Upgrade to Pro — share decks privately, control downloads, hide ads and more …

初級から上級までセキュアなAWS環境の作り方

cm-usuda-keisuke
April 20, 2023
Technology
7
8.6k

 初級から上級までセキュアなAWS環境の作り方

2023年に実施されたAWS Summit Tokyoの自社ブースで登壇した「初級から上級までセキュアなAWS環境の作り方」の内容です。詳細は以下ブログでも解説しています。
https://dev.classmethod.jp/author/usuda-keisuke/

cm-usuda-keisuke

April 20, 2023
Tweet

More Decks by cm-usuda-keisuke

See All by cm-usuda-keisuke
AWSセキュリティサービス最新アップデート
cmusudakeisuke
2
1k
GuardDutyの深淵を覗いて、君もGuardDutyマスターになろう!
cmusudakeisuke
0
1.7k
re:Inforce 2023のアップデートを得た現代のAWSセキュリティ運用方法(GuardDuty/Detective編)
cmusudakeisuke
0
1k
セキュリティ系まとめと地味だけど今すぐ設定すべきモニタリングアップデート
cmusudakeisuke
0
1.7k
APN AWS Top Engineersが語るAWSの最新セキュリティ
cmusudakeisuke
0
1.9k
セキュリティ面から考えるAWSの始め方
cmusudakeisuke
2
2.1k
2022年秋の最新GuardDuty攻略ガイド〜裏技封じとマルウェアスキャン〜
cmusudakeisuke
2
3.1k
AWS環境のセキュリティどうやってチェックしてる?
cmusudakeisuke
2
6k
[目指せ上級者] 最強にセキュアなAWSアカウントの作り方
cmusudakeisuke
2
9.1k

Other Decks in Technology

See All in Technology
LLM×Cloud Runでオンライン薬局の既存オペレーションを自動化した話
pharma_x_tech
0
740
マルチプロダクト運用におけるSREのあり方/SRE NEXT 2023-link-and-motivation
lmi
0
140
よりよいペアローテーションを求めて
nakasho
0
250
視え方と文字の大きさ
lemon
1
190
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
6
4.2k
AWS 初心者が取り組んだセキュリティ強化の2年間とこれから/Two years of security enhancement efforts by AWS beginners and the future
yayoi_dd
0
440
EQを高めて不快な感情に立ち向かえ
yamasatimi
1
280
増え続ける公開アプリケーションへの悪意あるアクセス_多層防御を取り入れるSRE活動_.pdf
yoshiiryo1
0
340
日本初のスクラム本「アジャイルソフトウェア開発スクラム」から20年の節目に翻訳者にいろいろ聞く
orinbou
0
190
Fivetranでデータ移動を自動化する
hankehly
0
150
信頼性目標とシステムアーキテクチャー / Reliability Objective and System Architecture
ymotongpoo
3
830
ChatGPTの10ヶ月と開発トレンドの現在地
hirosatogamo
15
8.5k

Featured

See All Featured
KATA
mclloyd
13
11k
Build The Right Thing And Hit Your Dates
maggiecrowley
23
1.7k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
271
12k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
6
7.1k
The Invisible Customer
myddelton
113
12k
What’s in a name? Adding method to the madness
productmarketing
PRO
14
2.2k
Building an army of robots
kneath
300
41k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
41
12k
The World Runs on Bad Software
bkeepers
PRO
59
6.1k
Learning to Love Humans: Emotional Interface Design
aarron
265
38k
Teambox: Starting and Learning
jrom
125
8.1k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
0
2.3k

Transcript

  1. 初級から上級まで
    セキュアなAWS環境の作り⽅
    AWS Summit Tokyo
    1

    View Slide

  2. 2
    こんにちは、⾅⽥です。
    みなさん、
    AWSのセキュリティ対策してますか︖(挨拶

    View Slide

  3. 3
    ⾃⼰紹介
    ⾅⽥佳祐(うすだけいすけ)
    ・クラスメソッド株式会社 / AWS事業本部
    シニアソリューションアーキテクト
    セキュリティチームリーダー
    AWS公認インストラクター
    2021 APN Ambassador
    2022 APN AWS Top Engineers (Security)
    ・CISSP
    ・Security-JAWS運営
    ・好きなサービス:
    Amazon GuardDuty
    AWS Security Hub
    Amazon Detective
    みんなのAWS
    (技術評論社)
    Amazon GuardDuty AWS Security Hub Amazon Detective

    View Slide

  4. 4
    アジェンダ
    0. 軽い前置き
    1. AWSアカウント単体をセキュアにする
    2. 組織のAWS環境全体をセキュアにする
    3. セキュアな環境を維持する

    View Slide

  5. 5
    0. 軽い前置き

    View Slide

  6. 6
    みなさんのAWS環境はセキュアですか︖
    よくあるアマゾン ウェブ サービス(AWS)セキュリテ
    ィの⼼配
    • ちゃんとベストプラクティスに沿っているかわから
    ない
    • AWS環境にどんなリソースがあるか把握していな

    • 組織内でセキュリティ基準がバラバラ
    • そもそもセキュリティよくわからん
    いろんな状況があると思います

    View Slide

  7. 7
    すべてのAWS利⽤者を対象に
    AWS環境をセキュアにする情報を
    ババっと10分でまとめます

    View Slide

  8. 8
    合わせて読みたい
    セキュリティ対策
    はだいたいここに
    全部ある
    https://dev.classmethod.j
    p/articles/aws-security-
    all-in-one-2021/

    View Slide

  9. 9
    1. AWSアカウント単体を
    セキュアにする

    View Slide

  10. 10
    これがセキュアなAWSアカウント

    View Slide

  11. 11
    セキュアアカウントが参考になります
    セキュアなAWS設
    定と実運⽤の例
    真似していいよ︕
    無償で最初から設定
    してます(宣伝)
    https://dev.classmethod.
    jp/articles/aws-security-
    operation-bestpractice-
    on-secure-account/

    View Slide

  12. 12
    AWS上の証跡管理
    • AWS CloudTrail
    • すべての管理イベント
    • AWS Config
    • すべてのリソース記録
    • グローバルリソース記録
    • S3バケット
    • ログのライフサイクル3年
    • SSE-KMSによる暗号化

    View Slide

  13. 13
    AWS上の証跡管理のコツ
    • AWS Configのグローバルリ
    ソース記録は東京リージョン
    のみ有効化する(全リージョン
    で⼊れると重複して記録され
    るため)
    • ライフサイクル3年は⾃社の
    ログ保持基準に照らし合わせ
    て調整する
    • WORMを設定すると強⼒

    View Slide

  14. 14
    デフォルトのAmazon S3公開防⽌
    • AWSアカウントレベルのブロックパ
    ブリックアクセスを有効化
    • ブロックパブリックアクセスはアカウン
    トレベルとバケットレベルがある
    • アカウントレベルを設定するとAWSア
    カウント全体で適⽤される
    • うっかり公開してしまうことを防げる

    View Slide

  15. 15
    デフォルトのAmazon S3公開防⽌のコツ
    • S3バケットに公開⽤のHTML / CSS
    / JavaScriptなどのWeb⽤や画像/
    動画などの静的コンテンツを配置す
    る場合でもCloudFrontのOrigin
    Access Control (OAC)を利⽤して
    配信可能なので、ブロックパブリッ
    クアクセスを無効化しない

    View Slide

  16. 16
    Amazon EBSのデフォルト暗号化
    • Amazon EC2の設定ページから
    「EBS 暗号化」を有効にする
    • デフォルトの暗号化キーを利⽤する

    View Slide

  17. 17
    Amazon EBSのデフォルト暗号化のコツ
    • マルチテナントで様々なライフサイ
    クルのデータを扱う場合は、ライフ
    サイクルに合わせてKMSキーを作成
    して個別に適⽤するといい(暗号化削
    除を実施するため)
    • https://aws.amazon.com/jp/b
    logs/news/data_disposal/

    View Slide

  18. 18
    パスワードポリシー強化
    • パスワードの最⼩⻑: 8⽂字
    • 少なくとも1つの⼤⽂字が必要
    • 少なくとも1つの⼩⽂字が必要
    • 少なくとも1つの数字が必要
    • 少なくとも1つの英数字以外の⽂字が
    必要
    • ユーザーにパスワードの変更を許可

    View Slide

  19. 19
    パスワードポリシー強化のコツ
    • ⼀番理想はIAM Userがいないこと
    • Okta / OneLoginなどIdPの基盤を
    AWSに限らず全体で使⽤し、ID管理
    とアクセス制御を集約するとベスト
    • 次点として1つのAWSアカウントにだ
    けIAM Userを作るJumpアカウント
    ⽅式も検討する
    • Assume Roleしないと権限がないため、
    万が⼀不正に利⽤されても何もできない

    View Slide

  20. 20
    デフォルトVPCの削除
    • 明⽰的な意図に合わせてVPCリソー
    スを作成し、利⽤するためデフォルト
    VPCを削除
    • 既存環境であれば削除は慎重に

    View Slide

  21. 21
    デフォルトVPCの削除のコツ
    • 特にデフォルトセキュリティグルー
    プが危険なので利⽤しない
    • 合わせて、利⽤しているVPCのデフ
    ォルトセキュリティグループにある
    インバウンドとアウトバウンドのル
    ール両⽅とも削除する

    View Slide

  22. 22
    セキュリティサービス有効化 + チューニング
    • 有効化
    • Amazon
    GuardDuty
    • AWS Security
    hub
    • Amazon
    Detective
    • IAM Access
    Analyzer

    View Slide

  23. 23
    セキュリティサービスのコツ
    • 集約可能なら複数
    AWSアカウント
    をまとめて集約す

    • 運⽤に組み込む

    View Slide

  24. 24
    セキュリティアラート整形 + 通知設定
    • Amazon GuardDuty / AWS
    Security Hub / IAM Access
    Analyzerからの通知を運⽤しや
    すい場所(チャットなど)に送る
    • ⾒やすく整形する

    View Slide

  25. 25
    セキュリティアラート整形 + 通知設定のコツ
    • 関係者が多い場所に通知してみ
    んなに⾒えるようにする
    • 関係者の当事者意識が上がり、通
    知を減らし、セキュリティスコア
    を上げることがモチベーションに
    繋がる

    View Slide

  26. 26
    整形例: ⽇本語をできる限り⼊れる

    View Slide

  27. 27
    2. 組織のAWS環境全体を
    セキュアにする

    View Slide

  28. 28
    マルチアカウント管理のマネージドサービス
    AWS Organizations
    • マルチアカウント管
    理のサービス
    • 各AWSサービスと連
    携して集約管理
    AWS Control Tower
    • AWS Organizations
    を活⽤したマルチアカ
    ウント管理のベストプ
    ラクティスを⾃動構成

    View Slide

  29. 29
    マルチアカウント管理の⽐較
    AWS Organizations AWS Control Tower
    管理機能 最⼩ ID集約・ログ集約・ガードレー
    ル・ベンディングマシーン・その他
    ⾃由度 ⾃由 ある程度決められた構成
    おまかせ度 全部⾃前 ベストプラクティスに沿っておまか

    機能追加 設定は⾃前 マルチアカウント管理に必要な機能
    が追加される、ポチッと適⽤可能
    コスト $ $$

    View Slide

  30. 30
    AWS Control Towerの構成
    • AWSのマルチア
    カウント管理ベス
    トプラクティスに
    沿った構成が⾃動
    で展開される
    • 全体の管理⽤に3
    つのアカウントが
    ⽤意される

    View Slide

  31. 31
    AWS Organizationsを使う︖
    • 使わなくてもマルチアカウント管理は可能
    • でも使えば各AWSサービスの集約や集中管理が簡単にで
    きるしAWS Control Towerも使える
    • AWS IAM Identity Center(旧AWS SSO)でシングル
    サインオンを実現可能(使わなくてもサードパーティ連携
    やJumpアカウント⽅式など、別の⼿法も検討はできる)
    • AWS CloudFormation StackSetsで全AWSアカウント
    に設定を展開しやすい(使わなくてもセットアップすれば
    できる)
    • 使えるなら使うほうがいい

    View Slide

  32. 32
    3. セキュアな環境を維持する

    View Slide

  33. 33
    セキュアな環境の維持に必要なもの
    • ⾃動化されたセキュリティ運⽤の仕組み
    • 組織全体の利⽤者に⾏き渡るセキュリティ教育
    • 組織のセキュリティ対策の⼀環としてのAWSセキ
    ュリティ対策
    • 経営層のコミット
    • 組織全体へのガバナンス適⽤と運⽤をするチーム

    View Slide

  34. 34
    維持運⽤の要
    CCoEを組織しAWS利⽤ガイドラインを策定する
    CCoE AWS利⽤ガイドライン

    View Slide

  35. 35
    CCoEの例

    View Slide

  36. 36
    合わせて読みたい
    CCoEの1つの実装

    ⽴ち上げ過程やどの
    ような⽅針で推進し
    たか解説されていま

    https://dev.classmethod.
    jp/articles/shionogi-
    devshow/

    View Slide

  37. 37
    合わせて読みたい
    クラウド推進する
    組織に必要なこと
    が書いてある
    責任者も担当者も
    必読
    https://dev.classmetho
    d.jp/articles/bookrevie
    w-ccoe-best-practice/

    View Slide

  38. 38
    ガイドライン作成はCCGが使える
    Classmethod Cloud Guidebook (CCG)
    ガイドラインサンプルなどアリ〼
    例 例

    View Slide

  39. 39
    合わせて読みたい
    AWSアカウント
    ベースライン /
    AWS Security
    Hub ガイド /
    ガイドラインな

    利⽤⽅法や内容
    などはこちら
    https://dev.classmethod.
    jp/articles/how-to-use-
    ccg/

    View Slide

  40. 40
    まとめ

    View Slide

  41. 41
    セキュアなAWS環境の作り⽅とは

    AWSアカウント単体と

    マルチアカウント管理と

    組織づくりと運⽤を頑張る

    View Slide

  42. 42

    View Slide