「AWS認定 セキュリティ-専門知識」を読んだ。
過去に「AWS認定 セキュリティ-専門知識」を読んだで知らなかったことをまとめたが、さらに読み込んだ。
あらためて各種サービスの説明がわかりやすく丁寧であることを感じた。
ConfigでEC2の構成をチェックすることが可能
AWS ConfigとAWS Systems Managerを連携させることで、EC2上のカーネルバージョンや特定ソフトがインストールされているかなどのチェックが可能。つまりオンプレミスサーバも管理可能。
https://dev.classmethod.jp/articles/awsconfig-am/
X-Rayでサポートされている言語
EC2、Elastic Beanstalk、Amazon ECS、AWS Lambdaにて実行されているC#、Go、Java、Node.js、Python、Rubyなどを分析可能。
https://docs.aws.amazon.com/ja_jp/xray/latest/devguide/xray-usage.html#xray-usage-languages
Amazon Inspectorが利用できるのはEC2のみ
オンプレミスサーバでは利用できない。
Kinessis Data Streamsの処理性能
・数十万規模のインプット(プロデューサ)を処理することが可能。
・シャードは1MB/sで1000PUT/sを処理可能。シャードを増やすことで処理量を増やすことが可能。
・データは24時間から最大7日間保持される。
AWS Firewall Manager
WAF、Shield Advanced、VPC Security Groupのポリシーを一元管理可能。
Route 53 トラフィックポリシー
NLBは急激なスパイクに耐えられる
NLBはALBと異なり暖機運転なしに急激なスパイクにも対応可能。(ALBはスケールが間に合わない場合あり)
NLBはAWS Hyperplaneと呼ばれる特殊なAWS独自の負荷分散技術を用いているらしい。
(EFS、NATGateway、PrivateLink、NLBのコア技術として利用されている)
IAM Access Analyzer
アタッチされているポリシーをチェックして、外部からアクセスされる可能性の有無を表示する。
(対象リソースは、S3バケット、IAMロール、KMSキー、Lambda、SQS)
KMSのキーマテアリアルはインポート可能
暗号や複合に利用するキーデータをキーマテリアルと呼ぶ。通常はAWS側で自動作成されるが、自分たちで用意してインポートも可能。(BYOKと呼ぶ)
インポート方法は、マテリアルを暗号化後AWSへアップロードする。BYOKは鍵に特定の要件があるケースや鍵の利用可能期間を定めたい場合に有効。
Cloud HSMとは
専用のハードウェアを利用して、ユーザが用意した暗号化キーをVPC内で管理するサービス。
VPCエンドポイントのアクセス制限方法
Gatewayタイプはアクセスポリシー(バケットポリシーのような記法で疎通可能なVPCなどを指定可能)を設定し、Interfaceタイプはセキュリティグループを設定する。