またまたドキュメントをながめていたところ、待望のアップデートを見つけたのでシェアします。 AWS WAFのWebACLトラフィックログをCloudwatch LogsまたはS3に直接出力することが可能になりました！ AWS WAFのWebACLトラフィックログ 従来は以下記事のようにKinesis Data Firehoseを介してCloudWatch LogsまたはS3に出力する必要がありました。 今回のアップデートでAWS WAFから直接CloudWatch Logs、S3に出力可能となりましたので控えめに言って最高のアップデートですね！ 注意点 CloudWatch Logsロググループ名およびS3バケット名はaws-waf-logs-から始まる名前であること Kinesis Data Firehoseも配信ストリーム名でも同じ制約がありましたが、CloudWatch Logs、S3

ドキュメントをながめていたところ、AWS WAFでCAPTCHAが利用可能になったようです！ CAPTCHAって何？ CAPTCHAはCompletely Automated Public Turing test to tell Computers and Humans Apartの略で、簡単に言ってしまうとWebサイトへのリクエストがコンピュータによるものか人がアクセスしているのかを区別するためのテストです。 「私はロボットではありません」 という項目にチェックを入れて、難読な文字を入力したり、簡易的なパズルを行ったりした経験が皆さんあるかと思います。それです。 CAPTCHAチャレンジパズル ささっと検証したところでは3つのパズルを確認することができました。 視覚パズル 1つはカーソルをスライドし、右上に指示された図形と同じ図形を完成させます もう1つは、車のルートをたどり、最終地点に

re:Invent が近づくにつれて続々とアップデートが続いていますね。（追いかけるのが大変です、、） 本日も新たなサービスとして 「AWS Network Firewall」 がリリースされました！ AWS Network Firewall とは AWS Network Firewall は VPC 向けのステートフルなマネージドネットワークファイアウォールのサービスです。インターネットゲートウェイ、NAT ゲートウェイ、VPC、DirectConnect など VPC の境界でトラフィックをフィルタリングすることができます。 （似たようなサービス名で AWS Firewall Manager がありますが、あちらは AWS WAF をアカウントで管理するためのサービスです） AWS Network Firewall のメリット ステートフルで高度なフィルタリング ステートフルなルールと

「API Gateway に出来て、なんで AppSync には出来へんのや・・・」と枕を濡らした夜もあったよね。それも今日までだ。 本日のアップデートにより AWS AppSync で AWS WAF を利用できるようになりました！ AWS AppSync adds support for AWS WAF AWS AppSync の AWS WAF 対応 従来、AWS AppSync のセキュリティ機能としては「APIキー認証」「IAM認証」「OpenIDConnect認証」「Cognito認証」といった 4 つの認証を提供していますが、それ以外の IP 制限といった機能はありませんでした。 今回 AWS WAF サポートによって IP 制限は勿論のこと XSS、SQL インジェクション、Rate Limit など様々な観点での Web の脅威から AppSync GraphQL API

私の力不足により実機検証の内容はありません。アップデート内容およびその背景について触り程度にまとめました。 本日のアップデートで ALB および CLB が HTTP Desync 緩和モードをサポートするようになりました。 Application and Classic Load Balancers are adding defense in depth with the introduction of Desync Mitigation Mode 何がうれしいのか HTTP Desync 攻撃とは このアップデートの何が嬉しいのかを理解するには、まず HTTP Desync 攻撃 について知る必要があります。 近年では Web アプリケーションでは CDN やプロキシをフロントエンドに配置し、バックエンドのサーバーにリクエストを転送するような構成を一般的にとられているかと思います。まず

AWS コンソールを見ていたところ Amazon GuardDuty が S3 データアクセスイベントの脅威検出に対応していました。 まだ公式ドキュメント等が更新されていないようで、これ以上の情報がありません。。ひとまず「速報」としてシェアいたします。 2020.08.01 ・公式ブログが公開されましたので追記しました あわせて、公式ドキュメントも更新されています。 何がうれしいのか これまで S3 データアクセスに対する脅威検出は Amazon Macie を利用する必要がありましたが、旧バージョンの Amazon Macie（現在の Amazon Macie Classic）が利用できるリージョンはバージニアとオレゴンのみでした。 また、先日 Amazon Macie は新バージョンになり東京リージョンで GA されていますが、新バージョンの Amazon Macie では Amazo

Amazon Linux 2 のカーネルライブパッチは、プレビューリリース時点では AWS Systems Manager のパッチマネージャーはサポートされていませんでしたが、GA によってパッチマネージャーによる管理もサポートされるようになっています。 ざっくりとしたカーネルライブパッチの動きは上記のブログを参照いただくとして、本記事では追加機能であるパッチマネージャー対応についてご紹介したいと思います。 パッチマネージャーとは？ パッチマネージャーは AWS Systems Manager の機能のひとつで、EC2 インスタンスのパッチ適用の運用、管理を行うことができる便利な機能です。 管理台数が多いと、セキュリティ脆弱性やバグなどの修正パッチを適用するのは大変です。 パッチマネージャーを利用することで、いまどのインスタンスが基準を満たしていないのかを管理したり、重大なセキュリティ脆

本日のアップデートで、Amazon Linux 2 のカーネルライブパッチが一般利用可能になりました。 Kernel Live Patching for Amazon Linux 2 is now generally available 4月にプレビューとしてリリースされていたものですね。 何がうれしいのか OS を安全および安定的に運用するために、セキュリティ脆弱性やバグ修正に対応するための Linux カーネルのアップデートは欠かせない運用です。しかし、カーネルのアップデートにはアプリケーションの停止や、再起動が必要となるため、アプリーケーションの中断するタイミングを調整する手間が必要となります。 また、その調整によってアップデート適用が遅れることは、リスクのある状態を少なからずとも放置することになりますので、安定・安全を目指す運用メンバーからすれば望ましい状況ではないでしょう。 この

先日のアップデート記事にてクロスアカウントのプライベートホストゾーンが悪用されるケースについてさらっと触れましたが、本記事にてもう少し詳細に説明したいと思います。 想定している環境 今回の想定は外からの攻撃ではなく、内部の悪意のある従業員による攻撃を想定しています。 悪意のある従業員は攻撃用の AWS アカウントにプライベートホストゾーンを作成し、攻撃対象の VPC に対して関連付け出来るように承認を行います。 $ aws route53 create-vpc-association-authorization \ --hosted-zone-id Z0726249140AAR8TX1YWT \ --vpc VPCRegion=ap-northeast-1,VPCId=vpc-010be4739e500d319 HostedZoneId: Z0726249140AAR8TX1YWT VPC

先日のアップデートで VPC に関連付けられたプライベートホストゾーンを一覧表示できるようになりました。 Amazon Route 53 Launches New API Action to list Private Hosted Zones associated with your Amazon VPCs 「・・・ふーん。」 という声が聴こえてきそうですが、めっちゃ重要なアップデートなんですよ！ということを紹介していきたいと思います。 何がうれしいのか VPC を指定して関連付けられたプライベートホストゾーンを確認できる 従来、プライベートホストゾーンにどの VPC が関連付いているかを get-hosted-zone を使って確認することは出来ました。 $ aws route53 get-hosted-zone --id Z2X1XA0PM2BA6I HostedZone: Calle

いずれも東京リージョンでの価格です。最新情報は公式の価格表を参照ください。 従来の Macie は Macie Classic という名前に変わっているようですね。 Amazon Macie Classic 従来の Amazon Macie はこのタイミングで Amazon Macie Classic と改名されているようですね。こちらの対応リージョンは変わっていないので、東京リージョンでは利用できません。 公式ガイドも Amazon Macie と Amazon Macie Classic で分けられているのでご注意ください。 Amazon Macie 公式ガイド Amazon Macie Classic 公式ガイド 注意点 個人識別情報(PII)については、日本の運転免許証などは未対応のようです。新しい製品ページ（en）を見ても、特に対応言語についての言及はありませんが、まだ日本語には

[アップデート] AWS Config の適合パックに「CIS コンプライアンスパック」および「AWS Control Tower Detective Guardrails」2 つのテンプレートが追加されました 適合パックに「CIS ベンチマーク」および「AWS Control Tower」 向けの 2 つのテンプレートが追加されました。CIS ベンチマークの Config ルールって Security Hub と被ってません、、？ 先日のアップデートで AWS Config の適合パック（コンフォーマンスパック）に以下 2 つのテンプレートが追加されました。 CISコンプライアンスパックテンプレート CIS 要件への準拠を検証するのに役立ちます。ただし、すべての CIS 要件すべてをカバーするものではありません。Config ルールを使用してカバーできる要件のみであることに注意してくださ

S3 の GuardDuty 的なサービスが本当は欲しいんやけど。無いものは無いので簡易的に異常アクセス数を検出する仕組みを作ってみた。 みなさん、S3 の異常アクセスてどうやって検出していますか？ EC2 への異常アクセスであれば GuardDuty がありますよね。CloudFront, ALB, API Gateway であれば AWS WAF がありますよね。S3 は？ S3 Access Analyzer？ あれは 99% アクセス分析やってくれそうなサービス名ですが、アクセスが来たものを対象に分析するサービスではなく、「アクセスされる危険性があるよー」という分析をしてくれるサービスなので違うんですよ。 AWS CloudTrail Insights？ あー、CloudTrai Insights は API コールのアクティビティを機械学習し、異常な挙動が起きた場合に知らせてくれ

2020.04.01 追記 公式より GA のアナウンスがありました。 ・Amazon Detective is now generally available いつからか正確にわからないのですが、昨晩、ポチポチと AWS コンソールを触っていたら Amazon Detective が利用可能になっていることに気づきました！ Amazon Detective はプライベートプレビューでしたので、プレビューの利用申請が必要だったと思うのですが、特に申請していない私のアカウントでも利用できています ドキュメントにも「プレビューで許可されたアカウントのみ API が実行できる」と書いてますので、許可されてないアカウントでも利用できている今の状況は拡大解釈すると GA? Amazon Detective is currently in preview. The Detective API can

大規模な環境で利用されているユーザにとっては嬉しいアップデートですね！ なお、上記の新料金体系は 2020年3月1日 より適用されているとのことです。 CloudTrail の最適化 上記ボリュームディスカウントは大規模な環境でなければ恩恵がありませんが、その他にも CloudTrail の最適化も導入されています。 これらの最適化により脅威検出のために処理されるイベントが少なくなりますので、すべてのユーザでコスト削減に繋がることになります。 第3ラウンドということで、CloudTrail 最適化による改善は継続的に行われているようですね！(第1ラウンド、第2ラウンド) まだ使っていないという方！ 今すぐ有効化しましょう！ コストが気になるという方は、是非、以下の記事をお読みください。30 日間の無料トライアルで実環境のコストを明確に確認することもできます。 アクセスキー漏洩の事故によるお

みなさん Macie 使ってますか？ え。読み方知ってますよね・・（震え声 Amazon Macie は S3 のオブジェクトを機械学習によって機密データの検出、クラス分類、不正アクセスの危険性があるものをアラートで配信してくれる非常に便利なサービスです。 冒頭、「使ってますか？」と聞いたものの、残念ながら東京リージョンにはまだ来ておらず、利用できるのはバージニアとオレゴンのみです。早く東京リージョンに来て欲しいサービスの 1 つですね。 今回、Macie を使うなかでアラートの誤検知に遭遇する機会がありましたので、その際に行った対処等についていご紹介したいと思います。 Macie について 「Amazon Macie って何だっけ？」という方は、是非、以下の記事をあわせてお読みください。ちょっと古い記事にはなりますが、それほどアップデートも多くないので概要を把握するには十分な記事となって

本日のアップデートにより、AWS 製のマネージドルール 「AWS Managed Rules for AWS WAF」 に匿名 IP リスト（Anonymous IP List) のルールが追加されました。 AWS WAF adds Anonymous IP List for AWS Managed Rules 何が嬉しいのか Anonymous IP List には、悪意のある攻撃の際に利用されやすい「匿名プロキシ(Anonymous Proxy)」、「Tor ノード(IP 発信元の匿名化)」、「VPN」、「ホスティングプロバイダー」からのリクエストをブロックするルールが含まれています。 アプリケーションから身元を隠そうとしている Web リクエストを除外する場合に利用できます。これらのサービスの IP アドレスをブロックすることで Bot や、CloudFront などで設定された地域

Security Hub が PCI DSS バージョン 3.2.1 にあわせた自動セキュリティチェックをサポートするようになりました。 AWS Security Hub launches security checks aligned to the Payment Card Industry Data Security Standard これまで CIS ベンチマーク (CIS AWS Foundations Benchmark) に対応していた Security Hub ですが、今回のアップデートにより PCI DSS v3.2.1 の要件チェックできるわけですね。すばらしい。 14 サービス 32 要件に対するチェック 今回の自動セキュリティチェックでは 14 の AWS サービスで 32 の PCI DSS 要件に対して継続的なチェックを行うことで、PCI DSS セキュリティのア

2020年2月6日に開催された『JAWS-UG Osaka 「知ってると役立つ、AWSちょいテク祭り」』で、「セキュリティ、ネットワークまわりのちょいテク」について話しました。 発表資料 発表した資料はコチラです。 さいごに 今回は、普段はあまり追っかけられてない「セキュリティ」について、登壇ドリブンでインプットしました。インプットするにあたっては Developers.IO を読み漁りましたが、手前味噌ですが弊社ブログにだいたいのことは書いていて最高やな、と思いました。 以上！大阪オフィスの丸毛（@marumo1981）でした！

AWS WAF にうれしいアップデートが来ました！ これまで Rate-based ルールは5分間で2000リクエストが最小しきい値でしたが、本日のアップデートにより5分間で100リクエストから指定可能になりました！ Lower Threshold for AWS WAF Rate-based Rules なにが嬉しいのか 従来は「5分間で2000リクエスト」が下限でしたので、それなりのリクエスト数がない場合は Rate-based ルールはハマらないケースがありました。また Rate-based ルールを回避するような、ゆったりとしたブルートフォースアタックも Rate-based ルールで防ぐことが出来ませんでしたが、こういった環境にも適用が可能となります。 その他の用途としては、攻撃的なアクセスの防御だけではなく、例えばユーザごとの API 使用制限なども Rate-based ルー