Upgrade to Pro — share decks privately, control downloads, hide ads and more …

初級から上級までセキュアなAWS環境の作り方

 初級から上級までセキュアなAWS環境の作り方

2023年に実施されたAWS Summit Tokyoの自社ブースで登壇した「初級から上級までセキュアなAWS環境の作り方」の内容です。詳細は以下ブログでも解説しています。
https://dev.classmethod.jp/author/usuda-keisuke/

cm-usuda-keisuke

April 20, 2023
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 初級から上級まで
    セキュアなAWS環境の作り⽅
    AWS Summit Tokyo
    1

    View full-size slide

  2. 2
    こんにちは、⾅⽥です。
    みなさん、
    AWSのセキュリティ対策してますか︖(挨拶

    View full-size slide

  3. 3
    ⾃⼰紹介
    ⾅⽥佳祐(うすだけいすけ)
    ・クラスメソッド株式会社 / AWS事業本部
    シニアソリューションアーキテクト
    セキュリティチームリーダー
    AWS公認インストラクター
    2021 APN Ambassador
    2022 APN AWS Top Engineers (Security)
    ・CISSP
    ・Security-JAWS運営
    ・好きなサービス:
    Amazon GuardDuty
    AWS Security Hub
    Amazon Detective
    みんなのAWS
    (技術評論社)
    Amazon GuardDuty AWS Security Hub Amazon Detective

    View full-size slide

  4. 4
    アジェンダ
    0. 軽い前置き
    1. AWSアカウント単体をセキュアにする
    2. 組織のAWS環境全体をセキュアにする
    3. セキュアな環境を維持する

    View full-size slide

  5. 5
    0. 軽い前置き

    View full-size slide

  6. 6
    みなさんのAWS環境はセキュアですか︖
    よくあるアマゾン ウェブ サービス(AWS)セキュリテ
    ィの⼼配
    • ちゃんとベストプラクティスに沿っているかわから
    ない
    • AWS環境にどんなリソースがあるか把握していな

    • 組織内でセキュリティ基準がバラバラ
    • そもそもセキュリティよくわからん
    いろんな状況があると思います

    View full-size slide

  7. 7
    すべてのAWS利⽤者を対象に
    AWS環境をセキュアにする情報を
    ババっと10分でまとめます

    View full-size slide

  8. 8
    合わせて読みたい
    セキュリティ対策
    はだいたいここに
    全部ある
    https://dev.classmethod.j
    p/articles/aws-security-
    all-in-one-2021/

    View full-size slide

  9. 9
    1. AWSアカウント単体を
    セキュアにする

    View full-size slide

  10. 10
    これがセキュアなAWSアカウント

    View full-size slide

  11. 11
    セキュアアカウントが参考になります
    セキュアなAWS設
    定と実運⽤の例
    真似していいよ︕
    無償で最初から設定
    してます(宣伝)
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-bestpractice-
    on-secure-account/

    View full-size slide

  12. 12
    AWS上の証跡管理
    • AWS CloudTrail
    • すべての管理イベント
    • AWS Config
    • すべてのリソース記録
    • グローバルリソース記録
    • S3バケット
    • ログのライフサイクル3年
    • SSE-KMSによる暗号化

    View full-size slide

  13. 13
    AWS上の証跡管理のコツ
    • AWS Configのグローバルリ
    ソース記録は東京リージョン
    のみ有効化する(全リージョン
    で⼊れると重複して記録され
    るため)
    • ライフサイクル3年は⾃社の
    ログ保持基準に照らし合わせ
    て調整する
    • WORMを設定すると強⼒

    View full-size slide

  14. 14
    デフォルトのAmazon S3公開防⽌
    • AWSアカウントレベルのブロックパ
    ブリックアクセスを有効化
    • ブロックパブリックアクセスはアカウン
    トレベルとバケットレベルがある
    • アカウントレベルを設定するとAWSア
    カウント全体で適⽤される
    • うっかり公開してしまうことを防げる

    View full-size slide

  15. 15
    デフォルトのAmazon S3公開防⽌のコツ
    • S3バケットに公開⽤のHTML / CSS
    / JavaScriptなどのWeb⽤や画像/
    動画などの静的コンテンツを配置す
    る場合でもCloudFrontのOrigin
    Access Control (OAC)を利⽤して
    配信可能なので、ブロックパブリッ
    クアクセスを無効化しない

    View full-size slide

  16. 16
    Amazon EBSのデフォルト暗号化
    • Amazon EC2の設定ページから
    「EBS 暗号化」を有効にする
    • デフォルトの暗号化キーを利⽤する

    View full-size slide

  17. 17
    Amazon EBSのデフォルト暗号化のコツ
    • マルチテナントで様々なライフサイ
    クルのデータを扱う場合は、ライフ
    サイクルに合わせてKMSキーを作成
    して個別に適⽤するといい(暗号化削
    除を実施するため)
    • https://aws.amazon.com/jp/b
    logs/news/data_disposal/

    View full-size slide

  18. 18
    パスワードポリシー強化
    • パスワードの最⼩⻑: 8⽂字
    • 少なくとも1つの⼤⽂字が必要
    • 少なくとも1つの⼩⽂字が必要
    • 少なくとも1つの数字が必要
    • 少なくとも1つの英数字以外の⽂字が
    必要
    • ユーザーにパスワードの変更を許可

    View full-size slide

  19. 19
    パスワードポリシー強化のコツ
    • ⼀番理想はIAM Userがいないこと
    • Okta / OneLoginなどIdPの基盤を
    AWSに限らず全体で使⽤し、ID管理
    とアクセス制御を集約するとベスト
    • 次点として1つのAWSアカウントにだ
    けIAM Userを作るJumpアカウント
    ⽅式も検討する
    • Assume Roleしないと権限がないため、
    万が⼀不正に利⽤されても何もできない

    View full-size slide

  20. 20
    デフォルトVPCの削除
    • 明⽰的な意図に合わせてVPCリソー
    スを作成し、利⽤するためデフォルト
    VPCを削除
    • 既存環境であれば削除は慎重に

    View full-size slide

  21. 21
    デフォルトVPCの削除のコツ
    • 特にデフォルトセキュリティグルー
    プが危険なので利⽤しない
    • 合わせて、利⽤しているVPCのデフ
    ォルトセキュリティグループにある
    インバウンドとアウトバウンドのル
    ール両⽅とも削除する

    View full-size slide

  22. 22
    セキュリティサービス有効化 + チューニング
    • 有効化
    • Amazon
    GuardDuty
    • AWS Security
    hub
    • Amazon
    Detective
    • IAM Access
    Analyzer

    View full-size slide

  23. 23
    セキュリティサービスのコツ
    • 集約可能なら複数
    AWSアカウント
    をまとめて集約す

    • 運⽤に組み込む

    View full-size slide

  24. 24
    セキュリティアラート整形 + 通知設定
    • Amazon GuardDuty / AWS
    Security Hub / IAM Access
    Analyzerからの通知を運⽤しや
    すい場所(チャットなど)に送る
    • ⾒やすく整形する

    View full-size slide

  25. 25
    セキュリティアラート整形 + 通知設定のコツ
    • 関係者が多い場所に通知してみ
    んなに⾒えるようにする
    • 関係者の当事者意識が上がり、通
    知を減らし、セキュリティスコア
    を上げることがモチベーションに
    繋がる

    View full-size slide

  26. 26
    整形例: ⽇本語をできる限り⼊れる

    View full-size slide

  27. 27
    2. 組織のAWS環境全体を
    セキュアにする

    View full-size slide

  28. 28
    マルチアカウント管理のマネージドサービス
    AWS Organizations
    • マルチアカウント管
    理のサービス
    • 各AWSサービスと連
    携して集約管理
    AWS Control Tower
    • AWS Organizations
    を活⽤したマルチアカ
    ウント管理のベストプ
    ラクティスを⾃動構成

    View full-size slide

  29. 29
    マルチアカウント管理の⽐較
    AWS Organizations AWS Control Tower
    管理機能 最⼩ ID集約・ログ集約・ガードレー
    ル・ベンディングマシーン・その他
    ⾃由度 ⾃由 ある程度決められた構成
    おまかせ度 全部⾃前 ベストプラクティスに沿っておまか

    機能追加 設定は⾃前 マルチアカウント管理に必要な機能
    が追加される、ポチッと適⽤可能
    コスト $ $$

    View full-size slide

  30. 30
    AWS Control Towerの構成
    • AWSのマルチア
    カウント管理ベス
    トプラクティスに
    沿った構成が⾃動
    で展開される
    • 全体の管理⽤に3
    つのアカウントが
    ⽤意される

    View full-size slide

  31. 31
    AWS Organizationsを使う︖
    • 使わなくてもマルチアカウント管理は可能
    • でも使えば各AWSサービスの集約や集中管理が簡単にで
    きるしAWS Control Towerも使える
    • AWS IAM Identity Center(旧AWS SSO)でシングル
    サインオンを実現可能(使わなくてもサードパーティ連携
    やJumpアカウント⽅式など、別の⼿法も検討はできる)
    • AWS CloudFormation StackSetsで全AWSアカウント
    に設定を展開しやすい(使わなくてもセットアップすれば
    できる)
    • 使えるなら使うほうがいい

    View full-size slide

  32. 32
    3. セキュアな環境を維持する

    View full-size slide

  33. 33
    セキュアな環境の維持に必要なもの
    • ⾃動化されたセキュリティ運⽤の仕組み
    • 組織全体の利⽤者に⾏き渡るセキュリティ教育
    • 組織のセキュリティ対策の⼀環としてのAWSセキ
    ュリティ対策
    • 経営層のコミット
    • 組織全体へのガバナンス適⽤と運⽤をするチーム

    View full-size slide

  34. 34
    維持運⽤の要
    CCoEを組織しAWS利⽤ガイドラインを策定する
    CCoE AWS利⽤ガイドライン

    View full-size slide

  35. 35
    CCoEの例

    View full-size slide

  36. 36
    合わせて読みたい
    CCoEの1つの実装

    ⽴ち上げ過程やどの
    ような⽅針で推進し
    たか解説されていま

    https://dev.classmethod.
    jp/articles/shionogi-
    devshow/

    View full-size slide

  37. 37
    合わせて読みたい
    クラウド推進する
    組織に必要なこと
    が書いてある
    責任者も担当者も
    必読
    https://dev.classmetho
    d.jp/articles/bookrevie
    w-ccoe-best-practice/

    View full-size slide

  38. 38
    ガイドライン作成はCCGが使える
    Classmethod Cloud Guidebook (CCG)
    ガイドラインサンプルなどアリ〼
    例 例

    View full-size slide

  39. 39
    合わせて読みたい
    AWSアカウント
    ベースライン /
    AWS Security
    Hub ガイド /
    ガイドラインな

    利⽤⽅法や内容
    などはこちら
    https://dev.classmethod.
    jp/articles/how-to-use-
    ccg/

    View full-size slide

  40. 41
    セキュアなAWS環境の作り⽅とは

    AWSアカウント単体と

    マルチアカウント管理と

    組織づくりと運⽤を頑張る

    View full-size slide