AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定

AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定 2022年3月1日 NRIネットコム株式会社 Webネット事業本部 ITSデザイン事業部上野
史瑛

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. ＳＯＭＰＯグループ様における活動とアーキテクチャ概要 01
アーキテクチャ Deep Dive 02 ガイドラインの作成について 03 まとめ、今後に向けて 04 本日お話すること

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介名前：
上野史瑛（うえのふみあき）所属： NRIネットコム株式会社経歴：・多くのAWSプロジェクトに参画・AWSセキュリティガードレール導入・CCoE（内製化）支援・AWS最適化、Well-Architectedレビュー・2020/2021 APN Ambassadors ・2020/2021 APN AWS Top Engineers ・2020/2021 APN ALL AWS Certifications Engineer @fu3ak1

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. ビジネスを高速かつ柔軟に進めるため、クラウドの活用が必須となってきているビジネスを始めたい！
刷新したい！クラウド？オンプレミス？ビジネスを進めるにあたり、クラウドの活用が必須になってきてる #nncwebinar

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. クラウド、特にAWSはサービス数や機能が多く、不安を持つ方もまだ多いビジネスを始めたい！
刷新したい！クラウド難しい・・特にセキュリティが不安・・クラウド？オンプレミス？ビジネスを進めるにあたり、クラウドの活用が必須になってきてる #nncwebinar

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. セキュリティ面における不安をできるだけ減らしていきたいビジネスを始めたい！
刷新したい！クラウド難しい・・特にセキュリティが不安・・クラウド？オンプレミス？ビジネスを進めるにあたり、クラウドの活用が必須になってきてる（CCoEとして）これを減らしたい！ #nncwebinar

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWSにはセキュリティレベルを向上するサービスが多くある AWS
CloudTrail AWS Config Amazon GuardDuty AWS Security Hub 監査証跡設定履歴不正検知集約・検知（CSPM） ⇒セキュリティサービスを組織内で自動設定できれば、組織のセキュリティ向上となる共通セキュリティ機能を作成 #nncwebinar

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. ＳＯＭＰＯグループ様の特徴① Control
Tower導入前から本番稼働しているAWSアカウントが多数あったマネジメント（管理者）アカウント Organizations 各社アカウント元々利用していたのは請求管理のみ各社アカウント各社アカウント一般利用者一般利用者一般利用者本番サービスを提供している AWSアカウントが多数全アカウント数は200以上 #nncwebinar

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. ＳＯＭＰＯグループ様の特徴② AWSアカウント作成後の管理・運用は各社の管理者が実施する
マネジメント（管理者）アカウント Organizations 各社アカウント各社アカウント各社アカウント各社管理者各社管理者各社管理者請求管理者 AWSアカウント、システムの管理は各社で実施する #nncwebinar

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 共通セキュリティ機能で使用するサービス AWS
Control Tower AWS CloudTrail AWS Config SCP Amazon GuardDuty AWS Security Hub AWS IAM Access Analyzer Amazon SNS （通知用） AWS Organizations AWSアカウントで設定するセキュリティサービスを中心に、利用するサービスを選定 #nncwebinar

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 共通セキュリティ機能で使用するサービス ⇒これらのサービスが、AWSアカウント発行時に自動設定される
AWSアカウント内の操作履歴が自動で保存され、不正な操作が拒否または検知されるようになる AWS Control Tower AWS CloudTrail AWS Config SCP Amazon GuardDuty AWS Security Hub AWS IAM Access Analyzer Amazon SNS （通知用） AWS Organizations AWSアカウントで設定するセキュリティサービスを中心に、利用するサービスを選定 #nncwebinar

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. アーキテクチャ Deep
Dive

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 構成詳細（AWSアカウント、機能実現方法を含む）サービスや設定内容に応じて実行方法を使い分け、共通セキュリティ機能を実装している
◼AWS CloudTrail、AWS Config→ AWS Control Towerにより自動設定 ◼Amazon GuardDuty、AWS Security Hub、IAM Access Analyzer、SNSトピック →CloudFormation StackSetsまたは Step Functions経由のLambda実行により自動設定 Service Control Policy（SCP）各社アカウント各社アカウント CloudTrail GuardDuty Security Hub Config Access Analyzer マネジメント（管理者）アカウント Control Tower SNS CloudFormation StackSets 自動設定自動設定監査アカウント GuardDuty Security Hub Config Access Analyzer SNS ログアーカイブアカウント S3 ・CloudTrail証跡ログ・Configログ全アカウント分全アカウント分 HD管理者管理、設定確認各社管理者 Lambda Step Functions #nncwebinar

Dive① 組織単位 (OU)

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. 組織単位 (OU)
の考え方 Control Tower利用にあたっては、どの単位でルール（予防・検知ガードレール）を適用したいかがポイント OU どの単位でOUを作成すべきか Control Towerのガードレールを設定する単位（独自の）SCPを設定する単位 ⇒適用したい単位＝OU SCPはOU単位で設定できる Control TowerのガードレールはOU単位で設定 #nncwebinar

の構成例① 扱う情報レベルによって、設定するガードレールをOUごとに分ける機密情報OU 一般OU ・SSH公開を検知・S3バケット公開を検知・SSH公開を検知・S3バケット公開を検知・S3暗号化設定変更拒否・EBS非暗号化検知 #nncwebinar

の構成例② 2021年11月に、Control TowerがネストされたOUもサポート機密情報OU 共通OU ・ルートユーザーのアクション拒否・S3暗号化設定変更拒否・EBS非暗号化検知親OUで設定したガードレールは、子OUに引き継がれる。 ※ただし予防のみで検知は対象外 #nncwebinar

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. SOMPOグループ様における組織単位 (OU)
の構成 ◼各社ごとにProd、Devの2つずつOUを用意 ◼ネスト（階層）は無しですべてフラット（導入時にControl Towerが未サポートだったため） ◼グループ会社固有の要件に対応できるよう、会社ごとにOUを設定 [会社A]-Prod OU [会社A]-Dev OU [会社A]-Prod OU [会社A]-Dev OU #nncwebinar

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. SOMPOグループ様における組織単位 (OU)
の構成 ◼各社ごとにProd、Devの2つずつOUを用意 ◼ネスト（階層）は無しですべてフラット（導入時に未サポートだったため） ◼グループ会社固有の要件に対応できるよう、会社ごとにOUを設定 ◼Control Towerで作成される共通のOU（Security）を使用 ◼これらをマネジメントアカウントで管理 [会社A]-Prod OU [会社A]-Dev OU [会社A]-Prod OU [会社A]-Dev OU Security OU ログアーカイブ S3 Cloud Trail Logs Config Logs 監査 Config CloudTrail その他セキュリティサービスマネジメント Control Tower Organizations #nncwebinar

Dive② SCP

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. SOMPOグループ様におけるSCPの基本方針 ◼SCPは強力であり、拒否した設定は一律操作不可能となるため
利用者へ影響が出ないよう以下方針で設定 ⚫Control Towerや共通セキュリティ機能の設定内容を変更させない ⚫ルートユーザーのアクセスキーを使用させない ⚫使用していない、使用予定のないリージョンは使用させない #nncwebinar

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. Control Towerで設定されるSCP
Control Towerを使用して以下2種類のSCPをまず設定各社アカウント Config 「aws-controltower-」で始まる証跡の変更以下のIAMロールの変更「aws-controltower-」で始まる「AWSControlTower」を含む「stacksets-exec-」を含むルートユーザーのアクセスキーの作成ルートユーザーのアクセスキー SNS Configの設定変更 CloudWatch Logs Lambda CloudTrail IAMロール Control Towerで作成される Configルールの変更「aws-controltower」を含むロググループの変更「aws-controltower-」で始まるイベントの変更「aws-controltower-」で始まる関数の変更「aws-controltower-」で始まるトピックの変更トピック「aws-controltower-SecurityNotifications」のサブスクリプションの変更 EventBridge Control Towerで自動設定されるSCP（必須の予防ガードレール、自動設定されるSCP） Control Towerから追加設定できるSCP（推奨、選択的予防ガードレール） #nncwebinar

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. Control Towerで設定されるSCP＋ＳＯＭＰＯグループ様独自のSCP
Control Towerを使用して以下2種類のSCPをまず設定各社アカウント Config 「aws-controltower-」で始まる証跡の変更以下のIAMロールの変更「aws-controltower-」で始まる「AWSControlTower」を含む「stacksets-exec-」を含むルートユーザーのアクセスキーの作成ルートユーザーのアクセスキー SNS Configの設定変更 CloudWatch Logs Lambda CloudTrail IAMロール Control Towerで作成される Configルールの変更「aws-controltower」を含むロググループの変更「aws-controltower-」で始まるイベントの変更「aws-controltower-」で始まる関数の変更「aws-controltower-」で始まるトピックの変更トピック「aws-controltower-SecurityNotifications」のサブスクリプションの変更 EventBridge Control Towerで自動設定されるSCP（必須の予防ガードレール、自動設定されるSCP） Control Towerから追加設定できるSCP（推奨、選択的予防ガードレール）「（独自Prefix）-」で始まるイベントの変更「（独自Prefix） -」で始まる関数の変更 GuardDuty Security Hub GurardDuty、SecurityHub の無効化拒否「（独自Prefix） -」で始まるトピックの変更「（独自Prefix） -」で始まる Region 一部リージョンの利用ＳＯＭＰＯグループ様独自で設定したSCP #nncwebinar

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. 使用可能としたリージョン #
コードリージョン名 1 us-east-1 米国東部（バージニア北部） 2 us-east-2 米国東部 (オハイオ) 3 us-west-2 米国西部 (オレゴン) 4 ap-northeast-1 アジアパシフィック (東京) 5 ap-northeast-2 アジアパシフィック (ソウル) 6 ap-northeast-3 アジアパシフィック (大阪) 7 ap-southeast-1 アジアパシフィック (シンガポール) 8 ap-southeast-2 アジアパシフィック (シドニー) 9 eu-central-1 欧州 (フランクフルト) 10 eu-west-1 欧州 (アイルランド) 11 eu-west-2 欧州 (ロンドン) 12 eu-north-1 欧州 (ストックホルム) ◼Control Towerがサポートしており、利用実績のあるリージョンを利用対象 ◼大阪リージョンはControl Towerサポート外だが、DR対応としてすでに活用が進んでいるため利用許可 #nncwebinar

Dive③ 既存環境へのControl Tower導入について

26 Copyright（C） NRI Netcom, Ltd. All rights reserved. Control Tower導入前の状態
1つのOrganizations配下に、OUなしで多数のアカウントが存在マネジメント（管理者） Organizations B社既存アカウント A社既存アカウント OUなし ROOT直下にフラット #nncwebinar

27 Copyright（C） NRI Netcom, Ltd. All rights reserved. Control Tower導入直後の状態
Security OUと新規アカウント２つ、空のSandbox OUが1つできる既存アカウントには影響しない（SCPやConfigルールは適用されない）マネジメント（管理者） Organizations B社既存アカウント A社既存アカウント監査アカウント Config SNS ログアーカイブアカウント S3 ・CloudTrail証跡ログ・Configログ Security OU Sandbox OU 既存は影響なし Control Tower #nncwebinar

28 Copyright（C） NRI Netcom, Ltd. All rights reserved. Control Tower導入後、既存アカウントの適用
Control Tower経由でOUを作成し、アカウントを登録することでガードレール（SCP、Configルール）が適用されるアカウントは1つずつ登録できるので、段階的な移行が可能既存環境でもControl Towerの導入は可能マネジメント（管理者） Organizations C社既存アカウント B社既存アカウント監査アカウント Config SNS ログアーカイブアカウント S3 ・CloudTrail証跡ログ・Configログ Security OU Sandbox OU Control Tower A社 Prod OU A社既存アカウント段階的に移行できる #nncwebinar

29 Copyright（C） NRI Netcom, Ltd. All rights reserved. 参考：Control Towerで見えるアカウントの状態
Root所属で「未登録」のアカウントは共通セキュリティ機能未適用 #nncwebinar

Dive④ アカウント作成（移行）時の自動設定

31 Copyright（C） NRI Netcom, Ltd. All rights reserved. CloudFormation StackSetsによる自動展開
OUにあらかじめCloudFormation StackSetsをデプロイしておくことで、アカウント追加時にCloudFormationスタックが自動作成される。 ※大阪リージョン用の設定も実施 Control Tower 新規アカウントアカウント作成 OU所属を検知自動実行スタック展開 OU マネジメント（管理者） CloudFormation StackSets Stack IAM Access Analyzerや通知用SNSトピックなどを設定 #nncwebinar

32 Copyright（C） NRI Netcom, Ltd. All rights reserved. EventBridgeとStepFunctionsによるアカウント設定自動実行 Control
TowerのAccount Factoryでアカウント作成後、「CreateManagedAccount」というイベントが発行されるので、それをEventBridgeに渡してStep Functionsのステートマシンを自動実行 ※大阪リージョン用の設定も実施 Control Tower 新規アカウントアカウント作成作成完了後イベント発行 GuardDutyの集約、 Security Hubの基準無効など CloudFormationでできない処理を実行設定 EventBridge Step Functions ステートマシン起動 #nncwebinar

33 Copyright（C） NRI Netcom, Ltd. All rights reserved. アカウント管理者はアカウント作成をやれば良いだけアカウント管理者は、Account
Factoryからアカウント作成のみ実施すれば、あとはCloudFormation StackSetsとStep Functionsが良い感じに設定してくれる Step Functionsから送信される完了メールを待つのみ各社アカウント CloudTrail GuardDuty Security Hub Config Access Analyzer マネジメント（管理者） Control Tower SNS CloudFormation StackSets 自動設定自動設定 HD管理者アカウント作成 Lambda Step Functions 手動作業はアカウント作成だけ #nncwebinar

Dive⑤ イベント通知のカスタマイズ

40 Copyright（C） NRI Netcom, Ltd. All rights reserved. 各アカウントにセキュリティ機能が設定された Service
Control Policy（SCP）各社アカウント各社アカウント CloudTrail GuardDuty Security Hub Config Access Analyzer マネジメント（管理者）アカウント Control Tower SNS CloudFormation StackSets 自動設定自動設定監査アカウント GuardDuty Security Hub Config Access Analyzer SNS ログアーカイブアカウント S3 ・CloudTrail証跡ログ・Configログ全アカウント分全アカウント分 HD管理者管理、設定確認各社管理者 Lambda Step Functions #nncwebinar めでたく各アカウントに共通セキュリティ機能が自動設定されるようになった

41 Copyright（C） NRI Netcom, Ltd. All rights reserved. 各アカウントにセキュリティ機能が設定された Service
Control Policy（SCP）各社アカウント各社アカウント CloudTrail GuardDuty Security Hub Config Access Analyzer マネジメント（管理者）アカウント Control Tower SNS CloudFormation StackSets 自動設定自動設定監査アカウント GuardDuty Security Hub Config Access Analyzer SNS ログアーカイブアカウント S3 ・CloudTrail証跡ログ・Configログ全アカウント分全アカウント分 HD管理者管理、設定確認各社管理者 Lambda Step Functions #nncwebinar めでたく各アカウントに共通セキュリティ機能が自動設定されるようになっためでたしめでたし

42 Copyright（C） NRI Netcom, Ltd. All rights reserved. 各アカウントにセキュリティ機能が設定されためでたく各アカウントに共通セキュリティ機能が自動設定されるようになった
めでたしめでたしではない！ Service Control Policy（SCP）各社アカウント各社アカウント CloudTrail GuardDuty Security Hub Config Access Analyzer マネジメント（管理者）アカウント Control Tower SNS CloudFormation StackSets 自動設定自動設定監査アカウント GuardDuty Security Hub Config Access Analyzer SNS ログアーカイブアカウント S3 ・CloudTrail証跡ログ・Configログ全アカウント分全アカウント分 HD管理者管理、設定確認各社管理者 Lambda Step Functions #nncwebinar

43 Copyright（C） NRI Netcom, Ltd. All rights reserved. 共通セキュリティ機能で守れる範囲は一部のみ AWSの
セキュリティ機能を使って対策する範囲 AWSが対策を実施している範囲 AWS以外のサービスを利用する範囲 AWSが責任を持つ範囲 AWSの機能でセキュリティを保てる範囲 CloudTrail Config Trusted Advisor Security Hub GuardDuty 一部を共通セキュリティ機能で対策 Personal Health Dashboard IAM Access Analyzer • AWSが提供していないセキュリティ機能 • 運用負荷を軽減するための機能 • 開発スピードを加速させるための機能など法規制体制物理冗長性施設ハイパーバイザネットワークストレージサーバセキュリティ診断アクセス制御ファイアウォールユーザー認証フォレンジックデータ暗号化 AWS以外のサービスを利用する範囲セキュリティ診断フォレンジックアンチマルウェア IPS/IDS, WAF インシデント・レスポンスこの範囲の一部だけ #nncwebinar

44 Copyright（C） NRI Netcom, Ltd. All rights reserved. 共通セキュリティ機能で実現できないこと #
実現できないこと実施手段例 1 アプリの脆弱性の検知セキュアコーディング,SAST,DAST,アプリ脆弱性診断 2 アプリの脆弱性の緩和 WAF (AWSであればAWS WAFやWafCharmなど) 3 OSレイヤー／コンテナ／サーバレス特有のセキュリティ Contrast , Vuls , Amazon Inspector ,Dome9 等プラットフォーム/コンテナ脆弱性診断 4 ネットワークのセキュリティ (共通セキュリティ機能で実現できる部分もあり) VPC Flow logs、IDSの導入ネットワーク脆弱性診断 5 保持しているデータの機密情報検知 Amazon Macie (日本語未対応) 6 ウィルススキャン・マルウェア検知 TrendMicro Cloud One,F-Secure 7 検知した設定上の不備の自動是正 AWS Config Conformance Packs ,Dome9 等 8 AWS SSOによるシングルサインオン環境提供各社毎踏み台アカウントとIdPを構築 9 IAMのユーザー、権限設定〔最小特権の原則〕 (IAM Access Analyzerで実現できる部分もあり) ガイドラインを参考に各社要件に従い設定 ※共通セキュリティ機能の運用も、利用者（各社管理者）が実施する必要がある #nncwebinar

47 Copyright（C） NRI Netcom, Ltd. All rights reserved. ガイドラインを作成、配布してみて・・ ◼AWSのセキュリティサービスへの理解を深めてもらえた
◼自分たちで運用していく必要性も理解していただいた改善ポイントも・・ ◼200ページ超えの大作となり、すべて読むのはツライボリューム（実装方針が多いので、そこは辞書的に使ってもらえると嬉しい） ◼AWS側でアップデートが多いと追従がツライ・・基本方針だけ記載し、あとは利用者側で学習できる組織になるのが理想と考えているが、現状まだ難しい部分も多い #nncwebinar

49 Copyright（C） NRI Netcom, Ltd. All rights reserved. まとめ、今後に向けてまとめ
◼組織全体でAWSアカウントのセキュリティ基礎設定ができた（一部予定） ◼情報集約も行い、各社のセキュリティ状況を可視化できた ◼ガイドラインにより、セキュリティサービスの概要と必要性を各社に理解していただいた今後に向けて ◼まだ状況が見えてきた程度なので、実際のセキュリティレベル向上を進めたい ◼課題となるのはシステム構築や計画が多い、CCoEとして何ができるか検討したい ◼Control Towerの機能アップデートにも期待 ⚫ 大阪リージョン未対応 ⚫ ログの保存期間（現状1年間） ⚫ アカウント作成に時間がかかる（直列実行が必要） #nncwebinar

AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定

AWS Control TowerとAWS Organizationsを活用した組織におけるセキュリティ設定

More Decks by fumiakiueno

Other Decks in Technology

Featured

Transcript