Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS環境のセキュリティどうやってチェックしてる?

 AWS環境のセキュリティどうやってチェックしてる?

「セキュリティエンジニア勉強会​~社内のセキュリティ環境ってどうしてる!?知見・課題を共有​~」というイベントの登壇資料
https://www.tech-street.jp/entry/2022/08/02/185649
資料の詳細な解説は下記を参照してください。
https://dev.classmethod.jp/articles/how2security-check-on-aws/

cm-usuda-keisuke

August 18, 2022
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. AWS環境のセキュリティ
    どうやってチェックしてる︖
    2022/08/18
    セキュリティエンジニア勉強会
    〜社内のセキュリティ環境ってどうしてる︕︖知⾒・課題を共有〜
    ハッシュタグ: #テックストリート

    View full-size slide

  2. 2
    ⾃⼰紹介
    ⾅⽥佳祐(うすだけいすけ)
    ・クラスメソッド株式会社
    AWS事業本部
    シニアソリューションアーキテクト
    セキュリティチームリーダー
    AWS公認インストラクター
    APN Ambassador
    ・CISSP
    ・Security-JAWS運営
    ・好きなサービス:
    Amazon Detective
    みんなのAWS
    (技術評論社)

    View full-size slide

  3. 3
    セッションテーマ
    クラウドセキュリティの
    恩恵を最⼤限受け
    ポジティブに取り組もう

    View full-size slide

  4. 4
    対象者
    • AWSのセキュリティ対策はまだガッツリ取り組
    めていない情シスとかセキュリティエンジニア
    • AWS触っている⼈
    • 触っていない⼈
    • 社内セキュリティの⼈
    • セキュリティに興味がある⼈
    • だいたいAWSの初級から中級くらい

    View full-size slide

  5. 5
    持ち帰ってもらう事
    • とにかく最強のAWS基礎セキュリティベストプ
    ラクティスを使う
    • 全員巻き込んでポジティブにセキュリティを強
    化する
    • 中級以降からAWSの知識は必須

    View full-size slide

  6. 6
    アジェンダ
    1. AWSセキュリティどこからやるの︖
    2. AWS Security Hubを使ったセキュリティチェッ

    3. クラウドセキュリティのメリットを最⼤限享受する
    には

    View full-size slide

  7. 7
    合わせて読みたい
    セキュリティ対策
    はだいたいここに
    全部ある
    https://dev.classmethod.jp
    /articles/aws-security-all-
    in-one-2021/

    View full-size slide

  8. 8
    合わせて読みたい
    セキュアアカウ
    ントの仕組みの
    説明とコツはこ
    ちらにあります
    https://dev.classmet
    hod.jp/articles/2204
    08-training-webinar-
    aws-security-
    management/

    View full-size slide

  9. 9
    1. AWSセキュリティ
    どこからやるの︖

    View full-size slide

  10. 10
    クラウド特有の
    セットアップをしていく

    View full-size slide

  11. 11
    最初にやること抜粋
    • IAMユーザーを作ってルートユーザーをMFAで封印
    • 必要なサービス有効化
    • CloudTrail
    • Config
    • GuardDuty
    • Security Hub
    • IAM Access Analyzer
    • Detective
    • Well-Architectedフレームワーク読む

    View full-size slide

  12. 12
    合わせて読みたい
    やることはこ
    こにまとまっ
    ています
    https://dev.clas
    smethod.jp/arti
    cles/aws-
    baseline-
    setting-202206/

    View full-size slide

  13. 13
    IAM
    • Identity and Access Management
    • AWSにおけるアクセス制御の基本であり極意
    • セキュリティの原則に従い利⽤
    • 個別のIDを発⾏する
    • 最⼩権限
    • MFA設定
    • アクセスキーの利⽤は注意
    • すべてのAWS利⽤者が理解する必要がある

    View full-size slide

  14. 14
    合わせて読みたい
    IAM再⼊⾨
    やや古いがよくまと
    まっている
    https://dev.classmethod.jp/ar
    ticles/cm-advent-calendar-
    2015-getting-started-again-
    aws-iam/

    View full-size slide

  15. 15
    合わせて読みたい
    すべての開発者はgit-
    secretsを導⼊する
    意図せずアクセス
    キーをGitにコミット
    することを防⽌でき

    https://dev.classmethod.jp/artic
    les/startup-git-secrets/

    View full-size slide

  16. 16
    CloudTrail
    • CloudTrailはAWS上の操作であるAPIを記録する
    • 誰がいつ何をどうしたか、全て記録される
    • いつログインしたか
    • 誰がサーバーを作成したか
    • いつ削除したか
    • ログはS3に保存しておく

    View full-size slide

  17. 17
    合わせて読みたい
    最初にCloudTrailを
    有効化する
    全リージョンで⼀括
    の設定が可能で必須
    https://dev.classmethod.jp
    /articles/aws-cloudtrail-
    all-regions-on/

    View full-size slide

  18. 18
    Config
    • 各種AWSリソースの変更を記録・管理する
    • 時系列に変更を辿れる
    • セキュリティグループがいつ作られたか
    • いつどのように変更されたか
    • 関連性を辿れる
    • どのEC2と紐付いているか
    • どのVPCと紐付いているか
    • 問題ある設定を是正する

    View full-size slide

  19. 19
    合わせて読みたい
    AWS Configも最初
    に有効化する
    リージョン毎の設定
    なので全リージョン
    回す
    グローバルリソース
    記録は1つでいい
    https://dev.classmethod.
    jp/articles/aws-config-
    start/

    View full-size slide

  20. 20
    Well-Architectedフレームワーク
    5つの柱に基づいたベストプラクティスを
    理解できる

    View full-size slide

  21. 21
    合わせて読みたい
    初めて読む⼈はこのブ
    ログから読むとよく理
    解できる
    熟練者もこのブログで
    早引きできる
    つまり全員使うと良い
    ブログ
    https://dev.classmetho
    d.jp/articles/aws-well-
    architected-guide/

    View full-size slide

  22. 22
    AWSを利⽤する⼤前提
    すべてのAWS利⽤者は
    AWSの基本的なセキュリティを
    理解する必要がある

    View full-size slide

  23. 23
    とはいえ
    いっぱいあってやっぱり⼤変では︖

    View full-size slide

  24. 24
    2. AWS Security Hubを使った
    セキュリティチェック

    View full-size slide

  25. 25
    AWSの良さ
    マネージドサービスで楽できる

    View full-size slide

  26. 26
    マネージドサービスとは︖
    • インフラを気にせず機能を利⽤できる
    • やりたいことに注⼒できる

    View full-size slide

  27. 27
    AWS Security Hub
    セキュリティチェック

    View full-size slide

  28. 28
    合わせて読みたい
    セキュリティチェックの
    概念から様々な⼿法のメ
    リットデメリットなどま
    とまっています
    https://dev.classmethod.jp/art
    icles/2020-strongest-aws-
    securitycheck-practice/

    View full-size slide

  29. 29
    セキュリティチェック⽅法
    • Security Hubはセキュリティチェック運⽤の理想形
    • 直感的なスコア表⽰
    • 無効化・例外の設定管理
    • AWSが最新のベストプラクティスを適⽤
    • 「AWS の基本的なセキュリティのベストプラクティスコント
    ロール(AWS Foundational Security Best Practices)」の
    ルールが優秀
    • 現状38リソースタイプ・190種類のチェック
    • 更新頻度が⾼い(リリースから約2年半で31回更新)
    • ⾃動修復ソリューション
    • マルチアカウント・マルチリージョンの集約

    View full-size slide

  30. 30
    AWS Security Hubのセキュリティチェック
    直感的な
    スコア表
    ⽰で達成
    度がわか
    りやすい

    View full-size slide

  31. 31
    対応リソースタイプ
    •ACM
    •APIGateway
    •AutoScaling
    •CloudFormation
    •CloudFront
    •CloudTrail
    •CodeBuild
    •Config
    •DMS
    •DynamoDB
    •EC2
    •ECR
    •ECS
    •EFS
    •EKS
    •ElasticBeanstalk
    •ELB
    •ELBv2
    •EMR
    •ES
    •GuardDuty
    •IAM
    •Kinesis
    •KMS
    •Lambda
    •Network Firewall
    •NetworkFirewall
    •OpenSearch
    •RDS
    •PCI
    •Redshift
    •S3
    •SageMaker
    •SecretsManager
    •SNS
    •SQS
    •SSM
    •WAF 38種類︕

    View full-size slide

  32. 32
    Security Hubの運⽤ポイント
    • 全AWSアカウント全リージョンで有効化
    • 東京リージョンに集約
    • 「AWSの基本的なセキュリティのベストプラクティス」
    を適⽤する
    • ⾒つかる問題を解決する
    • 新しい問題が出たら通知する
    • みんなが⾒える場所に通知してみんなで直す
    • スコアが⾒えるのでみんなで達成しやすい

    View full-size slide

  33. 33
    合わせて読みたい
    Security Hubの解
    説とどんな⾵に運⽤
    したらいいかをまと
    めています
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-with-
    securityhub-2021/

    View full-size slide

  34. 34
    ⾃動修復ソリューション
    マルチアカ
    ウント連携
    した修復の
    仕組みを展
    開できる

    View full-size slide

  35. 35
    3. クラウドセキュリティの
    メリットを最⼤限享受するには

    View full-size slide

  36. 36
    AWSセキュリティの考え⽅
    AWSに関わる全ての⼈が
    セキュリティ担当者
    全員でセキュリティの課題に取り組む

    View full-size slide

  37. 37
    AWS Security Hubのセキュリティチェック
    このスコアを良くし
    ていくのは開発者を
    中⼼に取り組む
    AWSアカウント単
    位で修正してもらう
    通知はみんなの⾒え
    るところで⾏う
    同じ違反を防ぐ事が
    できる

    View full-size slide

  38. 38
    周りの巻き込み⽅
    セキュリティスコアの
    全体通知

    View full-size slide

  39. 39
    セキュリティスコアはAPIで取得できない
    ので無理やり取
    得してみた
    https://dev.class
    method.jp/article
    s/get-control-
    finding-
    summary-by-
    boto3/

    View full-size slide

  40. 40
    セキュリティスコアランキングを掲載
    スコアが低い順じゃなくて、⾼い順Top10とかポジ
    ティブなランキングにする

    View full-size slide

  41. 41
    100%達成を盛⼤に祝う
    ベースラインが100%の場合は達成した時に盛⼤に祝

    View full-size slide

  42. 42
    合わせて読みたい
    AWS上級者となっ
    て会社全体のセ
    キュリティを向上
    する仕組みづくり
    をするヒントはこ
    ちら参照
    https://dev.classme
    thod.jp/articles/dev
    io-2022-how2make-
    strongest-aws-
    secure-accounts/

    View full-size slide

  43. 43
    クラウド利⽤が広範囲になってきたら
    CCoEなどクラウドを推進する
    組織づくりを頑張る

    View full-size slide

  44. 44
    CCoEの例

    View full-size slide

  45. 45
    合わせて読みたい
    CCoEの1つの実装例
    ⽴ち上げ過程やどの
    ような⽅針で推進し
    たか解説されていま

    https://dev.classmethod.j
    p/articles/shionogi-
    devshow/

    View full-size slide

  46. 46
    合わせて読みたい
    クラウド推進する
    組織に必要なこと
    が書いてある
    責任者も担当者も
    必読
    https://dev.classmetho
    d.jp/articles/bookrevie
    w-ccoe-best-practice/

    View full-size slide

  47. 47
    合わせて読みたい
    セキュアなAWS設
    定と実運⽤の例
    デフォルトでセキュ
    リティを強化した
    AWSアカウント発
    ⾏も無償でしてます
    (宣伝)
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-bestpractice-
    on-secure-account/

    View full-size slide

  48. 48
    セキュアアカウントの構成

    View full-size slide

  49. 50
    まとめ
    • 基本のセットアップをやる
    • Security Hubをポチッと有効化してAWS
    基礎セキュリティのベストプラクティスを
    超絶活⽤する
    • 全員で取り組める仕組みを作り巻き込む

    View full-size slide