OPS

search

対応クラウド
対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド 対応クラウド
監視サービス
CLOUDクラウド ON PREMISEオンプレミス SECURITYセキュリティ OPTIONオプション
AWS re:Invent2022 セッションレポート

【AWS re:Invent2022】新機能!Amazon GuardDuty RDS Protection!

2022.12.07

本記事のポイント

AWSが主催するクラウドコンピューティング最大のイベント「AWS re:Invent」が、2022年11月28日~12月2日にかけてアメリカのラスベガスにて開催されます。本ブログでは、AWS re:Inventに実際に参加したエンジニアから、イベントの様子やKeynote(基調講演)の現地レポートをいち早くお届けします。

今回は、12/1(水)17:30~18:30に開催された新機能であるAmazon GuardDuty RDS Protectionに関する講演をお伝えします。



AWS re:Invent とは?

re:Inventとは、Amazon Web Services(以下、AWS)が主催するAWSに関するセッションや展示ブース、試験準備のためのブートキャンプやゲーム化された演習などを通じて、参加者が主体的に学習できるAWS最大のイベントです。

昨年も今年同様でラスベガスとオンラインにて開催されており、85以上の新サービスや新機能が発表されました。昨年の参加人数はオンサイト参加者2万人以上、バーチャル参加者は60万人以上になります。

Amazon GuardDuty RDS Protection

今回は、12/1(水)17:30~18:30に開催された新機能であるAmazon GuardDuty RDS Protectionに関する講演をリポートします。公式サイトによるセッション紹介を日本語訳すると、以下のような内容になります。

このセッションでは、Amazon GuardDuty RDS 保護について学びます。

Amazon GuardDuty が調整された ML モデルを使用して、Amazon Aurora から始めて、Amazon RDSデータベースに保存されているデータに対する潜在的な脅威を表す悪意のあるアクティビティや疑わしい動作を特定する方法をご覧ください。

Amazon Aurora は、Amazon RDS の一部としてクラウド用に構築された、完全マネージド型の MySQL および PostgreSQL 互換のリレーショナル データベースです。GuardDuty と Aurora の直接統合について学び、組織全体のデータベースをより簡単に保護し、GuardDuty が不正なログインなどの潜在的な問題を正確に検出して、エスカレートする前にそれらを停止する方法を順を追って説明します。

引用元:AWS re:Invent公式サイト

登壇者

登壇者はこちらの方です。

会社名 登壇者 役職
Amazon Web Services Jeremiah Wilton Senior Principal Technologist
Amazon Amit Megiddo Principal PM Amazon GuardDuty

セッション概要

前半ではAmazon RDSとAmazon GuardDutyの概要説明が行われ後半では新機能であるAmazon GuardDuty RDS Protectionに関する紹介がありました。

Amazon GuardDutyについて

Amazon GuardDutyは以下の5つの特徴を持ちます。

  • ワンクリックで組織全体のアクティベーションが可能
  • AWSアカウントとリソースを継続的に監視可能
  • 回避攻撃技術を検出するML
  • AWSおよび主要な第三者からの脅威インテリジェンスを検知
  • エンタープライズ全体の統合と管理

    • Amazon GuardDuty RDS Protection

    概要

    Amazon GuardDuty RDS Protectionの特徴は以下です。

  • 疑わしいログインを特定することでAmazon RDS Database(Aurora)に保存されているデータを保護できる
  • ワンクリックで組織全体のRDSを保護することができる
  • 機械学習により脅威となるアラートを選定しノイズを軽減している(RDSのログインアクティビティをモデル化した機械学習によりRDSへの疑わしいログインを正確に検出可能)

    • 異常検出に関するディープダイブ

    上記の画像データベースのアクセスログになりますが1件だけ不正アクセスと思われるログが存在しています。

    不正アクセスと思われるログには直近のログには存在しないクライアントIPが使用されていたりユーザー名が異なっていたりと他のログと比べてあきらかに奇妙であり特徴があります。

    このようなログから機械学習を使用したモデルを構築し不正な攻撃やエクスプロイトを検知できる今回の新機能の実装を行ったとのことでした。

    どのような脅威から保護することができるのか

    Amazon GuardDuty ProtectionはDDoS攻撃はもちろんのことユーザのVPC外のIPアドレスからrootなどのデフォルトルールが試行されている場合にも検知することができます。

    不正アクセスを検知した場合、その不正な接続の試行が成功したか失敗したかも把握することができます。

    またその不正アクセスの内容によりセキュリティグループを強化することや不正アクセスに使用されたクレデンシャルを変更するなど検知後のとるべきアクションのアドバイスを受けることもできます。

    不正アクセス検知時に得ることができる情報について

    不正アクセス検知時には主に以下の情報をJSON型で受け取ることができます。

  • 不正アクセスのログインが成功したか失敗したか
  • ユーザー名、データベース名、アプリケーション名、データベースにアクセスしたASNなど
  • 不正アクセスが行われたリソース情報(データベース名、アクセスしたユーザーなど)
  • データベースに不正アクセスしたIP。国、ASNなど

    • まとめ

    GuardDuty RDS Protectionは現在preview版となっているようですが現状でもAWS環境のデータベースセキュリティ向上に有用な機能であると感じました。

    今後のアップデートにも注目しつつみなさんもぜひ導入を検討してみてはいかがでしょうか!

    TWEET SHARE BOOKMARK
    関連記事
    インフラの管理をIaC化!AWSでOpenTofuを実行する方法

    インフラの管理をIaC化!AWSでOpenTofuを実行する方法

    AWS SSMでEC2の起動/停止をスケジューリングしてみた
    「Azure Virtual Desktop」と「Amazon WorkSpaces」を徹底比較!

    「Azure Virtual Desktop」と「Amazon WorkSpaces」を徹底比較!
    JIG-SAW OPS 監視運用 滝口

    JIG-SAW OPS「監視・運用代行サービス」
    担当者インタビュー
    BACK TO LIST
    CATEGORY
    TAG
    タグ一覧へ
    サーバ運用保守・運用監視ならJIG-SAW OPS