AWS全体のセキュリティ管理と快適なセキュリティ運用

Transcript

1. AWS全体のセキュリティ管理と 快適なセキュリティ運⽤ 2022/04/08 AWSトレーニング・⼈材育成ウェビナー 今あなたが学ぶべきAWSセキュリティ

2. 2 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター APN Ambassador

   ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon Detective みんなのAWS (技術評論社)

3. 3 セッションテーマ AWSセキュリティを理解して 便利に運⽤しよう

4. 4 対象者 • AWSを直接使う⼈ • AWSを使う仕組みを作る⼈ • AWSを使える⼈を育成する⼈ • だいたい全員

5. 5 持ち帰ってもらう事 • AWSを直接使う⼈ • 絶対おさえておくAWSセキュリティ基礎 • AWSを使う仕組みを作る⼈ • 組織の仕組みに組み込むセキュリティ

   • AWSを使える⼈を育成する⼈ • AWS学習のお役⽴ちコンテンツ

6. 6 アジェンダ 1. AWSセキュリティの基本 2. 便利なAWSセキュリティサービス 3. 組織で整備する仕組み

7. 7 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

8. 8 合わせて読みたい AWS Skill Builderで 無料のEラーニングが たくさんあるので活⽤ する https://dev.classmetho d.jp/articles/aws-

   skillbuilder/

9. 9 1. AWSセキュリティの基本

10. 10 AWS上で発⽣した事故から学ぶ • AWS利⽤でよく発⽣するインシデント • EC2でコインマイニング • S3の情報漏えい • どちらも権限管理(アクセス制御)の問題

11. 11 AWSセキュリティの基本の１つ AWSにおける権限管理を理解する

12. 12 AWSで実現できることは⾮常に広範囲 AWS の クラウドが選ばれる 10 の理由 | AWS https://aws.amazon.com/jp/aws-ten-reasons/

13. 13 AWSの可能性は無限⼤ • 様々なアプローチにAWSが活⽤できる • ⾯倒なことはAWSに任せてビジネスに集中できる • 反⾯、何でも出来ることに気をつける必要がある • まず権限管理から始める

14. 14 権限管理のポイント • IAM(Identity and Access Management) • AWS上のアクセス制御サービス •

    最⼩権限の原則を意識して設定する • アクセスキー/シークレットアクセスキーを守る • S3 • オブジェクトストレージのサービス • 重要なデータが保存されている場所を認識する • データを直接公開しない • ブロックパブリックアクセスを有効化する

15. 15 合わせて読みたい すべての開発者はgit- secretsを導⼊する 意図せずアクセス キーをGitにコミット することを防⽌でき る https://dev.classmethod.jp/artic les/startup-git-secrets/

16. 16 合わせて読みたい ブロックパブリック アクセスの機能によ りすべてのS3バ ケットの誤った公開 を防⽌できる https://dev.classmeth od.jp/articles/s3- block-public-access/

17. 17 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush

    2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏 洩した旨、および、対応⽅法をご連絡（電話、メール） 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

18. 18 実際のインシデントの事例 実際にアクセス キーが漏洩した ときに何が起き たか記録したブ ログ https://dev.class method.jp/articl es/accesskey-

    leak/

19. 19 AWSを利⽤する⼤前提 すべてのAWS利⽤者は AWSの基本的なセキュリティを 理解する必要がある

20. 20 無料のデジタルトレーニングを活⽤する • すべてのAWS利⽤者に以下を受講してもらう • Introduction to AWS Identity and

    Access Management (IAM) (Japanese) (⽇本語吹き替え版) • 10分の簡単なIAMの概要 • https://explore.skillbuilder.aws/learn/course/external/view/elearning/5843/introduction-to- aws-identity-and-access-management-iam-japanese-ri-ben-yu-chuiki-tie-ban • AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版) • 50分のAWSセキュリティの基本 • https://explore.skillbuilder.aws/learn/course/internal/view/elearning/1356/aws-foundations- securing-your-aws-cloud-japanese-ri-ben-yu-chuiki-tie-ban

21. 21 合わせて読みたい 「AWS利⽤開始時に 最低限おさえておき たい10のこと」 最初に知るべきこと がまとまっている公 式の資料 https://pages.awscloud.com/eve nt_JAPAN_at-least-10-

    ondemand.html?trk=aws_event_ page

22. 22 2. 便利なAWSセキュリティサービス

23. 23 AWSの良さ マネージドサービスで楽できる

24. 24 マネージドサービスとは︖ • インフラを気にせず機能を利⽤できる • やりたいことに注⼒できる

25. 25 AWSセキュリティのマネージドサービス • 2つのサービス • AWS Security Hub • AWS環境の設定をセキュリティチェックする

    • 危険な設定に気づいて是正できる • Amazon GuardDuty • AWS上のログから脅威を検知 • セキュリティの問題をいち早く発⾒して通知 できる • どちらもポチッと有効化するだけ

26. 26 AWSセキュリティのマネージドサービス • 使うのも簡単 • すぐ有効化 • ログ収集設定や管理が不要 • 運⽤も簡単

    • 通知を受け取る • 書いてある内容とユーザーガイドをみて対処

27. 27 AWS Security Hub セキュリティチェック

28. 28 AWS Security Hubのセキュリティチェック 直感的な スコア表 ⽰で達成 度がわか りやすい

29. 29 対応リソースタイプ • ACM • APIGateway • AutoScaling • CloudFront

    • CloudTrail • CodeBuild • Config • DMS • DynamoDB • EC2 • ECS • EFS • ElasticBeanstalk • ELB • ELBv2 • EMR • ES • GuardDuty • IAM • KMS • Lambda • RDS • Redshift • S3 • SageMaker • SecretsManager • SNS • SQS • SSM • WAF

30. 30 Security Hubの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 東京リージョンに集約 • 「AWSの基本的なセキュリティのベストプラクティス」 を適⽤する

    • ⾒つかる問題を解決する • 新しい問題が出たら通知する • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい

31. 31 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod. jp/articles/aws-security- operation-with-

    securityhub-2021/

32. 32 ⾃動修復ソリューション マルチアカ ウント連携 した修復の 仕組みを展 開できる

33. 33 Amazon GuardDuty 脅威検知

34. 34 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化

    • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • 不⾃然なバケット公開(情報漏えい) • Torアクセス

35. 35 対応⽅法 GuardDutyのユー ザーガイドに検知 結果毎の対応⽅法 がわかりやすく記 載されている https://docs.aws.amazon.co m/ja_jp/guardduty/latest/u g/guardduty_finding-types-

    active.html

36. 36 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ

    • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る

37. 37 IAMタイプの初動対応例 • IAM Userならアクセスキーを無効化・削除 • IAM Roleならセッションの無効化をポチ • CloudTrailで何をされたか調査

38. 38 EC2タイプの初動対応例 Security Groupを 変更して隔離 (in/out無し) AMIバックアップ取 得 サーバーやストレー ジ調査(できれば、

    プロに任せたほうが いい)

39. 39 S3タイプの初動対応例 パブリックアクセスブロックする

40. 40 GuardDutyの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 通知設定をしてすぐに気付けるようにする • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい

    • 対応の準備をしておく • ⼿順の整理 • 誰に連絡するのか • 誰が判断するのか

41. 41 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

42. 42 無料のデジタルトレーニングを活⽤する • AWSセキュリティ仕組みづくりに役⽴つコース • AWS Security Fundamentals (Second Edition)

    (Japanese) • AWSセキュリティ管理の2時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/aws-security- fundamentals-second-edition-japanese • Getting Started with AWS Security, Identity, and Compliance (Japanese) • 権限管理や統制の3時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/953/getting-started- with-aws-security-identity-and-compliance-japanese

43. 43 3.組織で整備する仕組み

44. 44 AWSセキュリティの考え⽅ ⼿動の運⽤ではなく ⾃動化された仕組みで対応する

45. 45 組織レベルの効率的なAWS管理 • 原則としてAWSアカウントは環境分離のためたくさ ん作られる • 1つのシステムで開発・検証・本番と3アカウント作成が ベストプラクティス • 増え続けるAWSアカウントに⾃動で対応

    • セキュアな設定を適⽤ • セキュリティチェックを実施 • イベントを集約・⾃動対応

46. 46 正しいAWSセキュリティの⽅針 • 何でも禁⽌する(ゲートを設ける)と俊敏性を損なう • 危なく無いようにガードレールを設けて、その中で ⾃由にしてもらうようにする

47. 47 AWS Organizationsとは • 複数のAWSアカウント を束ねる仕組み • OUを定義して配下にア カウントをまとめられる •

    Service Control Policy(SCP)を利⽤して 強制的なアクセス制御が 可能

48. 48 SCPを利⽤したガードレール • SCPの例 • 特定リージョン使⽤禁⽌ • CloudTrail無効化禁⽌ • GuardDuty無効化禁⽌

    • S3バケット公開禁⽌ • タグのないリソース作成禁⽌ • https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/ orgs_manage_policies_scps_examples.html • 開発環境 / 本番環境 / 共⽤環境などで使い分ける

49. 49 合わせて読みたい Organizationsについて 必要な知識や関連サービ スについて⼀通り説明あ り https://dev.classmethod.jp/articles/l ets-study-aws-organizations-basic/

50. 50 AWS Organizations連携 • 様々なAWSサービスと連携して簡単に全体管理でき る • AWS SSO •

    CloudFormation StackSets • GuardDuty • Security Hub • Systems Manager • CloudTrail • Config • などなど

51. 51 CloudFormation StackSets • Organizationsがなくてもリージョンやアカウント をまたがるCloudFormation展開が可能

52. 52 合わせて読みたい 簡単に全体を⾃動化 https://dev.classmethod. jp/articles/cloudformati on-stacksets-sample- sns-topic/

53. 53 合わせて読みたい AWS SummitでVisional 様が発表した内容 Terraformで全体へ展開 https://dev.classmethod.jp/articles/a ws-summit-online-2020-cus-06/

54. 54 AWS SSO AWSアカウントの認証情報を集約できる シングルサインオンの仕組み

55. 55 合わせて読みたい よく分かる(かもし れない)図解 https://dev.classmethod .jp/articles/aws-sso- wakewakame/

56. 56 Jumpアカウント • AWS SSOを利⽤しなくてもSSOする⼿段はある • SAML連携 • JumpアカウントへのIAM User集約

57. 57 AWS Control Tower AWSのベストプラ クティスに従った構 成でガードレールを 効かせる仕組み AWS Organizationsと

    連携する

58. 58 合わせて読みたい Control Towerの必要 性や背景、代替案などは 全部ここで説明していま す https://dev.classmethod.jp/ar ticles/jaws-days-2021- control-tower/

59. 59 CCoEの例

60. 60 合わせて読みたい CCoEの1つの実装例 ⽴ち上げ過程やどの ような⽅針で推進し たか解説されていま す https://dev.classmethod.j p/articles/shionogi- devshow/

61. 61 合わせて読みたい クラウド推進する 組織に必要なこと が書いてある 責任者も担当者も 必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

62. 62 合わせて読みたい セキュアなAWS設 定と実運⽤の例 デフォルトでセキュ リティを強化した AWSアカウント発 ⾏も無償でしてます (宣伝) https://dev.classmethod.

    jp/articles/aws-security- operation-bestpractice- on-secure-account/

63. 63 セキュアアカウントの構成

64. 64 まとめ

65. 65 まとめ • 基本の権限管理は全員理解する • マネージドのセキュリティサービスを ポチッと有効化して運⽤する • 仕組みを作って全体をセキュアに保つ

66. 66