document/#ai-guideline
- Bedrockはサードパーティにデータを提供したりしない
- 生成AI独自の攻撃手法が存在する(対策はされている)
- Guardrails for Amazon Bedrockが2024/4/24にGA
L0: フィジカルセキュリティ – Corporate Securityの在り方
- 警備の体制等々のお話
アンケート