AWS Control Tower - AWSマネージドサービスを活用した効率的なアプローチ

© 2022, Amazon Web Services, Inc. or its Affiliates. All
rights reserved. 1 アマゾンウェブサービスジャパン合同会社 AWSマネージドサービスを活⽤した効率的なアプローチ - AWS Control Tower

rights reserved. 2 ⾃⼰紹介名前︓中島智広（なかしまともひろ）職種︓セキュリティソリューションアーキテクト業務︓お客さまのセキュリティ、ガバナンス、コンプライアンス、レジリエンスの取り組みをAWSの利活⽤の視点から⽀援モットー︓「楽に運⽤できるAWSアーキテクチャ」

rights reserved. 3 お話しすること 1. マネージドサービスとAWS Control Tower 2. 効率的なアプローチを考える 3. まとめ Appendix︓ • AWS Control Tower相当の統制のメカニズムを⾃前で作るには • カスタマイズ拡張のテンプレート化 • re:Invent2022より事例セッションのご紹介

rights reserved. 4 マネージドサービスと AWS Control Tower

rights reserved. 5 マネージドサービスとは • お客様がインフラの構築や運⽤をせずに機能を利⽤可能なサービスの総称 • ⼀般的なユースケースに基づくリッチな機能をすぐに⼿軽に利⽤可能 • 構築や運⽤が楽になり、ビジネスの差別化につながる業務に集中できる AWS クラウドのセキュリティに対する責任 SECURITY ʻOFʼ THE CLOUD お客様クラウド内のセキュリティに対する責任 SECURITY ʻINʼ THE CLOUD お客様のデータプラットフォーム、アプリケーション、IDとアクセス管理オペレーティングシステム、ネットワークとファイアウォール構成クライアント側データ暗号化データ整合性認証サーバー側暗号化 (ファイルシステムやデータ) ネットワークトラフィック保護 (暗号化、整合性、アイデンティティ) ハードウェア/AWSグローバルインフラストラクチャーソフトウェアリージョンアベイラビリティゾーンエッジロケーションコンピュートストレージデータベースネットワーキング https://aws.amazon.com/jp/compliance/shared-responsibility-model/

rights reserved. 6 AWSではマルチアカウントがベストプラクティス⼩さな独⽴した複数のAWSアカウントでシステムを構成する、アーキテクチャ的、組織的アプローチを推奨 6 AWS アカウント AWS アカウント AWS アカウント AWS アカウント AWS アカウント VPC VPC VPC VPC AWS アカウント本番開発セキュリティ運⽤管理本番開発セキュリティ運⽤管理アカウント統制シングルアカウントアーキテクチャマルチアカウントアーキテクチャ

rights reserved. 7 マルチアカウントアーキテクチャを採⽤する主な理由これらはすべて運⽤性にかかわる重要なポイント明確な環境分離権限委譲の単位複雑性の回避 AWSアカウントはシンプルで強固な環境分離の単位、明⽰的に許可を追加しない限り、デフォルトで分離されている請求の分離部⾨単位やシステムの単位でAWSのコストが明確に分離できる AWSアカウントはリソースのコンテナ、特定のビジネス部⾨に対し権限を委譲する単位として扱いやすいひとつひとつのAWSアカウントの構成がシンプルになり、可視性が⾼まる

rights reserved. 8 AWS Control Tower 管理のためのダッシュボードリスクあるアクションを予防/発⾒するコントロール新規作成AWSアカウントに対するベースライン統制の展開ログ取得の強制とアーカイブ集約セキュリティモニタリングの集約アイデンティティ＆アクセス管理 AWS Control Tower • AWSのセキュリティサービス群にベストプラクティスに則った設定を投⼊し、統制を利かせたアカウント統制環境（Landing Zone）を構成するマネージドサービス • 複数のAWSアカウントの管理、統制を⾏うツールの第⼀選択肢として推奨

rights reserved. 9 AWS Control Towerの基本メカニズムとベネフィット • AWSのセキュリティサービス群にベストプラクティスに則った設定を投⼊し、統制を利かせたマルチアカウント環境（Landing Zone）を構成する AWS Control Tower AWS Organizations AWS IAM Identity Center AWS Config AWS Service Catalog User AWS CloudFormation AWS CloudTrail AWS Security Hub AWSが考えるベストプラクティス環境運⽤を効率化するプリセットの提供管理者の知識やスキルによらず統制の整った運⽤をジャンプスタート

rights reserved. 10 AWS Control Towerは3種類のコントロールを提供予防的コントロール (AWS Organizations service control policies) • ポリシー違反につながるアクションを禁⽌し、コンプライアンスを維持することを確実にする発⾒的コントロール (AWS Config rules / AWS Security Hub) • 望ましくない変更を⾏なった場合、それを発⾒するプロアクティブコントロール (AWS CloudFormation Hooks/Guard rules) New! • 準拠していないリソースがプロビジョニングされる前に完全にブロック（すべてのAWS CloudFormationを⽤いたプロビジョニングが対象）

rights reserved. 11 コントロールが充実、より使いやすく代表的なAWSサービスの「これ、注意するとよいですよ」を362のプリセットで提供「AWSの⾔うガードレールの概念はわかるけど、具体的に何から始めたらいいですか︖」を解消例︓Amazon SageMakerを使いたい è Amazon SageMakerを対象とするコントロールを有効化管理者が AWS サービスの使⽤を許可するまでにかかる時間を短縮できる（サービスの仕様とリスクを把握する時間＋コントロールを構成する時間）接頭辞「CT.」追加された新しいコントロール（含むプロアクティブコントロール） 135 Controls 接頭辞「SH.」 AWS Security Hub「基礎セキュリティのベストプラクティス」のコントロール 163 Controls 接頭辞「AWS-GR_」「ガードレール」として⻑年提供されていたもの 64 Controls 2022年11⽉アップデート

rights reserved. 12 AWSアカウントの初期セットアップをより効率化プログラム的に新しい AWS アカウントの初期セットアップをできるようにし、 AWSアカウント作成時の⼿間と⼯数を削減 • AWS Control Towerを⽤いたAWSアカウント作成時に、AWS Service Catalogの製品を指定する • お客さま管理、AWS 管理、またはパートナーののAWS Service Catalogの製品を指定する Account Factory Customization(AFC) 2022年11⽉アップデート

rights reserved. 13 各AWSアカウントで利⽤される「基礎セキュリティのベストプラクティス」の設定とは別枠で管理される。このため、CT管理者とメンバーアカウント利⽤者の設定がコンフリクトしない。発⾒的ガードレール powered by AWS Security Hub NEW! Ø 「AWS基礎セキュリティのベストプラクティス」のコントロールをAWS Control Towerから管理対象のすべてのOU/リージョンにわたって選択的に有効化可能 Ø 共通のConfig ruleで評価されるため、AWS Security Hub/AWS Control Tower 各々から有効化したものが重複して課⾦されることはない AWS Security Hub Checks Manages & deploys AWS Control Tower

rights reserved. 14 効率的なアプローチを考える

rights reserved. 15 ⼤事な考え⽅︓Building Blocks マネージドサービスもBuilding Blocksのパーツのひとつ

rights reserved. 16 セキュリティの視点から︓再構築より再利⽤ 16 セキュリティ＆ガバナンスはリファレンスが明確な領域、ベースラインとなる基本的な統制はワークロード毎に相反しないベースラインはすでにあるものを使い迅速に展開し、固有の統制のみをビルディングブロックすると効率的

rights reserved. 17 AWS Control TowerはAWSアカウント統制の模範であり習作 • AWS Control Towerを通じてAWSアカウント統制の理解が深まる • 同じアプローチでお客様は独⾃の統制メカニズムを展開、拡張できる AWS Control Tower AWS Organizations AWS IAM Identity Center AWS Config AWS Service Catalog AWSが考えるベストプラクティス実装再利⽤可能なエッセンスの集合体 User AWS CloudFormation AWS CloudTrail AWS Security Hub

rights reserved. 18 統制を効率よくカスタマイズし保守するにはベースライン（1階層⽬）は既製の統制メカニズムをそのまま利⽤し、カスタマイズ拡張（2階層⽬）を疎結合に構成することで、各々の機能追加やバージョンアップにシームレスに追従できる 18 1階層 2階層既製の統制メカニズム（例︓AWS Control Tower）統制メカニズム① 統制メカニズム② 統制メカニズム③ お客様固有の要件のためのカスタマイズ拡張統制メカニズムA 統制メカニズムB 統制メカニズムC AWS Control Towerが構成した統制メカニズムはAWS Control Tower以外から変更を加えない固有の要件を満たすためのカスタマイズを1階層⽬とは疎結合にアドオンする

rights reserved. 19 AWS Control Towerを採⽤するべきか︖ • AWS Control Towerを採⽤しない合理的な理由は⼀般的に⾒当たらない • AWS Control Towerはこれからも機能拡張でどんどん便利になる • 管理者の好みや組織の既存の運⽤スタイルが最終的な採否の検討要素 • 導⼊の懸念はメカニズムの理解が解消、AWS/パートナーにご相談くださいで[検索] AWS 個別相談会申込みはイベント告知サイトから (https://aws.amazon.com/jp/about-aws/events/)

rights reserved. 20 まとめマネージドサービスであるAWS Control Towerの活⽤により、セキュリティ＆ガバナンスに掛かるお客様の⼿間を削減つまり、“楽に運⽤”できるセキュリティを提供します。

rights reserved. 21 Appendix︓ AWS Control Tower相当のメカニズムを⾃前で作るには

rights reserved. 22 例えば、以下のサービス群を組み合わせて機能を実装する AWS Config/ Config Rules AWS Organizations AWS CloudFormation AWS IAM Identity Center AWS CloudTrail AWS Security Hub

rights reserved. 23 AWSアカウントアクセスの⼀元管理アイデンティティストア AWSアカウントB AWS IAM Identity Center AWSアカウントA Users AWS IAM Identity Center 単⼀のIDを⽤いた複数のAWSアカウントに対するシングルサインオンを実現する仕組み、複数の AWS アカウントやアプリケーションへのアクセスの⼀元管理を実現 AWSアカウントへのアクセスを⼀元管理できる

rights reserved. 24 統制の展開や保守を⼀元管理インフラストラクチャをコードとして扱うことで、AWS およびサードパーティーのリソースをモデル化、プロビジョニング、管理を実現 AWS CloudFormation StackSetsを⽤いることで複数のAWSアカウント、複数のリージョンにリソースを展開し管理可能リージョン Stack Stack Stack Stack AWSアカウント A AWSアカウント B アカウントC アカウントD アカウントE AWSアカウント A AWSアカウント B アカウントC アカウントD アカウントE 管理アカウント 24

rights reserved. 25 証跡の保全と⼀元管理すべてのアカウントのログを 1 つのアカウントへ AWS アカウント AWS アカウント AWS アカウント AWS アカウント AWS CloudTrail 専⽤のAWSアカウントに集約することで • AWSアカウントの侵害や内部不正、オペレーションミスへの耐性を獲得する • 調査や分析をしやすくする

rights reserved. 26 AWSアカウント単位での強⼒な予防的統制 AWSアカウントのrootユーザーの権限も制限できるService Control Policyを提供、AWSアカウントをまとめてグループ化する組織単位（OU）に対して適⽤する AWS Organizations ルート OU OU 1 OU 2 { "Effect": "Allow", "Action": "*", "Resource": "*" } アタッチ済み: FullAWSAccess { "Effect": "Deny", "Action": [ "ec2:DeleteFlowLogs", "logs:DeleteLogGroup", "logs:DeleteLogStream",] "Resource": "*" } 継承: FullAWSAccess アタッチ済み: Deny_DeleteLogs 26

rights reserved. 27 構成変更に対する発⾒的/予防的統制 AWS Config/ Config Rules AWSインフラストラクチャの変更管理を担うサービス、⾃動で変更を保存、さらに変更内容をルールに則って評価、必要な場合は修復アクション（Remediation）まで⾏う AWS Security Hub AWSインフラストラクチャのポスチャマネジメントを担うサービス。外部基準やAWSのベストプラクティスとの設定の乖離を明らかにする AWS CloudFormation Hooks AWS CloudFormationを⽤いた環境のデプロイ時に任意の処理を実⾏する機能。AWS Control Towerでは、与えられたテンプレートの構成をチェックし、不適切なリソースがあればデプロイをブロックする。

rights reserved. 28 Appendix︓ カスタマイズ拡張のテンプレート化

rights reserved. 29 カスタマイズ拡張もテンプレート化して再利⽤ • AWS Control Tower 環境へ展開可能な統制のサンプル実装 • メンテナンスしやすい Cloud Development Kit (CDK) コード • AWS Japan の SA が開発・メンテナンス https://github.com/aws-samples/baseline-environment-on-aws たとえば、Baseline Environment on AWS（BLEA） Governance Base for Control Tower Guest Guest System Guest Account Guest Account Baseline Environment on AWS で提供 AWS ControlTower Guest Account Guest Account Management Account

rights reserved. 30 テンプレートの活⽤イメージ（BLEAを題材に）カスタマイズゲストシステムのサンプルテンプレートガバナンスベースのテンプレート BLEA on GitHub ガバナンスベースゲストシステムゲストシステム CDK CDK CDK CDK CDK システムA システムB ガバナンスベースシステムA 担当システムB 担当システム B ⽤システム A ⽤ガバナンス担当カスタマイズカスタマイズ CDK CDK ※BLEAテンプレートはMIT-0ライセンスで公開した AWSのベストプラクティスのサンプル実装であり、構築された環境の品質をAWSが保証するものではありません。実際の構築・運⽤にあたって、お客様でテンプレートのカスタマイズやテストの実施が必要です。 CDK CDK CDK Fork ⾃社⽤にカスタマイズしたベースライン 30

rights reserved. 31 テンプレートを⽤いた統制の展開を詳しく学ぶにはテンプレートを使ったAWS環境のガバナンス管理 - Baseline Environment on AWS（BLEA）徹底解説 - AWS上に多様なシステムを構築するにあたり、全社共通で実施すべきセキュリティなど基本設定を、どうやって展開およびチェックするのか︖ その⼀つの⽅法として、カスタマイズ性の⾼いベースライン（基本的な設定）、アプリケーションサンプルテンプレート、そしてガードレールを使い、ガバナンスを実現する⽅法を紹介します。実装例として、AWS Samplesで公開している CDK テンプレート "Baseline Environment on AWS (BLEA)"を紹介します。その設計思想やマルチアカウント環境での利⽤⽅法も解説します。⼤村幸敬部⻑/シニアソリューションアーキテクト 31 https://www.youtube.com/watch?v=xAndnrcpc7Y

rights reserved. 32 Appendix︓ re:Invent2022より事例セッションのご紹介

rights reserved. 33 3M: Architecting for innovation in regulated industries(COP315) • およそ300のHIPAA/HITRUST/GDPR準拠のワークロードをAWS Control Towerを⽤いて展開し、迅速にガバナンス＆コンプライアンスを実現した話 • 18のAWSアカウントから300以上のAWSアカウントへの移⾏するにあたり、運⽤負荷を最⼩限に抑えるためにAWSアカウントのセットアップを⾃動化した © 2022, Amazon Web Services, Inc. or its affiliates. All rights reserved. Account Provisioning Workflow Application team Amazon API Gateway AWS Step Functions AWS Control Tower Account Factory AWS Lambda AWS Service Catalog AWS CloudFormation JIRA portal - Request account Account ready Create account Control Tower lifecycle event Account Customizations Security Tooling Networking IAM

rights reserved. 34 Establishing your cloud foundation on AWS̶ beyond your landing zone (ARC205) AWS利⽤の第⼀歩を作ってもらうためのフレームワーク「Cloud Foundations on AWS」の解説と、これを適⽤してCloud Foundationに取り組んだEBSCO社の歩みを紹介【参考】https://docs.aws.amazon.com/pdfs/whitepapers/latest/establishing-your-cloud-foundation-on- aws/establishing-your-cloud-foundation-on-aws.pdf

rights reserved. 35 Thank you!

AWS Control Tower - AWSマネージドサービスを活用した効率的なアプローチ

AWS Control Tower - AWSマネージドサービスを活用した効率的なアプローチ

Other Decks in Technology

Featured

Transcript