Upgrade to Pro — share decks privately, control downloads, hide ads and more …

初級から上級までセキュアなAWS環境の作り方

 初級から上級までセキュアなAWS環境の作り方

2023年に実施されたAWS Summit Tokyoの自社ブースで登壇した「初級から上級までセキュアなAWS環境の作り方」の内容です。詳細は以下ブログでも解説しています。
https://dev.classmethod.jp/author/usuda-keisuke/

cm-usuda-keisuke

April 20, 2023
Tweet

More Decks by cm-usuda-keisuke

Other Decks in Technology

Transcript

  1. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

    APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective
  2. 6 みなさんのAWS環境はセキュアですか︖ よくあるアマゾン ウェブ サービス(AWS)セキュリテ ィの⼼配 • ちゃんとベストプラクティスに沿っているかわから ない •

    AWS環境にどんなリソースがあるか把握していな い • 組織内でセキュリティ基準がバラバラ • そもそもセキュリティよくわからん いろんな状況があると思います
  3. 12 AWS上の証跡管理 • AWS CloudTrail • すべての管理イベント • AWS Config

    • すべてのリソース記録 • グローバルリソース記録 • S3バケット • ログのライフサイクル3年 • SSE-KMSによる暗号化
  4. 15 デフォルトのAmazon S3公開防⽌のコツ • S3バケットに公開⽤のHTML / CSS / JavaScriptなどのWeb⽤や画像/ 動画などの静的コンテンツを配置す

    る場合でもCloudFrontのOrigin Access Control (OAC)を利⽤して 配信可能なので、ブロックパブリッ クアクセスを無効化しない
  5. 18 パスワードポリシー強化 • パスワードの最⼩⻑: 8⽂字 • 少なくとも1つの⼤⽂字が必要 • 少なくとも1つの⼩⽂字が必要 •

    少なくとも1つの数字が必要 • 少なくとも1つの英数字以外の⽂字が 必要 • ユーザーにパスワードの変更を許可
  6. 19 パスワードポリシー強化のコツ • ⼀番理想はIAM Userがいないこと • Okta / OneLoginなどIdPの基盤を AWSに限らず全体で使⽤し、ID管理

    とアクセス制御を集約するとベスト • 次点として1つのAWSアカウントにだ けIAM Userを作るJumpアカウント ⽅式も検討する • Assume Roleしないと権限がないため、 万が⼀不正に利⽤されても何もできない
  7. 24 セキュリティアラート整形 + 通知設定 • Amazon GuardDuty / AWS Security

    Hub / IAM Access Analyzerからの通知を運⽤しや すい場所(チャットなど)に送る • ⾒やすく整形する
  8. 28 マルチアカウント管理のマネージドサービス AWS Organizations • マルチアカウント管 理のサービス • 各AWSサービスと連 携して集約管理

    AWS Control Tower • AWS Organizations を活⽤したマルチアカ ウント管理のベストプ ラクティスを⾃動構成
  9. 29 マルチアカウント管理の⽐較 AWS Organizations AWS Control Tower 管理機能 最⼩ ID集約・ログ集約・ガードレー

    ル・ベンディングマシーン・その他 ⾃由度 ⾃由 ある程度決められた構成 おまかせ度 全部⾃前 ベストプラクティスに沿っておまか せ 機能追加 設定は⾃前 マルチアカウント管理に必要な機能 が追加される、ポチッと適⽤可能 コスト $ $$
  10. 31 AWS Organizationsを使う︖ • 使わなくてもマルチアカウント管理は可能 • でも使えば各AWSサービスの集約や集中管理が簡単にで きるしAWS Control Towerも使える

    • AWS IAM Identity Center(旧AWS SSO)でシングル サインオンを実現可能(使わなくてもサードパーティ連携 やJumpアカウント⽅式など、別の⼿法も検討はできる) • AWS CloudFormation StackSetsで全AWSアカウント に設定を展開しやすい(使わなくてもセットアップすれば できる) • 使えるなら使うほうがいい
  11. 39 合わせて読みたい AWSアカウント ベースライン / AWS Security Hub ガイド /

    ガイドラインな ど 利⽤⽅法や内容 などはこちら https://dev.classmethod. jp/articles/how-to-use- ccg/
  12. 42