Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSでのセキュリティ対策、多少はやってこうぜ! / Let's tackle AWS sec...
Search
こばやし
December 17, 2023
Technology
3
2.2k
AWSでのセキュリティ対策、多少はやってこうぜ! / Let's tackle AWS security measures somewhat
難解と思われがちなAWSでのセキュリティ対策、ビビらずに多少はやっていこうぜ!という想いを込めた資料です。
こばやし
December 17, 2023
Tweet
Share
Other Decks in Technology
See All in Technology
社内の学びの場・コミュニティ形成とエンジニア同士のリレーションシップ構築/devreljapan2024
nishiuma
3
240
DuckDB雑紹介(1.1対応版)@DuckDB座談会
ktz
6
1.3k
サーバー管理しないサーバーサービスManaged DevOps Pool
kkamegawa
0
110
プログラム検証入門
riru
5
760
より快適なエラーログ監視を目指して
leveragestech
4
1.3k
AWS SAW を広めたい @四国クラウドお遍路
kazzpapa3
0
220
2024年版 運用者たちのLLM
nwiizo
3
570
LandingZoneAccelerator と学ぶ 「スケーラブルで安全なマルチアカウントAWS環境」と 私たちにもできるベストプラクティス
maimyyym
1
130
なにもしてないのにNew Relicのデータ転送量が増えていたときに確認したこと
tk3fftk
2
200
AI活用したくてもできなかった不動産SaaSの今とこれから
nealle
0
260
Oracle Autonomous Database:サービス概要のご紹介
oracle4engineer
PRO
1
7k
ロリポップ! for Gamersを支えるインフラ/lolipop for gamers infrastructure
takumakume
0
120
Featured
See All Featured
A Philosophy of Restraint
colly
202
16k
How to train your dragon (web standard)
notwaldorf
85
5.6k
What’s in a name? Adding method to the madness
productmarketing
PRO
21
3k
Thoughts on Productivity
jonyablonski
66
4.2k
Testing 201, or: Great Expectations
jmmastey
36
7k
Web development in the modern age
philhawksworth
204
10k
Building an army of robots
kneath
302
42k
The Mythical Team-Month
searls
218
43k
Docker and Python
trallard
39
3k
Building a Scalable Design System with Sketch
lauravandoore
458
32k
The Brand Is Dead. Long Live the Brand.
mthomps
53
37k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
36
2k
Transcript
AWSでのセキュリティ対策、 多少はやってこうぜ! JAWS-UG東京 ランチタイムLT会 #6 2023/12/18 製造業の情シス こばやし
自己紹介 経歴 • 2000年代に国内大手の製造業に入社して以来、 20年以上ずーっと情報システム部門で社内SEやってる人 好きなAWSサービス Lambda Cost Explorer ひと言アピール
• 「クラウド x セキュリティ」の人を目指してます! AWS 全冠を目指すも、まだ9冠 情報処理安全確保支援士は未登録 こばやし (@jkobax)
結論ファースト ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄
❸ 定期的⏰に確認して対策する運用🧑🏻💻を確立しよう ❌
みなさん、こんなお悩み抱えてませんか ヘイシャでは、クラウド活用黎明期によく以下のようなやり取りがありました。 セキュリティ!?わざわざうちの環境狙う人いないし大丈夫でしょ 😄 AWSのセキュリティ関連のサービス多過ぎ!選べない!! 🤯 開発だけでも手一杯でセキュリティのこと考える余裕ないよ…… 😵💫 サービス増やすとお金かかるんでしょ!?いくらかワカンナイけど 🤑
心理的な罠に対して正論で反論します👊
罠❶ 過度の楽観視 この広大なインターネットで、わざわざうちの環境が狙われるなんて奇跡、 起こるわけないやろ! 宝くじじゃないんだからさ…… 世界中でクラウド環境の設定不備などが原因で めちゃくちゃ情報漏洩やサービス停止がおきてるぞ! 情報感度が低いのは自慢できることじゃないぞ。 攻撃する側は機械的なスキャンもしてるから、 企業規模とかまったく関係ないぞ!!(APTを除く)
🫵😠 正論さん
罠❷ セキュリティをあとから考えがち まずは機能の充足を優先させなきゃいけないし、セキュリティなんてあとあと! 余裕ができたらそのときに考えるわ。 (いつになるかワカランけど……) そんなこと言っててそのままGo-Liveになるんやぞ! 攻撃されてから慌てて守っても遅いぞ。 あとからやる方が難しいし、大変だから最初が肝心。 シフトレフトで早め早めにセキュリティを作り込むんや。 DevSecOpsな体制を構築せよ!
🫵😠 正論さん
罠❸ 無知の放置 AWSでセキュリティ対策するって言っても何から始めたらいいのかワカラン! Well-Architectedの「セキュリティの柱」もなんだか難しそうだし、 セキュリティ関連の機能も多過ぎて勉強する気にもなれないわ…… 最初は誰もが素人だけどそこで思考停止したら終わり。 無知であることを自覚したら学ぶしかないッ! 「AWSではじめるクラウドセキュリティ」とか 良著もあるし、かつてよりだいぶ勉強しやすく なってるんだから無知を言い訳にするな!
🫵😠 正論さん
罠❹ お金の問題から逃げがち 予算にセキュリティ対策の費用を計上しそびれちゃったのでもう今年度は…… いくらかかるかのかもよく分からないから、調整もしづらいしね。 (万一何か問題が起きたら予算なくても対策できるだろうし……) セキュリティは「あった方がいいかも?」な贅沢品ではなく、 「ないとマズイぞ!」な必需品や。 オマエはお小遣い足りなかったら、全裸で街中歩くんか! ママに泣きついてでも服買ってもらうやろ!そういうことや! 変な病気になったらまわりにも迷惑かけるんやぞ……
🫵😠 正論さん
これからやるべきことを紹介します🙋
最初の一歩🐣としてこちらをどうぞ🔰 AWS Security Hubで現状を客観的に把握できるようにしよう AWS Security Hub は、 セキュリティのベストプラクティスのチェックを行い、 アラートを集約し、自動修復を可能にする
クラウドセキュリティ体制管理サービスです。 ⚫ AWS 基礎セキュリティのベストプラクティス v1.0.0 💖 ← とりあえずコレやっとくべきやつ ⚫ CIS AWS Foundations Benchmark v1.2.0 ⚫ CIS AWS Foundations Benchmark v1.4.0 💖 ← あわせておススメなのがコレ ⚫ NIST Special Publication 800-53 Revision 5 ⚫ PCI DSS v3.2.1 先人の知恵をフル活用して セキュリティのスコアを ダッシュボードにしてくれるやつ 🐵 ❝ ❞
最初の一歩🐣としてこちらをどうぞ🔰 Amazon GuardDutyに怪しい動きを見張らせよう Amazon GuardDuty は、 AWS アカウントとワークロードを継続的にモニタリングして 悪意のあるアクティビティがないかを確認し、 可視化と修復のための詳細なセキュリティ検出結果を
提供する脅威検出サービスです。 ⚫ モニタリング対象が幅広いので安心感ある ✓ アカウント、インスタンス、サーバーレス、コンテナワークロード、ユーザー、データベース、ストレージ ⚫ 人力では探しきれないようなものを検出してくれる ✓ AWSが持ってるものに加えてサードパーティーからの脅威インテリジェンスフィードも活用 ✓ みなさん大好きなAIがいつもと違う動きを見つけてくれる! その名の通り、「見張り役」! あやしいヤツらを教えてくれる 🐵 ❝ ❞
30日間の無料期間中に金額💰試算を AWS Security Hub も Amazon GuardDuty も30日間無料! 迷わずにすぐ開始を!! ⚫
GuardDuty はコスパ最強👊の脅威検出サービスであると誰かが証明済み 【全員必須】GuardDutyがコスパ最強の脅威検知サービスであることを証明してみた | DevelopersIO (classmethod.jp) ⚫ Security Hub は思わぬ請求増につながる可能性あり…… と言われがちだが、たいていは無茶な金額にはならないはず! 💰 ヘイシャでは1,000 USD/月超のアカウントでは総額の1~2%程度 ⚠️ 休眠状態のアカウントでもリージョン単位で 1.4 USD程度かかる……
定期的⏰に確認して対策しよう🧑🏻💻 機能ONにしても、そのまま放置してたら意味なし!🙅 最低でも月次🌙でSecurity Hubの内容を確認する場を設けて、 是正していきましょう👊 ⚫ わたしはCCoEなので週次で全アカウントの状況を確認して、 ヤバそうなプロジェクトに 「こらー!!😡💢」 と声がけしてます
⚫ 作り込んじゃってからの対策は大変😵💫なので、開発の初期から早め早めの つぶし込みをしていきましょう (切実) ⚫ いきなり100点💯を目指そうとせず、Critical、High から順につぶしましょう
こんなこともやってます紹介 ✅ 実施済み ⚫ Control TowerとOrganizationsでのマルチアカウント管理 ⚫ アカウントの分離 (できるだけ Dev,
Stg, Prod の3アカウント制に) ⚫ AdministratorAccessのログイン通知 (悪名高いTeamsに通知!) ⚫ AWS WAF導入 (URLは正規表現のホワイトリストで許可) ⚫ Inspectorでのスキャン (ECR拡張スキャンすると震える結果が出たり……) 💪 推進中 ⚫ インターネットへの出口の集約 (Network FirewallとTransit Gatewayでうまいことやるやつ) ⚫ Amazon Security Lake検証中 ← AWSを信じて使えるものは使うスタンス
結論再び ❶ とりあえず、迷ったらこの2つを有効化しよう🔰 AWS Security Hub Amazon GuardDuty ❷ どちらも30日間無料💰で試せるので、すぐ始めよう🚄
❸ 定期的⏰に確認して対策する運用🧑🏻💻を確立しよう ❌