AWS re:Inforce 2019 re:Cap

re:Inforce 2019 re:Cap
Ippei Ogiwara | Speee, Inc.

2019/07/30 AWS re:Inforce 2019 re:Cap
@iogi iogiwara

View Slide

荻原⼀平 (おぎわらいっぺい / @iogi)
• Speee 開発部開発基盤ユニット兼 
セキュリティ推進室
• Webサービスや、コンソールゲーム機の
ネットワークサービス基盤などの設計から
開発・運⽤や、AWS Supportなどを経て、
2018年6⽉から現職
• 開発部全体や、全社軸での基盤の整備など
いろいろ

View Slide

なぜre:Inforceに?

View Slide

なぜre:Inforceに?
• re:Invent ⼈多すぎ、広すぎ、疲れる
• 会場コンパクトでよさそう
• セキュリティに特化しているから

View Slide

SpeeeでのAWS
• 複数の事業ごとにシステム構築。基本クラウドでAWSが多め
• 開発基盤/セキュリティでやっていること
• AWS Organizationsの導⼊、CloudFormation StackSetsでのベー
スライン構築
• 中央でのログ集約、モニタリング (CloudTrail, GuardDuty, Conﬁg
Rules等)
• IDaaS基盤からのAWSコンソールへのFederated Login
• これらは、可能な限りサーバレスでコード化して運⽤

View Slide

SpeeeでのAWSこれから
• Direct Connectで、オフィス・データセンタ・AWSを接続
• 社内のサーバ、アプライアンスも極⼒排除、DC、クラウドに
• モニタリング、インシデント検知
• 守るべきところは守って、インシデント検知などをしていく
• 共通bastionなどの共⽤インフラの導⼊
ΤϯδχΞ݉ηΩϡϦςΟ୲౰ऀͱͯ͠ʜ
ΑΓηΩϡΞͰϓϩμΫτ։ൃʹूதͰ͖Δ؀ڥΛͭ͘Δ

View Slide

⻑年使ってきたAWSアカウントを 
セキュアにいい感じにしたい

View Slide

ということで参加してきた

View Slide

ピックアップ
• ブース展⽰
• マルチアカウント対応
• 地味なアップデートへの気付き

View Slide

re:Inforceブース
• 数は少なめだが
• セキュリティに特化
• 知らないサービスもいろいろあっ
た

View Slide

View Slide

マルチアカウント対応の強化
• AWS Organizations は re:Invent 2016でPreviewリリース
• 複数アカウントの⼀元管理や接続のための機能が充実してきて、
2018/06のAWS Landing Zone Solutionの発表あたりから、マルチ
アカウントの時代が加速してきた感
• 対応サービス例
• まとめてモニタリング: GuardDuty、Conﬁg Rules、CloudTrail
• まとめてポリシー適⽤: Organizations、CloudFormation
StackSets、Firewall Manager、Service Quotas

View Slide

今回のre:Inforce
• Security Hub・Control TowerがGenerally Availableに
• Control Towerは、すでにAWS Organizationsを有効にしてい
ると現状使えないので⼀旦おあずけ
• マルチアカウント環境をどう管理していくか、というテーマの
セッションが多数

View Slide

地味なアップデートへの気付き
• セキュリティ関連はアップデートが地味なのが多い
• でも、実は昔できなかったことが実現できるアップデートだった
りする
• Tipsとして、そのあたりがユースケースと共に説明されて、なる
ほどーと思うことが多かった
• タグが付けられるようになっていたり
• Organizations⾃体やサービス連携の強化

View Slide

タグがつけられるようになった
• 2018/11 IAM User, Roleにタグが設定できるようになった
• IAM User/Roleのタグを元に操作を制限できる
• [SDD350-R] Scale permissions management in AWS with attribute-
based access control
• https://aws.amazon.com/blogs/security/working-backward-from-iam-
policies-and-principal-tags-to-standardized-names-and-tags-for-your-
aws-resources/
• 2019/06 AWSアカウントにタグを付けられるようになった
• アカウントの属性をタグにもたせて⾃動化が捗る

View Slide

OrganizationsのSCPの強化
• 2019/05 Condition, Resource, NotActionが使えるように
• これまでかなり機能が制限されたIAMポリシーだった
• できることがぐっと増えた
• aws:RequestedRegion のConditionでリージョンを限定する
• aws:PrincipalOrgID のConditionで同⼀の組織以外へのアク
セスを拒否する
• 特定のリソースや、特定のタグが付いたリソースの操作を禁⽌する

View Slide

Organizationsの他サービスへの連携
• 2018/11 CloudTrail
• メンバーアカウントにTrail収集を⾃動適⽤
• 2019/06 IAM
• 組織単位 (OU) レベルでAWSサービス利⽤のサマリが出て、そ
れを⾒てSCPを改善できるように

View Slide

関連セッション
• [FND314] Managing and governing multi-account AWS environments using AWS
Organizations: Organizationの機能アップデートと活⽤⽅法
• [SDD314] Enforcing security invariants with AWS Organizations: SCPやIAMの運⽤
• [GRC313-R] Using AWS Control Tower to govern multi-account AWS environments
at scale: Control Towerの利⽤、マルチアカウントの管理、ガードレールの例など
• [FND210] Implementing your landing zone: AWS Landing Zoneの説明、Control
Tower利⽤との選択⽅法
• [SDD350-R] Scale permissions management in AWS with attribute-based access
control: タグを利⽤した属性ベースでの権限管理

View Slide

まとめ: 参加して感じたこと
• 地味だけど便利なアップデートへの気付き
• マルチアカウント環境がよりあたりまえに
• それを実現するための機能が増えてきていて、モニタリングや
権限設計などが地続きになってきている
• Security Hubでのパートナーソリューション連携などの選択肢
も柔軟に

View Slide

View Slide

ありがとうございました
• 実際の企業組織でのAWSアカウントの分割粒度や、
Organizationsでのツリー構造、SCPの設定とかディスカッショ
ンできる⼈がいるとうれしいです
• Speeeでは、開発基盤やSREエンジニアを募集しています。マル
チアカウント環境やセキュリティをいい感じにしていくことに興
味ある⼈、お話ししましょう
• re:Invent 2019でお会いしましょう!

View Slide

AWS re:Inforce 2019 re:Cap

AWS re:Inforce 2019 re:Cap

Ippei Ogiwara

More Decks by Ippei Ogiwara

Other Decks in Technology

Featured

Transcript