今日やったこと
昨日は、勉強全くしないお休みにした。
今日は、AWS DVA(デベロッパーアソシエイト)の参考書で、セキュリテ関連サービスの章を読んだ。
セキュリテイ関連サービス
WAF
Webアプリケーションの脆弱性を悪用した攻撃から守る仕組み
AWS Shield
L3(ネットワーク層)、L4(トランスポート層)、L7(アプリケーション層)レイヤーへのDistributed Denial-of-Service(分散型サービス妨害、DDoS)攻撃から、システムを保護する仕組み
AWS ShieldにはStandardとAdvancedがある
AWS Shield Standard
L3、L4を対象としたDDos攻撃から保護する機能
デフォルトで有効になっており、無料で使用可能
AWS Shield Advanced
L3、L4、L7を対象としたDDoS攻撃からの保護
攻撃の通知やレポーティング機能を提供
Amazon GuardDuty
ユーザーの動作や通信をモニタリング・分析し、脅威を識別する脅威検出サービス
AWSのセキュリティのベストプラクティスでは、有効化することが推奨されているらしい
Amazon Inspector
EC2の脆弱性診断も可能
診断機能は、ホスト型診断と外部ネットワーク型診断がある
ホスト型診断
サーバ内部から脆弱性を確認する診断法
EC2にエージェントのインストールが必要
外部ネットワーク型診断
外部ネットワークからの脆弱性を確認する方法
エージェントのインストールは不要
AWS Systems Manager(Parameter Store)
AWSにおけるシステム運用をサポートするサービス
ソフトウェアイベントリの収集、OSパッチ適用、メンテナンス作業の自動化などを実行できる
Parameter Store
AWSのサービスやアプリケーションで利用するパラメータを管理する機能
KMSと統合されており、セキュリティに関するパラメータを暗号化してセキュアに管理可能
AWS Secrets Manager
データベースのパスワードやAPIキーなどデータ流出の危険性がある認証情報を集約し、管理するサービス
AWS Secrets ManagerとParameter Storeの違いとして、Secrets Managerは、シークレットの更新間隔を指定すると自動でパスワード変更を行う
Amazon Detective
各種AWSサービスから収集できるデータを分析、可視化し、インシデントの原因を特定するサービス
Amazon Macie
S3バケットとS3バケット内のオブジェクトを分析し、脅威の検出やデータ分類を行う
終わりに
軽く概要だけを整理して並べて書いてみたけど、覚えようとしたらごちゃごちゃになりそう
一度は試しに触るかハンズオンのサイト見るなりして、イメージ固めて覚えていきたい