AWS re:Inforce 2019 re:Cap

Transcript

1. re:Inforce 2019 re:Cap Ippei Ogiwara | Speee, Inc. 2019/07/30 AWS

   re:Inforce 2019 re:Cap @iogi iogiwara

2. 荻原 ⼀平 (おぎわら いっぺい / @iogi) • Speee 開発部 開発基盤ユニット

   兼
 セキュリティ推進室 • Webサービスや、コンソールゲーム機の ネットワークサービス基盤などの設計から 開発・運⽤や、AWS Supportなどを経て、 2018年6⽉から現職 • 開発部全体や、全社軸での基盤の整備など いろいろ

3. なぜre:Inforceに?

4. なぜre:Inforceに? • re:Invent ⼈多すぎ、広すぎ、疲れる • 会場コンパクトでよさそう • セキュリティに特化しているから

5. SpeeeでのAWS • 複数の事業ごとにシステム構築。基本クラウドでAWSが多め • 開発基盤/セキュリティでやっていること • AWS Organizationsの導⼊、CloudFormation StackSetsでのベー スライン構築

   • 中央でのログ集約、モニタリング (CloudTrail, GuardDuty, Config Rules等) • IDaaS基盤からのAWSコンソールへのFederated Login • これらは、可能な限りサーバレスでコード化して運⽤

6. SpeeeでのAWSこれから • Direct Connectで、オフィス・データセンタ・AWSを接続 • 社内のサーバ、アプライアンスも極⼒排除、DC、クラウドに • モニタリング、インシデント検知 • 守るべきところは守って、インシデント検知などをしていく

   • 共通bastionなどの共⽤インフラの導⼊ ΤϯδχΞ݉ηΩϡϦςΟ୲౰ऀͱͯ͠ʜ
   ΑΓηΩϡΞͰϓϩμΫτ։ൃʹूதͰ͖Δ؀ڥΛͭ͘Δ

7. ⻑年使ってきたAWSアカウントを
 セキュアにいい感じにしたい

8. ということで参加してきた

9. ピックアップ • ブース展⽰ • マルチアカウント対応 • 地味なアップデートへの気付き

10. re:Inforceブース • 数は少なめだが • セキュリティに特化 • 知らないサービスもいろいろあっ た

11. None

12. マルチアカウント対応の強化 • AWS Organizations は re:Invent 2016でPreviewリリース • 複数アカウントの⼀元管理や接続のための機能が充実してきて、 2018/06のAWS

    Landing Zone Solutionの発表あたりから、マルチ アカウントの時代が加速してきた感 • 対応サービス例 • まとめてモニタリング: GuardDuty、Config Rules、CloudTrail • まとめてポリシー適⽤: Organizations、CloudFormation StackSets、Firewall Manager、Service Quotas

13. 今回のre:Inforce • Security Hub・Control TowerがGenerally Availableに • Control Towerは、すでにAWS Organizationsを有効にしてい

    ると現状使えないので⼀旦おあずけ • マルチアカウント環境をどう管理していくか、というテーマの セッションが多数

14. 地味なアップデートへの気付き • セキュリティ関連はアップデートが地味なのが多い • でも、実は昔できなかったことが実現できるアップデートだった りする • Tipsとして、そのあたりがユースケースと共に説明されて、なる ほどーと思うことが多かった •

    タグが付けられるようになっていたり • Organizations⾃体やサービス連携の強化

15. タグがつけられるようになった • 2018/11 IAM User, Roleにタグが設定できるようになった • IAM User/Roleのタグを元に操作を制限できる •

    [SDD350-R] Scale permissions management in AWS with attribute- based access control • https://aws.amazon.com/blogs/security/working-backward-from-iam- policies-and-principal-tags-to-standardized-names-and-tags-for-your- aws-resources/ • 2019/06 AWSアカウントにタグを付けられるようになった • アカウントの属性をタグにもたせて⾃動化が捗る

16. OrganizationsのSCPの強化 • 2019/05 Condition, Resource, NotActionが使えるように • これまでかなり機能が制限されたIAMポリシーだった • できることがぐっと増えた

    • aws:RequestedRegion のConditionでリージョンを限定する • aws:PrincipalOrgID のConditionで同⼀の組織以外へのアク セスを拒否する • 特定のリソースや、特定のタグが付いたリソースの操作を禁⽌する

17. Organizationsの他サービスへの連携 • 2018/11 CloudTrail • メンバーアカウントにTrail収集を⾃動適⽤ • 2019/06 IAM •

    組織単位 (OU) レベルでAWSサービス利⽤のサマリが出て、そ れを⾒てSCPを改善できるように

18. 関連セッション • [FND314] Managing and governing multi-account AWS environments using

    AWS Organizations: Organizationの機能アップデートと活⽤⽅法 • [SDD314] Enforcing security invariants with AWS Organizations: SCPやIAMの運⽤ • [GRC313-R] Using AWS Control Tower to govern multi-account AWS environments at scale: Control Towerの利⽤、マルチアカウントの管理、ガードレールの例など • [FND210] Implementing your landing zone: AWS Landing Zoneの説明、Control Tower利⽤との選択⽅法 • [SDD350-R] Scale permissions management in AWS with attribute-based access control: タグを利⽤した属性ベースでの権限管理

19. まとめ: 参加して感じたこと • 地味だけど便利なアップデートへの気付き • マルチアカウント環境がよりあたりまえに • それを実現するための機能が増えてきていて、モニタリングや 権限設計などが地続きになってきている •

    Security Hubでのパートナーソリューション連携などの選択肢 も柔軟に
20. None

21. ありがとうございました • 実際の企業組織でのAWSアカウントの分割粒度や、 Organizationsでのツリー構造、SCPの設定とかディスカッショ ンできる⼈がいるとうれしいです • Speeeでは、開発基盤やSREエンジニアを募集しています。マル チアカウント環境やセキュリティをいい感じにしていくことに興 味ある⼈、お話ししましょう •

    re:Invent 2019でお会いしましょう!