AWSアカウント管理のベストプラクティス

Transcript

1. Copyright © IDS Corporation. All rights reserved. 1 Confidential

2. Copyright © IDS Corporation. All rights reserved. 2 Confidential 2

   自己紹介 株式会社アイディーエス 小寺 加奈子（こでら かなこ） 【仕事】 AWSアライアンスリード 【ミッション】 日越でのAWSのビジネスグロース 【好きなAWSサービス】 Cost Explorer

3. Copyright © IDS Corporation. All rights reserved. 3 Confidential 3

   本日のゴール  前提知識 ・AWS Organizationsについての理解 ・マルチアカウントについての理解  ゴール ・マルチアカウントなAWS環境を構築する上でのベ ストプラクティスを理解いただく

4. Copyright © IDS Corporation. All rights reserved. 4 Confidential 4

   アジェンダ  第1部 ・AWSのマルチアカウント管理とは？ ・AWS Organizationsから考えるマルチアカウント 管理のベストプラクティス ・マルチアカウント管理のセキュリティ強化～AWS Well-Architected Framework～  第2部 ・トレンドマイクロ社の「Cloud One Workload Security」を用いたセキュリティ強化サービス

5. Copyright © IDS Corporation. All rights reserved. 5 Confidential AWSのマルチアカウント

   管理とは？

6. Copyright © IDS Corporation. All rights reserved. 6 Confidential 6

   Why？マルチアカウント管理？ こんなお悩みありませんか  お客様ごとにAWSアカウントを分ける必要が 出てきた  さまざまなAWSサービスでセンシティブな情 報を扱う必要が出てきた  社内の部門毎、プロジェクト毎にアカウント を分けた方がいい？  さまざまな部門関係者/ベンダーが関わる大規 模PJになりそう

7. Copyright © IDS Corporation. All rights reserved. 7 Confidential 7

   AWSでは、個別アカウントごとにワークロードを整理し、機 能、コンプライアンス要件、共通のコントロールセットに基 づいてアカウントをグループ化することを推奨しています AWSでのマルチアカウント管理 AWS Organizations ✔アカウント作成後の制御を自動化 ✔ワークロードの要件と目的に応じた異なる環 境の組織単位 (OU) でアカウントをグループ化

8. Copyright © IDS Corporation. All rights reserved. 8 Confidential 8

   マルチアカウント管理のメリット  さまざまなAWSアカウント要件に対応  請求の管理が簡単になる →プロジェクト単位、本番、開発環境単位など  柔軟なセキュリティ制御 特定のセキュリティ要件や業界要件を 持つワークロードに強力なポリシーが適用できる

9. Copyright © IDS Corporation. All rights reserved. 9 Confidential 9

   どのOUを分ければよい？ SCPについての定義 サービスコントロールポリシー（SCP）を OUに対し設定することで、そのOUに紐づく全ての AWSアカウントに各AWSアカウントのルートユーザー権限で も操作できない強力なポリシーを強制することができます。 OUを分ける前に考えたい・・・ プロダクトおよびソフトウェア開発ライフサイクル (SDLC)

10. Copyright © IDS Corporation. All rights reserved. 10 Confidential 10

    プロダクトおよびソフトウェア開発ライフサイクル (SDLC) 【前提】 本番ワークロードと非本番環境以外ではポリシー要件が異な る 非本番環境 (SDLC) と本番環境 (Prod) のネストされた OU をもつことが多い。 非本番環境のアカウントから本番環境への依存関係を持つべ きではない

11. Copyright © IDS Corporation. All rights reserved. 11 Confidential 11

    OUの分け方（例） 例）本番環境と非本番環境でOUを区別する場合 •Prod OU • Prod Account •SDCL OU • stg Account • dev Account  インフラストラクチャOU (Infrastructure) ネットワークや IT サービスなどの 共有インフラストラクチャサービス  セキュリティ（Security）OU セキュリティ関連のアクセスおよび サービスをホスト

12. Copyright © IDS Corporation. All rights reserved. 12 Confidential 12

    OUの分け方（例）さらに踏み込んで  OU: サンドボックス (Sandbox) 個々の技術者の AWS アカウントを対象とし、 AWS のサービスの学習用  OU: ワークロード (Workloads) ソフトウェアライフサイクルに関連する AWS ア カウントが作成される OU

13. Copyright © IDS Corporation. All rights reserved. 13 Confidential 13

    特に気をつけたいセキュリティOU Security OU は基本となる OU です。セキュリティ組織は、 この OU を子OU および関連するアカウントとともに所有・ 管理が推奨です！  ログアーカイブ：Log archive  セキュリティ ツーリン グ：Security tooling  セキュリティの読み取 り専用アクセス： Security read-only access  セキュリティ ブレーク グラス：Security break-glass

14. Copyright © IDS Corporation. All rights reserved. 14 Confidential マルチアカウント管理の

    ベストプラクティス

15. Copyright © IDS Corporation. All rights reserved. 15 Confidential 15

    マルチアカウント管理を始める AWS ControlTowerはAWSアカウントを 統制する上のベストサービス！  セットアップの自動化  セキュリティ・ログ統制の維持  無償で利⽤可能

16. Copyright © IDS Corporation. All rights reserved. 16 Confidential 16

    Control Towerまず有効化してみよう ２つの以下のアカウントが自動で作成されるので、 削除しないよう運用します！  すべてのアカウント監査を実施する 監査アカウント（Audit）  すべてのアカウントのログを集約・管理する ログアーカイブアカウント

17. Copyright © IDS Corporation. All rights reserved. 17 Confidential 17

    Control Towerまず有効化してみよう AWS Control Tower がランディングゾーンに対して求める 許可を行う。  ランディングゾーンは、Well-Architected による マルチアカウントの AWS 環境で、 セキュリティとコンプライアンスのベストプラクティスに基 づいています。

18. Copyright © IDS Corporation. All rights reserved. 18 Confidential 18

    Landing Zoneとは？ Landing Zoneでできること  マルチアカウント環境をセットアップ  AWS IAM アイデンティティセンター を使ったID 管理や フェデレーティッドアクセス  AWS CloudTrail のログや、Amazon Simple Storage Service (Amazon S3) に保存される AWS Config のログ を集中管理  AWS IAM アイデンティティセンター (AWS SSO の後継) を使用してクロスアカウントのセキュリティ監査

19. Copyright © IDS Corporation. All rights reserved. 19 Confidential 19

    ガードレールとは？ ガードレールは、セキュリティ、オペレーション、コンプラ イアンス向けの事前にパッケージ化されたガバナンスルール です。 利用者が「どのようなルールを？」「何のために？」有効化 するのかを選択します。 特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。

20. Copyright © IDS Corporation. All rights reserved. 20 Confidential 20

    2つのガードレール  必須および任意のガードレール 必須はセットアップ時に自動的に有効化 任意のガードレールはいつでも有効化できます  予防用および検出用のガードレール 予防用ガードレールでは、意図を確立し、ポリシーに違反す るリソースのデプロイを防止

21. Copyright © IDS Corporation. All rights reserved. 21 Confidential 21

    予防用および検出用ガードレールを有効活用する  予防用および検出用のガードレール •AWS CloudFormation を使用して基本設定を確立する •サービスコントロールポリシー (予防用ガードレール向け) を使用して基盤となる実装への設定変更を防止する •AWS Config ルール (検出用ガードレール向け) を使用して 設定変更を継続的に検出する •AWS Control Tower ダッシュボードでガードレールのス テータスを更新する

22. Copyright © IDS Corporation. All rights reserved. 22 Confidential 22

    2つのガードレール  必須ガードレール例 •AWS Control Tower や AWS CloudFormation で設定され た AWS IAM ロールの変更を不許可にする •ログアーカイブの公開読み取りアクセス設定の検出 •ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可しない •クロスリージョンのネットワークを禁止する

23. Copyright © IDS Corporation. All rights reserved. 23 Confidential 23

    2つのガードレール  任意ガードレール例 •Amazon S3 バケットへの公開書き込みアクセスが許可され ているかどうかの検出 •ルートユーザーの MFA が有効であるかどうかの検出 •Amazon EC2 インスタンスに接続された Amazon EBS ボ リュームの暗号化が有効であるかどうかの検出

24. Copyright © IDS Corporation. All rights reserved. 24 Confidential マルチアカウント管理のセ

    キュリティ強化～ AWS Well-Architected Framework～

25. Copyright © IDS Corporation. All rights reserved. 25 Confidential 25

    AWS アカウントの管理と分離がポイント ベストプラクティス •SEC01-BP01 アカウントを使用してワークロードを分ける: •SEC01-BP02 セキュアアカウントのルートユーザーおよび プロパティ

26. Copyright © IDS Corporation. All rights reserved. 26 Confidential 26

    AWS アカウントの管理と分離がポイント ベストプラクティス  アカウントを一元管理する→Organizations  制御を一括設定する→SCP  サービスとリソースを一括設定する →CloudTrail,Config

27. Copyright © IDS Corporation. All rights reserved. 27 Confidential セキュリティ強化サービス

    ご紹介 トレンドマイクロ社 Cloud One Workload Security

28. Copyright © IDS Corporation. All rights reserved. 28 Confidential 28

    Trend Micro Cloud One Workload Securityの必要性について クラウドセキュリティは 責任共有モデル に基づく データ暗号化 通信の保護 アプリケーション オペレーティングシステム・ネットワーク データ・コンテンツ類 Foundation Services Compute Storage Database Networking Global Infrastructure Regions Domains, Availability Zones サービスのインフラ部分 コンピューティング ストレージ データベース ネットワーク グローバル インフラ リージョン ドメインなど Cloud Provider 利用者の責任

29. Copyright © IDS Corporation. All rights reserved. 29 Confidential 29

    SaaSのため導入が容易 管理サーバ/DB等 用意不要 サーバに必要とされる7つの機能を 1つの製品で実現 Trend Micro Cloud One Workload Securityの特徴

30. Copyright © IDS Corporation. All rights reserved. 30 Confidential 30

    Amazon EC2 インスタンスの脆弱性診断を 実施しリスクを可視化 してくれるサービス。 ウェブアプリケーション ファイヤーウォール。 SQL インジェクションやクロスサイト スクリプティングなどの一般的な攻撃 パターンをブロックするセキュリティ ルールを作成できる、 もしくはManaged Serviceでルールを 契約できる。 AWS CloudTrail、 VPC フローログ、 DNSログを主なソースとし、 悪意のあるアクティビティを 脅威検出するサービス。 脆弱性対策に活用できるAWSサービスとその特徴

31. Copyright © IDS Corporation. All rights reserved. 31 Confidential 31

    診断サービスのため 通信の遮断は 行わない。 WAFのため、 OS/ミドルウェアを 狙う攻撃や、 すり抜けてホストに到達したものは 監視できない 検出ソースに 通信のデータ部分は 含まないので、 脆弱性を狙う 攻撃コードなどは 検知できない。 “防御”という観点で注意が必要なポイント Cloud One Workload Securityにて解決 ・パッチが適用できない期間の セキュリティリスク ・OS/ミドルウェアの脆弱性 すり抜け時のセキュリティリスク ・脆弱性を狙う攻撃からの防御

32. Copyright © IDS Corporation. All rights reserved. 32 Confidential 32

    クラウドワークロードセキュリティ市場シェア 4年連続No.1※ トレンドマイクロは、IDC の調査でクラウドワークロード セキュリティ市場において、2位のベンダーと比較して 3倍近い市場シェアを保持し、最も高いシェア※を占めています。 ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2021 Prepare for a Wild Ride (Published July 2022) Worldwide Cloud Workload Security Market Shares, 2021: Prepare for a Wild Ride(Published July 2022) 「Trend Micro Cloud One™は、ソースコードリポジトリ、 コンテナイメージ、サーバレス、ファイルストレージ、ワークロードな ど多岐にまたがる、Software-Defined Compute環境上に構築された ワークロードとアプリケーションを保護するプラットフォームです。」 （本レポートより）

33. Copyright © IDS Corporation. All rights reserved. 33 Confidential 33

    Trend Micro Cloud One Workload Securityの運用代行 ・初期構築 お客様のクラウド環境における Cloud One – Workload Security の構築を行ないま す。 また、侵入検知/変更監視/セキュリティログ監視のためのルール設定（IDS標準）も 代行します。 ・運用保守 Cloud One – Workload Security のアラート監視を24時間365日リモートで行ない、 アラートが確認された場合、お客さま指定の連絡先にお伝えします。 加えて、Cloud One – Workload Security ログを分析し、定期的にレポートを提出 します。 初期費用 ¥100,000（税抜き） 月額費用（運用保守） ¥5,000/インスタンス （税抜き） 初期費用は、6インスタンスまでとする。 月額費用は、別途、基本料金¥20,000が月額かかります。

34. Copyright © IDS Corporation. All rights reserved. 34 Confidential 34

    Trend Micro Cloud One Workload Securityの運用代行 Trend Micro Cloud Oneのご利用料はAWS Market Place からAWS利用料とまとめて毎月のお支払いが可能です。 通常、割引提供がないところ、Sunny Pay加入いただいた 場合、5%割引をご提供いたします。 ※利用料について、正式情報は以下サイトよりご確認をお願いいたします。 https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4 Micro-Med EC2 インスタンス, WorkSpace, Other Cloud 1 vCPU/1時間 あたり $0.011 / unit 約1,000円/月/インスタンス Large EC2 インスタンス, Other Cloud 2 vCPU/1時間あたり $0.032 / unit 約3,000円/月/インスタンス XL以上のEC2インスタンス , Other Cloud 4+ vCPU/1時間あたり $0.047 / unit 約4,500円/月/インスタンス

35. Copyright © IDS Corporation. All rights reserved. 35 Confidential 35

    認定CSPパートナー ※正式情報は以下サイトよりご確認をお願いいたします。 https://www.trendmicro.com/ja_jp/partners/cloud-integrator-consortium.html

36. Copyright © IDS Corporation. All rights reserved. 36 Confidential 36

    1100 ご利用実績 プロジェクト 以上 2011年のサービス開始から、 のべ1100以上のシステムでAWS をご利用頂いています。 5 AWS利用料 ％引き ビジネスサポートも無料になり、 当社サービスの利用だけで、 最大15％安くAWSを ご利用いただけます。 お得な だれ でも AWSインフラ保険 安心 万が一を保証します 万が一AWSに障害が発生した際 の損害保険が無料付帯されます。 AWS責任共有モデルのAWS責任 部分を補償します。 本セキュリティ運用サービスの加入には、「AWS請求代行（リセール）サービス Sunny Pay」が必要です。

37. Copyright © IDS Corporation. All rights reserved. 37 Confidential •

    支援実績500社以上の が AWS活用におけるリセール（請求代 行）からアプリケーション構築、AWS構築支援、運用保守まで総合的に支援し ます。 • 新規のAWSアカウント作成はもちろんすでにお使いのAWSアカウントもアカ ウントの移管なしでそのままご利用いただけます。 AWSをご利用の方はぜひご相談ください AWS アドバンストティア サービスパートナー の認定を継続維持 AWS事業の全エンジニアが AWS認定資格を取得しています