Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWS全体のセキュリティ管理と快適なセキュリティ運用

 AWS全体のセキュリティ管理と快適なセキュリティ運用

2022年4月8日に行われたAWSトレーニング・人材育成ウェビナーの資料です。
詳細な解説は以下ブログを参照してください。
https://dev.classmethod.jp/articles/220408-training-webinar-aws-security-management

cm-usuda-keisuke

April 30, 2022
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. AWS全体のセキュリティ管理と
    快適なセキュリティ運⽤
    2022/04/08
    AWSトレーニング・⼈材育成ウェビナー 今あなたが学ぶべきAWSセキュリティ

    View full-size slide

  2. 2
    ⾃⼰紹介
    ⾅⽥佳祐(うすだけいすけ)
    ・クラスメソッド株式会社
    AWS事業本部
    シニアソリューションアーキテクト
    セキュリティチームリーダー
    AWS公認インストラクター
    APN Ambassador
    ・CISSP
    ・Security-JAWS運営
    ・好きなサービス:
    Amazon Detective
    みんなのAWS
    (技術評論社)

    View full-size slide

  3. 3
    セッションテーマ
    AWSセキュリティを理解して
    便利に運⽤しよう

    View full-size slide

  4. 4
    対象者
    • AWSを直接使う⼈
    • AWSを使う仕組みを作る⼈
    • AWSを使える⼈を育成する⼈
    • だいたい全員

    View full-size slide

  5. 5
    持ち帰ってもらう事
    • AWSを直接使う⼈
    • 絶対おさえておくAWSセキュリティ基礎
    • AWSを使う仕組みを作る⼈
    • 組織の仕組みに組み込むセキュリティ
    • AWSを使える⼈を育成する⼈
    • AWS学習のお役⽴ちコンテンツ

    View full-size slide

  6. 6
    アジェンダ
    1. AWSセキュリティの基本
    2. 便利なAWSセキュリティサービス
    3. 組織で整備する仕組み

    View full-size slide

  7. 7
    合わせて読みたい
    セキュリティ対策
    はだいたいここに
    全部ある
    https://dev.classmethod.jp
    /articles/aws-security-all-
    in-one-2021/

    View full-size slide

  8. 8
    合わせて読みたい
    AWS Skill Builderで
    無料のEラーニングが
    たくさんあるので活⽤
    する
    https://dev.classmetho
    d.jp/articles/aws-
    skillbuilder/

    View full-size slide

  9. 9
    1. AWSセキュリティの基本

    View full-size slide

  10. 10
    AWS上で発⽣した事故から学ぶ
    • AWS利⽤でよく発⽣するインシデント
    • EC2でコインマイニング
    • S3の情報漏えい
    • どちらも権限管理(アクセス制御)の問題

    View full-size slide

  11. 11
    AWSセキュリティの基本の1つ
    AWSにおける権限管理を理解する

    View full-size slide

  12. 12
    AWSで実現できることは⾮常に広範囲
    AWS の クラウドが選ばれる 10 の理由 | AWS
    https://aws.amazon.com/jp/aws-ten-reasons/

    View full-size slide

  13. 13
    AWSの可能性は無限⼤
    • 様々なアプローチにAWSが活⽤できる
    • ⾯倒なことはAWSに任せてビジネスに集中できる
    • 反⾯、何でも出来ることに気をつける必要がある
    • まず権限管理から始める

    View full-size slide

  14. 14
    権限管理のポイント
    • IAM(Identity and Access Management)
    • AWS上のアクセス制御サービス
    • 最⼩権限の原則を意識して設定する
    • アクセスキー/シークレットアクセスキーを守る
    • S3
    • オブジェクトストレージのサービス
    • 重要なデータが保存されている場所を認識する
    • データを直接公開しない
    • ブロックパブリックアクセスを有効化する

    View full-size slide

  15. 15
    合わせて読みたい
    すべての開発者はgit-
    secretsを導⼊する
    意図せずアクセス
    キーをGitにコミット
    することを防⽌でき

    https://dev.classmethod.jp/artic
    les/startup-git-secrets/

    View full-size slide

  16. 16
    合わせて読みたい
    ブロックパブリック
    アクセスの機能によ
    りすべてのS3バ
    ケットの誤った公開
    を防⽌できる
    https://dev.classmeth
    od.jp/articles/s3-
    block-public-access/

    View full-size slide

  17. 17
    実際のインシデントの事例
    GitHubに乗ってから10分で悪⽤された
    No 時間 状況
    1 00:00
    お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ
    トリにPush
    2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる
    3 00:30
    AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏
    洩した旨、および、対応⽅法をご連絡(電話、メール)
    4 01:00 当該キー経由で作成されたリソースを全て削除
    5 XX:XX IAMユーザーのアクセスキーをローテーション
    5 XX:XX IAMユーザーのパスワードをローテーション

    View full-size slide

  18. 18
    実際のインシデントの事例
    実際にアクセス
    キーが漏洩した
    ときに何が起き
    たか記録したブ
    ログ
    https://dev.class
    method.jp/articl
    es/accesskey-
    leak/

    View full-size slide

  19. 19
    AWSを利⽤する⼤前提
    すべてのAWS利⽤者は
    AWSの基本的なセキュリティを
    理解する必要がある

    View full-size slide

  20. 20
    無料のデジタルトレーニングを活⽤する
    • すべてのAWS利⽤者に以下を受講してもらう
    • Introduction to AWS Identity and Access
    Management (IAM) (Japanese) (⽇本語吹き替え版)
    • 10分の簡単なIAMの概要
    • https://explore.skillbuilder.aws/learn/course/external/view/elearning/5843/introduction-to-
    aws-identity-and-access-management-iam-japanese-ri-ben-yu-chuiki-tie-ban
    • AWS Foundations: Securing Your AWS Cloud
    (Japanese) (⽇本語吹き替え版)
    • 50分のAWSセキュリティの基本
    • https://explore.skillbuilder.aws/learn/course/internal/view/elearning/1356/aws-foundations-
    securing-your-aws-cloud-japanese-ri-ben-yu-chuiki-tie-ban

    View full-size slide

  21. 21
    合わせて読みたい
    「AWS利⽤開始時に
    最低限おさえておき
    たい10のこと」
    最初に知るべきこと
    がまとまっている公
    式の資料
    https://pages.awscloud.com/eve
    nt_JAPAN_at-least-10-
    ondemand.html?trk=aws_event_
    page

    View full-size slide

  22. 22
    2. 便利なAWSセキュリティサービス

    View full-size slide

  23. 23
    AWSの良さ
    マネージドサービスで楽できる

    View full-size slide

  24. 24
    マネージドサービスとは︖
    • インフラを気にせず機能を利⽤できる
    • やりたいことに注⼒できる

    View full-size slide

  25. 25
    AWSセキュリティのマネージドサービス
    • 2つのサービス
    • AWS Security Hub
    • AWS環境の設定をセキュリティチェックする
    • 危険な設定に気づいて是正できる
    • Amazon GuardDuty
    • AWS上のログから脅威を検知
    • セキュリティの問題をいち早く発⾒して通知
    できる
    • どちらもポチッと有効化するだけ

    View full-size slide

  26. 26
    AWSセキュリティのマネージドサービス
    • 使うのも簡単
    • すぐ有効化
    • ログ収集設定や管理が不要
    • 運⽤も簡単
    • 通知を受け取る
    • 書いてある内容とユーザーガイドをみて対処

    View full-size slide

  27. 27
    AWS Security Hub
    セキュリティチェック

    View full-size slide

  28. 28
    AWS Security Hubのセキュリティチェック
    直感的な
    スコア表
    ⽰で達成
    度がわか
    りやすい

    View full-size slide

  29. 29
    対応リソースタイプ
    • ACM
    • APIGateway
    • AutoScaling
    • CloudFront
    • CloudTrail
    • CodeBuild
    • Config
    • DMS
    • DynamoDB
    • EC2
    • ECS
    • EFS
    • ElasticBeanstalk
    • ELB
    • ELBv2
    • EMR
    • ES
    • GuardDuty
    • IAM
    • KMS
    • Lambda
    • RDS
    • Redshift
    • S3
    • SageMaker
    • SecretsManager
    • SNS
    • SQS
    • SSM
    • WAF

    View full-size slide

  30. 30
    Security Hubの運⽤ポイント
    • 全AWSアカウント全リージョンで有効化
    • 東京リージョンに集約
    • 「AWSの基本的なセキュリティのベストプラクティス」
    を適⽤する
    • ⾒つかる問題を解決する
    • 新しい問題が出たら通知する
    • みんなが⾒える場所に通知してみんなで直す
    • スコアが⾒えるのでみんなで達成しやすい

    View full-size slide

  31. 31
    合わせて読みたい
    Security Hubの解
    説とどんな⾵に運⽤
    したらいいかをまと
    めています
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-with-
    securityhub-2021/

    View full-size slide

  32. 32
    ⾃動修復ソリューション
    マルチアカ
    ウント連携
    した修復の
    仕組みを展
    開できる

    View full-size slide

  33. 33
    Amazon GuardDuty
    脅威検知

    View full-size slide

  34. 34
    GuardDutyの検知内容(ほんの⼀部)
    • IAMタイプ
    • 不正ログイン
    • 漏洩したクレデンシャル利⽤
    • CloudTrail無効化
    • EC2タイプ
    • コインマイニング
    • C&Cサーバー接続
    • SSHブルートフォース(受信 or 送信)
    • S3タイプ
    • 不⾃然なバケット公開(情報漏えい)
    • Torアクセス

    View full-size slide

  35. 35
    対応⽅法
    GuardDutyのユー
    ザーガイドに検知
    結果毎の対応⽅法
    がわかりやすく記
    載されている
    https://docs.aws.amazon.co
    m/ja_jp/guardduty/latest/u
    g/guardduty_finding-types-
    active.html

    View full-size slide

  36. 36
    初動対応計画
    • 検知結果毎ざっくり3種類準備しておく
    • IAMタイプ
    • 認証情報を無効化する
    • EC2タイプ
    • EC2を隔離、保全、調査する
    • 調査は得意な会社に依頼できる準備でもいい
    • S3タイプ
    • アクセス権限を絞る

    View full-size slide

  37. 37
    IAMタイプの初動対応例
    • IAM Userならアクセスキーを無効化・削除
    • IAM Roleならセッションの無効化をポチ
    • CloudTrailで何をされたか調査

    View full-size slide

  38. 38
    EC2タイプの初動対応例
    Security Groupを
    変更して隔離
    (in/out無し)
    AMIバックアップ取

    サーバーやストレー
    ジ調査(できれば、
    プロに任せたほうが
    いい)

    View full-size slide

  39. 39
    S3タイプの初動対応例
    パブリックアクセスブロックする

    View full-size slide

  40. 40
    GuardDutyの運⽤ポイント
    • 全AWSアカウント全リージョンで有効化
    • 通知設定をしてすぐに気付けるようにする
    • みんなが⾒える場所に通知してみんなで直す
    • スコアが⾒えるのでみんなで達成しやすい
    • 対応の準備をしておく
    • ⼿順の整理
    • 誰に連絡するのか
    • 誰が判断するのか

    View full-size slide

  41. 41
    合わせて読みたい
    GuardDutyの解説と
    どんな⾵に運⽤した
    らいいかをまとめて
    います
    https://dev.classmethod.jp/articl
    es/aws-security-operation-with-
    guardduty-2021/

    View full-size slide

  42. 42
    無料のデジタルトレーニングを活⽤する
    • AWSセキュリティ仕組みづくりに役⽴つコース
    • AWS Security Fundamentals (Second Edition)
    (Japanese)
    • AWSセキュリティ管理の2時間コース
    • https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/aws-security-
    fundamentals-second-edition-japanese
    • Getting Started with AWS Security, Identity, and
    Compliance (Japanese)
    • 権限管理や統制の3時間コース
    • https://explore.skillbuilder.aws/learn/course/external/view/elearning/953/getting-started-
    with-aws-security-identity-and-compliance-japanese

    View full-size slide

  43. 43
    3.組織で整備する仕組み

    View full-size slide

  44. 44
    AWSセキュリティの考え⽅
    ⼿動の運⽤ではなく
    ⾃動化された仕組みで対応する

    View full-size slide

  45. 45
    組織レベルの効率的なAWS管理
    • 原則としてAWSアカウントは環境分離のためたくさ
    ん作られる
    • 1つのシステムで開発・検証・本番と3アカウント作成が
    ベストプラクティス
    • 増え続けるAWSアカウントに⾃動で対応
    • セキュアな設定を適⽤
    • セキュリティチェックを実施
    • イベントを集約・⾃動対応

    View full-size slide

  46. 46
    正しいAWSセキュリティの⽅針
    • 何でも禁⽌する(ゲートを設ける)と俊敏性を損なう
    • 危なく無いようにガードレールを設けて、その中で
    ⾃由にしてもらうようにする

    View full-size slide

  47. 47
    AWS Organizationsとは
    • 複数のAWSアカウント
    を束ねる仕組み
    • OUを定義して配下にア
    カウントをまとめられる
    • Service Control
    Policy(SCP)を利⽤して
    強制的なアクセス制御が
    可能

    View full-size slide

  48. 48
    SCPを利⽤したガードレール
    • SCPの例
    • 特定リージョン使⽤禁⽌
    • CloudTrail無効化禁⽌
    • GuardDuty無効化禁⽌
    • S3バケット公開禁⽌
    • タグのないリソース作成禁⽌
    • https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/
    orgs_manage_policies_scps_examples.html
    • 開発環境 / 本番環境 / 共⽤環境などで使い分ける

    View full-size slide

  49. 49
    合わせて読みたい
    Organizationsについて
    必要な知識や関連サービ
    スについて⼀通り説明あ

    https://dev.classmethod.jp/articles/l
    ets-study-aws-organizations-basic/

    View full-size slide

  50. 50
    AWS Organizations連携
    • 様々なAWSサービスと連携して簡単に全体管理でき

    • AWS SSO
    • CloudFormation StackSets
    • GuardDuty
    • Security Hub
    • Systems Manager
    • CloudTrail
    • Config
    • などなど

    View full-size slide

  51. 51
    CloudFormation StackSets
    • Organizationsがなくてもリージョンやアカウント
    をまたがるCloudFormation展開が可能

    View full-size slide

  52. 52
    合わせて読みたい
    簡単に全体を⾃動化
    https://dev.classmethod.
    jp/articles/cloudformati
    on-stacksets-sample-
    sns-topic/

    View full-size slide

  53. 53
    合わせて読みたい
    AWS SummitでVisional
    様が発表した内容
    Terraformで全体へ展開
    https://dev.classmethod.jp/articles/a
    ws-summit-online-2020-cus-06/

    View full-size slide

  54. 54
    AWS SSO
    AWSアカウントの認証情報を集約できる
    シングルサインオンの仕組み

    View full-size slide

  55. 55
    合わせて読みたい
    よく分かる(かもし
    れない)図解
    https://dev.classmethod
    .jp/articles/aws-sso-
    wakewakame/

    View full-size slide

  56. 56
    Jumpアカウント
    • AWS SSOを利⽤しなくてもSSOする⼿段はある
    • SAML連携
    • JumpアカウントへのIAM User集約

    View full-size slide

  57. 57
    AWS Control Tower
    AWSのベストプラ
    クティスに従った構
    成でガードレールを
    効かせる仕組み
    AWS
    Organizationsと
    連携する

    View full-size slide

  58. 58
    合わせて読みたい
    Control Towerの必要
    性や背景、代替案などは
    全部ここで説明していま

    https://dev.classmethod.jp/ar
    ticles/jaws-days-2021-
    control-tower/

    View full-size slide

  59. 59
    CCoEの例

    View full-size slide

  60. 60
    合わせて読みたい
    CCoEの1つの実装例
    ⽴ち上げ過程やどの
    ような⽅針で推進し
    たか解説されていま

    https://dev.classmethod.j
    p/articles/shionogi-
    devshow/

    View full-size slide

  61. 61
    合わせて読みたい
    クラウド推進する
    組織に必要なこと
    が書いてある
    責任者も担当者も
    必読
    https://dev.classmetho
    d.jp/articles/bookrevie
    w-ccoe-best-practice/

    View full-size slide

  62. 62
    合わせて読みたい
    セキュアなAWS設
    定と実運⽤の例
    デフォルトでセキュ
    リティを強化した
    AWSアカウント発
    ⾏も無償でしてます
    (宣伝)
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-bestpractice-
    on-secure-account/

    View full-size slide

  63. 63
    セキュアアカウントの構成

    View full-size slide

  64. 65
    まとめ
    • 基本の権限管理は全員理解する
    • マネージドのセキュリティサービスを
    ポチッと有効化して運⽤する
    • 仕組みを作って全体をセキュアに保つ

    View full-size slide