[SEC201] Proactive security: Considerations and approaches（セキュリティ）

投稿日: 2022/12/09

「サービスチームは彼らのサービスのセキュリティを担当し、AWS SecurityはAWSのセキュリティを担当する」AWSのCISOであるCJ Mosesが言ったことで、AWS Securityに対する誇りが垣間見えます。

今回のセッションでは、先制的なセキュリティについて考慮すべき事項とアプローチについて学びました。

セキュリティ所有権の強化

「Two-pizza team」とは、2枚のピザを分けて食べるときにピザが残るほど小さい規模のチームをいいます。

チームが小さいほどコラボレーションが良くなるという考えから始まったもので、チームにサービスの所有権をもたらし、社会的制約を最小化(Conway's law)し、意思決定に対する自律性を維持して市場に新製品を披露したり、バグを修正する状況で今までよりも早くコラボレーションできるというコンセプトです。

予防的セキュリティミッション

セキュリティ上の問題を抱えているサービスは顧客を満足させることはできませんが、リリースされていないサービスはもともと顧客にサービスを提供する機会がありません。

サービスチームがお客様の環境に合わせた適切なセキュリティレベルでスケジュールに合わせてリリースできるようにします。

顧客とBuildersの両方に提供される要素には、「セキュリティ、Buildersの経験、顧客の概念」があります。

その中で、Builderの経験については、上記のようなソフトウェア開発ライフサイクルとセキュリティレビュープロセスがあります。

私たちは適切に高いセキュリティポリシーを使用しています。

• スケジュールに従って始めること
• 開発ライフサイクルの初期段階でリスクと結果を特定する
• レビュープロセスの混乱と変動を減らすこと

を目指します。

AWS Guadiansプログラムを使用すると、セキュリティタスクをBuilderチームに割り当てることで、ビジネスプロセスの時間を短縮できます。

Guardians vs. セキュリティエンジニア

[Guardians]AWS Secutiry Guardians の目的は、セキュリティのオーナーシップを AWS Security の外部に拡張することです。

[セキュリティエンジニア]事前に準備するために訓練を受けた専門家であるセキュリティエンジニアは、お客様とAWSを保護するためにビルダーがもたらすリスクを理解し最小限に抑えます。

Guardians programの影響力

• AWSは、セキュリティを「考える方法」について約2,000人のソフトウェア開発エンジニアを教育しました。
• セキュリティレビューでは、AppSecレビュー中に発見された中および高重大度の調査結果が22.5％減少し、15,973件の調査結果が減少しました。
• セキュリティレビューにより、全体的なセキュリティレビューの完了時間を26.9％短縮し、合計210,216日間節約できます。

それでは、どうやって始めればいいですか？

• さまざまなGuardiansを特定し、組織の目標を設定
• 始めるために必要なスキルとメンタリングで顧客の能力を強化
• 継続的な知識共有によるコミュニティ構築
• ガーディアン効果の測定、報告、認識
• 定性的および定量的データを使用した継続的なフィードバックメカニズムの構築

また、大きな目標には以下の項目があります。

• 顧客データセキュリティのための運用安全、セキュリティ、およびコンプライアンス要件を満たす必要
• AWS 全体でオペレーティングシステムとデータへのユーザーアクセスの削減
• 監視、警告、監査のための標準化の組み入れ

Mechanicとは、オペレータが直接アクセスしなくてもオペレーティングホストでコマンドを実行できる統合オペレーションツールです。Buildersは、生産リソースにアクセスすることなく生産リソースに対処することができ、実行中のすべてのアクションがレビュー、テスト、承認されました。Reporting UIは、どのツールが実行され、誰が実行されたかを示します。

それでは、これはどのように始めればいいですか？

• アイデンティティから始めなさい：人間をシステムから遠ざけよう
• 短期資格証明を販売するための要求/承認メカニズムを提供しよう
• 繰り返し可能なプレイブックを作成して運用環境を自動化しましょう
• 監査とレビューを使用して、意見を把握し、次に自動化する項目を決定します。

これに向かって進むには、問題を解決するためにビルダーに優先順位を付ける措置を提供し、ビルダーに代わって修正を自動化し、古い依存関係を持つBuilders Teamに通知する必要があります。

Software assurance servicesの画面例です。

始めるために

• ソフトウェアを構築するコンポーネントの理解
• 開発者の環境に応じて AWS と AWS Partner ツールを組み合わせる
• オートメーションを使用して、使用中のパッケージと時期の可視性を提供
• Buildersが正しいパッケージを簡単に使用できるようにする

が必要です。

Talos

• ビルダーがタロス契約を開始します。
• タロスはビジネスを選び、サービスについて学び、関連するガイダンスを提供します。ベンダーは、Guardian と共にガイドラインとレビューを実施します。
• 作成者がレビューのために送信しました
• レビューとペンテスト
• 承認

セキュリティモニターの効率を測定するためのセキュリティレビュー調査仕上げは、セキュリティ契約提出の品質を評価し、指定された場合は保護者にフィードバックを提供します。

Builders' experience metrics

ビルド、インプリメンテーション、およびプロダクションのサポート全体で手動で繰り返しタスクを削除するときに、ビルドチームと上級管理者がチームの能力を簡単に確認できるように、以下のようにサポートします。

• チームが使用するツールを通じてBuilderインサイトを提供
• 組織および調査で提起された共通の関心事を検討するためのメカニズムの確立

それでは、次のステップにはどんなものがありますか？サービスを構築および管理しながら、差別化されていない負荷の場所を特定して、システムへの相互アクセスを減らし、自動化の増加を測定します。また、AWS Code ArtifactとAmazon Inspectを使用して構築し、潜在的な問題の可視性を確保します。

セキュリティ担当者に情報を提供するための構築者は、Guardianプログラムの教育、測定、報告、および認識を通じて彼らの影響を識別します。