https://s-jaws.connpass.com/event/326053/
Security-JAWS【第34回】 勉強会 2024年8月19日(月) に参加 記録

Youtubeで視聴中

開催概要
【日時】 2024年8月19日(月) 19:00～21:30（開場18:30/前説18:50）

スケジュール
時間 内容 登壇者
18:30～18:50 受付開始
18:50～19:00 開催挨拶 Security-JAWS運営メンバー
19:00～19:20 Session1: マルチクラウド環境で3年間CSPMをやってきた Japan Digital Design株式会社 Technology & Development Div. 唐沢勇輔さん
19:20～19:25 Q&A
19:25～19:45 Session2: S3へ保管されるコンテンツのセキュリティ対策 ~ GuardDuty Malware Protection for S3編 ~ 東急株式会社 デジタルプラットフォーム 中川皓紘さん
19:45～19:50 Q&A
19:50～20:10 Session3: AWS re:Inforce 2024 もう一つの re:Cap アマゾン ウェブ サービス ジャパン 勝原 達也さん、中島 章博さん
20:10～20:15 Q&A
20:15～20:25 休憩
20:25～20:45 Session4: IAM Access Analyzer カスタムポリシーチェック機能 Dive Deep アマゾンウェブサービスジャパン合同会社 パブリックセクター 押川 令さん
20:45～20:50 Q&A
20:50～21:10 Session5: Serverless applicationとセキュリティ ~開発者にこそ知って欲しい、Amazon S3編 ~ 株式会社 Flatt Security プロフェッショナルサービス事業部 Azaraさん
21:10～21:15 Q&A
21:15～21:30 Session6: [クラウドZoom相談] 当日のslido & connpassで受付けた質問に回答する枠 Security-JAWS運営メンバー
21:30〜21:35 クロージング
21:35～22:30 Zoom懇親会(+名刺交換) 登壇者＋運営メンバー＋参加者

AWS re:Inforce 2024 もう一つの re:Cap アマゾン ウェブ サービス ジャパン

GuardDuty Malware Protection for S3

• 時間があれば試してみたい

• マルウェアを検知した場合に結果に応じたタグが付与される

• バケットポリシーでタグが付いたら特定のアクションを禁止する(GetObjecctなど禁止)してマルウェアの拡散を防げる

• 導入はGUIでもできる

• バケット全てか特定のプレフィックスをスキャンする。タグをつけるかの選択ができる
  　→設定の敷居は低そう

• S3にオブジェクトをアップロードした後に検査して問題があればSlackで通知やLambdaで別バケットに移動したりする

• Athenaで分析してセキュリティ担当に情報連携などの運用ができると良いかも

• 導入時に既存のバケットにオブジェクトがあるとそれはスキャンされない？

AWS re:Inforce 2024 もう一つの re:Cap

• 数学的に証明可能なセキュア認可
  →自動推論によって複数の機能を提供：IAM Access Analyzer、S3PublicAccessBlock、VPC RascalityAnalyzer
• 小規模言語モデル(SLM)をお客様環境で学習させて提供。
• 予防第一のクラウドセキュリティ　CheckPointSoftwareTechnologies社
• CloudStorageSecurity社 S3上のマルウェア検出やデータ漏洩防止(DLP)

IAM Access Analyzer カスタムポリシーチェック機能 Dive Deep

カスタムポリシーチェックあとで調べたい

• ZeroTrustアーキテクチャに関するソリューション
• AmazonVerifiedPermissions
• 最小権限が重要
• 最小権限の実現にIAM Access Analyzerを使う
• 設定：正しい権限を設定→ポリシーチェック、カスタムポリシーチェック
• 検証：権限が意図されらものか確かめる→外部アクセスの検出
• 改善：使われない権限は狭める→未使用アクセスの検出
• 自動推論が強化されている：セキュリティの仕組みを検証し、そして保証すること　例：SDKのCedar
• ポリシーチェックは単純なパターンチェックでポリシーの構文エラーやOverPermissiveを検知
• カスタムポリシーチェックは自動推論を利用して数学的証明に裏付けられた最高レベルのチェック
• ポリシーチェックはCI/CDパイプライン、VSCodeなどに統合可能
• 更新したポリシーで新しいアクセス権限が付与されるかどうかを参照ポリシー(既存バージョンのポリシーなど)との比較で確認
• 指定したAWSアクション・リソースへのアクセス許可をチェック
• AmazonSQSなどのリソースポリシーにパブリックアクセスの有無をチェック
• カスタムポリシーチェックの仕組み　Zelkova
• CI/CDへの組み込み：CloudFormation、CDK、Terraformなどで作られるIAMポリシーが条件を満たしているかをテスト時にチェック。危険な変更はテストで落ちるようにできる
• 料金はAPI呼び出しあたり0.0020USD(24/8時点)
• cfn-policy-validatorでCfnのカスタムポリシーチェックが可能

Serverless applicationとセキュリティ ~開発者にこそ知って欲しい、Amazon S3編

• S3のオブジェクトに着けられるメタデータのContent-TypeとContent-Disposition
• HTTPレスポンスのヘッダで取得できる
• Content-Typeが変更されたときにきにするものXSS(クロスサイトスクリプティング)
  →HTMLとして解釈されるとそれが読み込まれてAWSの認証情報が取得されることもある
• Content-Dispositionが変更されたときにきにするものReflectrdFileDownload
  →その端末で動作する実行ファイルやOSコマンドが実行される危険がある
• x-amz-storage-classが変更されたときにきにするものStorageClassに起因するEDos
  →月のリクエスト回数に対する課金の攻撃や月の保存データ送料に対する攻撃
• getSignedURLの設定、putObjectCommandの設定の検証できていないと危険
• 対策：署名付きURLを用意る場合にMetadataをできる限り指定して生成する
• X-Content-Type-Optionsによる対策
• Validation時の検証における対策：部分一致ではなく完全一致
• ファイルの配信を行うドメインやオリジンを分離する：S３の場合S3のオリジンから直接配信するなど
• マネージドサービスにおける開発者が気にすべきセキュリティ観点、気にすべきMetadataと脆弱性について理解しておく

クラウド相談会

• セキュリティについて学習するサイトや書籍
  →書籍：AWSではじめるクラウドセキュリティ　クラウドで学ぶセキュリティ設計/実装
  →セキュリティ対策がAWSでどのように動いているかを意識して勉強することが大切
  →AWS関係なくクラウドセキュリティとクラウドじゃないところのセキュリティを学ぶことが大切