Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSアカウント管理のベストプラクティス
Search
Sunny Cloud
January 31, 2024
Technology
0
260
AWSアカウント管理のベストプラクティス
AWSアカウント管理のベストプラクティス
#AWS #Organizations #マルチアカウント
Sunny Cloud
January 31, 2024
Tweet
Share
More Decks by Sunny Cloud
See All by Sunny Cloud
ここまでできるAWSコスト削減
kanakokodera
1
38
#41 JAWS-UG主催 週刊AWSキャッチアップ (2024/7/15週)
kanakokodera
0
42
#41 JAWS-UG主催 週刊AWSキャッチアップ (2024/7/15週):[週刊生成AI with AWS – 2024/7/15週
kanakokodera
0
48
2024年7月16日開催【オンラインイベント】セキュリティリスクの把握・評価・軽減からみるAWSセキュリティの具体策
kanakokodera
0
74
JAWS-UG福岡 #18: JAWS-UGクラウド女子会共催スペシャル【ハイブリッド開催】
kanakokodera
0
36
週刊AWSキャッチアップ(2024年6月24日週)
kanakokodera
0
62
女性でエンジニア以外も楽しめる支部活動を
kanakokodera
2
190
webinar20240529.pdf
kanakokodera
0
27
週刊AWSキャッチアップ~週刊生成AI with AWS – 2024/5/13週~
kanakokodera
0
120
Other Decks in Technology
See All in Technology
なぜCodeceptJSを選んだか
goataka
0
160
watsonx.ai Dojo #5 ファインチューニングとInstructLAB
oniak3ibm
PRO
0
160
【re:Invent 2024 アプデ】 Prompt Routing の紹介
champ
0
140
Oracle Cloud Infrastructure:2024年12月度サービス・アップデート
oracle4engineer
PRO
0
160
社外コミュニティで学び社内に活かす共に学ぶプロジェクトの実践/backlogworld2024
nishiuma
0
250
WACATE2024冬セッション資料(ユーザビリティ)
scarletplover
0
190
ずっと昔に Star をつけたはずの思い出せない GitHub リポジトリを見つけたい!
rokuosan
0
150
alecthomas/kong はいいぞ / kamakura.go#7
fujiwara3
1
300
ガバメントクラウドのセキュリティ対策事例について
fujisawaryohei
0
530
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
280
5分でわかるDuckDB
chanyou0311
10
3.2k
LINE Developersプロダクト(LIFF/LINE Login)におけるフロントエンド開発
lycorptech_jp
PRO
0
120
Featured
See All Featured
Building Flexible Design Systems
yeseniaperezcruz
327
38k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
96
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
251
21k
Reflections from 52 weeks, 52 projects
jeffersonlam
347
20k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
2
170
Designing for humans not robots
tammielis
250
25k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
29
2k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
127
18k
Fireside Chat
paigeccino
34
3.1k
Transcript
Copyright © IDS Corporation. All rights reserved. 1 Confidential
Copyright © IDS Corporation. All rights reserved. 2 Confidential 2
自己紹介 株式会社アイディーエス 小寺 加奈子(こでら かなこ) 【仕事】 AWSアライアンスリード 【ミッション】 日越でのAWSのビジネスグロース 【好きなAWSサービス】 Cost Explorer
Copyright © IDS Corporation. All rights reserved. 3 Confidential 3
本日のゴール 前提知識 ・AWS Organizationsについての理解 ・マルチアカウントについての理解 ゴール ・マルチアカウントなAWS環境を構築する上でのベ ストプラクティスを理解いただく
Copyright © IDS Corporation. All rights reserved. 4 Confidential 4
アジェンダ 第1部 ・AWSのマルチアカウント管理とは? ・AWS Organizationsから考えるマルチアカウント 管理のベストプラクティス ・マルチアカウント管理のセキュリティ強化~AWS Well-Architected Framework~ 第2部 ・トレンドマイクロ社の「Cloud One Workload Security」を用いたセキュリティ強化サービス
Copyright © IDS Corporation. All rights reserved. 5 Confidential AWSのマルチアカウント
管理とは?
Copyright © IDS Corporation. All rights reserved. 6 Confidential 6
Why?マルチアカウント管理? こんなお悩みありませんか お客様ごとにAWSアカウントを分ける必要が 出てきた さまざまなAWSサービスでセンシティブな情 報を扱う必要が出てきた 社内の部門毎、プロジェクト毎にアカウント を分けた方がいい? さまざまな部門関係者/ベンダーが関わる大規 模PJになりそう
Copyright © IDS Corporation. All rights reserved. 7 Confidential 7
AWSでは、個別アカウントごとにワークロードを整理し、機 能、コンプライアンス要件、共通のコントロールセットに基 づいてアカウントをグループ化することを推奨しています AWSでのマルチアカウント管理 AWS Organizations ✔アカウント作成後の制御を自動化 ✔ワークロードの要件と目的に応じた異なる環 境の組織単位 (OU) でアカウントをグループ化
Copyright © IDS Corporation. All rights reserved. 8 Confidential 8
マルチアカウント管理のメリット さまざまなAWSアカウント要件に対応 請求の管理が簡単になる →プロジェクト単位、本番、開発環境単位など 柔軟なセキュリティ制御 特定のセキュリティ要件や業界要件を 持つワークロードに強力なポリシーが適用できる
Copyright © IDS Corporation. All rights reserved. 9 Confidential 9
どのOUを分ければよい? SCPについての定義 サービスコントロールポリシー(SCP)を OUに対し設定することで、そのOUに紐づく全ての AWSアカウントに各AWSアカウントのルートユーザー権限で も操作できない強力なポリシーを強制することができます。 OUを分ける前に考えたい・・・ プロダクトおよびソフトウェア開発ライフサイクル (SDLC)
Copyright © IDS Corporation. All rights reserved. 10 Confidential 10
プロダクトおよびソフトウェア開発ライフサイクル (SDLC) 【前提】 本番ワークロードと非本番環境以外ではポリシー要件が異な る 非本番環境 (SDLC) と本番環境 (Prod) のネストされた OU をもつことが多い。 非本番環境のアカウントから本番環境への依存関係を持つべ きではない
Copyright © IDS Corporation. All rights reserved. 11 Confidential 11
OUの分け方(例) 例)本番環境と非本番環境でOUを区別する場合 •Prod OU • Prod Account •SDCL OU • stg Account • dev Account インフラストラクチャOU (Infrastructure) ネットワークや IT サービスなどの 共有インフラストラクチャサービス セキュリティ(Security)OU セキュリティ関連のアクセスおよび サービスをホスト
Copyright © IDS Corporation. All rights reserved. 12 Confidential 12
OUの分け方(例)さらに踏み込んで OU: サンドボックス (Sandbox) 個々の技術者の AWS アカウントを対象とし、 AWS のサービスの学習用 OU: ワークロード (Workloads) ソフトウェアライフサイクルに関連する AWS ア カウントが作成される OU
Copyright © IDS Corporation. All rights reserved. 13 Confidential 13
特に気をつけたいセキュリティOU Security OU は基本となる OU です。セキュリティ組織は、 この OU を子OU および関連するアカウントとともに所有・ 管理が推奨です! ログアーカイブ:Log archive セキュリティ ツーリン グ:Security tooling セキュリティの読み取 り専用アクセス: Security read-only access セキュリティ ブレーク グラス:Security break-glass
Copyright © IDS Corporation. All rights reserved. 14 Confidential マルチアカウント管理の
ベストプラクティス
Copyright © IDS Corporation. All rights reserved. 15 Confidential 15
マルチアカウント管理を始める AWS ControlTowerはAWSアカウントを 統制する上のベストサービス! セットアップの自動化 セキュリティ・ログ統制の維持 無償で利⽤可能
Copyright © IDS Corporation. All rights reserved. 16 Confidential 16
Control Towerまず有効化してみよう 2つの以下のアカウントが自動で作成されるので、 削除しないよう運用します! すべてのアカウント監査を実施する 監査アカウント(Audit) すべてのアカウントのログを集約・管理する ログアーカイブアカウント
Copyright © IDS Corporation. All rights reserved. 17 Confidential 17
Control Towerまず有効化してみよう AWS Control Tower がランディングゾーンに対して求める 許可を行う。 ランディングゾーンは、Well-Architected による マルチアカウントの AWS 環境で、 セキュリティとコンプライアンスのベストプラクティスに基 づいています。
Copyright © IDS Corporation. All rights reserved. 18 Confidential 18
Landing Zoneとは? Landing Zoneでできること マルチアカウント環境をセットアップ AWS IAM アイデンティティセンター を使ったID 管理や フェデレーティッドアクセス AWS CloudTrail のログや、Amazon Simple Storage Service (Amazon S3) に保存される AWS Config のログ を集中管理 AWS IAM アイデンティティセンター (AWS SSO の後継) を使用してクロスアカウントのセキュリティ監査
Copyright © IDS Corporation. All rights reserved. 19 Confidential 19
ガードレールとは? ガードレールは、セキュリティ、オペレーション、コンプラ イアンス向けの事前にパッケージ化されたガバナンスルール です。 利用者が「どのようなルールを?」「何のために?」有効化 するのかを選択します。 特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。
Copyright © IDS Corporation. All rights reserved. 20 Confidential 20
2つのガードレール 必須および任意のガードレール 必須はセットアップ時に自動的に有効化 任意のガードレールはいつでも有効化できます 予防用および検出用のガードレール 予防用ガードレールでは、意図を確立し、ポリシーに違反す るリソースのデプロイを防止
Copyright © IDS Corporation. All rights reserved. 21 Confidential 21
予防用および検出用ガードレールを有効活用する 予防用および検出用のガードレール •AWS CloudFormation を使用して基本設定を確立する •サービスコントロールポリシー (予防用ガードレール向け) を使用して基盤となる実装への設定変更を防止する •AWS Config ルール (検出用ガードレール向け) を使用して 設定変更を継続的に検出する •AWS Control Tower ダッシュボードでガードレールのス テータスを更新する
Copyright © IDS Corporation. All rights reserved. 22 Confidential 22
2つのガードレール 必須ガードレール例 •AWS Control Tower や AWS CloudFormation で設定され た AWS IAM ロールの変更を不許可にする •ログアーカイブの公開読み取りアクセス設定の検出 •ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可しない •クロスリージョンのネットワークを禁止する
Copyright © IDS Corporation. All rights reserved. 23 Confidential 23
2つのガードレール 任意ガードレール例 •Amazon S3 バケットへの公開書き込みアクセスが許可され ているかどうかの検出 •ルートユーザーの MFA が有効であるかどうかの検出 •Amazon EC2 インスタンスに接続された Amazon EBS ボ リュームの暗号化が有効であるかどうかの検出
Copyright © IDS Corporation. All rights reserved. 24 Confidential マルチアカウント管理のセ
キュリティ強化~ AWS Well-Architected Framework~
Copyright © IDS Corporation. All rights reserved. 25 Confidential 25
AWS アカウントの管理と分離がポイント ベストプラクティス •SEC01-BP01 アカウントを使用してワークロードを分ける: •SEC01-BP02 セキュアアカウントのルートユーザーおよび プロパティ
Copyright © IDS Corporation. All rights reserved. 26 Confidential 26
AWS アカウントの管理と分離がポイント ベストプラクティス アカウントを一元管理する→Organizations 制御を一括設定する→SCP サービスとリソースを一括設定する →CloudTrail,Config
Copyright © IDS Corporation. All rights reserved. 27 Confidential セキュリティ強化サービス
ご紹介 トレンドマイクロ社 Cloud One Workload Security
Copyright © IDS Corporation. All rights reserved. 28 Confidential 28
Trend Micro Cloud One Workload Securityの必要性について クラウドセキュリティは 責任共有モデル に基づく データ暗号化 通信の保護 アプリケーション オペレーティングシステム・ネットワーク データ・コンテンツ類 Foundation Services Compute Storage Database Networking Global Infrastructure Regions Domains, Availability Zones サービスのインフラ部分 コンピューティング ストレージ データベース ネットワーク グローバル インフラ リージョン ドメインなど Cloud Provider 利用者の責任
Copyright © IDS Corporation. All rights reserved. 29 Confidential 29
SaaSのため導入が容易 管理サーバ/DB等 用意不要 サーバに必要とされる7つの機能を 1つの製品で実現 Trend Micro Cloud One Workload Securityの特徴
Copyright © IDS Corporation. All rights reserved. 30 Confidential 30
Amazon EC2 インスタンスの脆弱性診断を 実施しリスクを可視化 してくれるサービス。 ウェブアプリケーション ファイヤーウォール。 SQL インジェクションやクロスサイト スクリプティングなどの一般的な攻撃 パターンをブロックするセキュリティ ルールを作成できる、 もしくはManaged Serviceでルールを 契約できる。 AWS CloudTrail、 VPC フローログ、 DNSログを主なソースとし、 悪意のあるアクティビティを 脅威検出するサービス。 脆弱性対策に活用できるAWSサービスとその特徴
Copyright © IDS Corporation. All rights reserved. 31 Confidential 31
診断サービスのため 通信の遮断は 行わない。 WAFのため、 OS/ミドルウェアを 狙う攻撃や、 すり抜けてホストに到達したものは 監視できない 検出ソースに 通信のデータ部分は 含まないので、 脆弱性を狙う 攻撃コードなどは 検知できない。 “防御”という観点で注意が必要なポイント Cloud One Workload Securityにて解決 ・パッチが適用できない期間の セキュリティリスク ・OS/ミドルウェアの脆弱性 すり抜け時のセキュリティリスク ・脆弱性を狙う攻撃からの防御
Copyright © IDS Corporation. All rights reserved. 32 Confidential 32
クラウドワークロードセキュリティ市場シェア 4年連続No.1※ トレンドマイクロは、IDC の調査でクラウドワークロード セキュリティ市場において、2位のベンダーと比較して 3倍近い市場シェアを保持し、最も高いシェア※を占めています。 ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2021 Prepare for a Wild Ride (Published July 2022) Worldwide Cloud Workload Security Market Shares, 2021: Prepare for a Wild Ride(Published July 2022) 「Trend Micro Cloud One™は、ソースコードリポジトリ、 コンテナイメージ、サーバレス、ファイルストレージ、ワークロードな ど多岐にまたがる、Software-Defined Compute環境上に構築された ワークロードとアプリケーションを保護するプラットフォームです。」 (本レポートより)
Copyright © IDS Corporation. All rights reserved. 33 Confidential 33
Trend Micro Cloud One Workload Securityの運用代行 ・初期構築 お客様のクラウド環境における Cloud One – Workload Security の構築を行ないま す。 また、侵入検知/変更監視/セキュリティログ監視のためのルール設定(IDS標準)も 代行します。 ・運用保守 Cloud One – Workload Security のアラート監視を24時間365日リモートで行ない、 アラートが確認された場合、お客さま指定の連絡先にお伝えします。 加えて、Cloud One – Workload Security ログを分析し、定期的にレポートを提出 します。 初期費用 ¥100,000(税抜き) 月額費用(運用保守) ¥5,000/インスタンス (税抜き) 初期費用は、6インスタンスまでとする。 月額費用は、別途、基本料金¥20,000が月額かかります。
Copyright © IDS Corporation. All rights reserved. 34 Confidential 34
Trend Micro Cloud One Workload Securityの運用代行 Trend Micro Cloud Oneのご利用料はAWS Market Place からAWS利用料とまとめて毎月のお支払いが可能です。 通常、割引提供がないところ、Sunny Pay加入いただいた 場合、5%割引をご提供いたします。 ※利用料について、正式情報は以下サイトよりご確認をお願いいたします。 https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4 Micro-Med EC2 インスタンス, WorkSpace, Other Cloud 1 vCPU/1時間 あたり $0.011 / unit 約1,000円/月/インスタンス Large EC2 インスタンス, Other Cloud 2 vCPU/1時間あたり $0.032 / unit 約3,000円/月/インスタンス XL以上のEC2インスタンス , Other Cloud 4+ vCPU/1時間あたり $0.047 / unit 約4,500円/月/インスタンス
Copyright © IDS Corporation. All rights reserved. 35 Confidential 35
認定CSPパートナー ※正式情報は以下サイトよりご確認をお願いいたします。 https://www.trendmicro.com/ja_jp/partners/cloud-integrator-consortium.html
Copyright © IDS Corporation. All rights reserved. 36 Confidential 36
1100 ご利用実績 プロジェクト 以上 2011年のサービス開始から、 のべ1100以上のシステムでAWS をご利用頂いています。 5 AWS利用料 %引き ビジネスサポートも無料になり、 当社サービスの利用だけで、 最大15%安くAWSを ご利用いただけます。 お得な だれ でも AWSインフラ保険 安心 万が一を保証します 万が一AWSに障害が発生した際 の損害保険が無料付帯されます。 AWS責任共有モデルのAWS責任 部分を補償します。 本セキュリティ運用サービスの加入には、「AWS請求代行(リセール)サービス Sunny Pay」が必要です。
Copyright © IDS Corporation. All rights reserved. 37 Confidential •
支援実績500社以上の が AWS活用におけるリセール(請求代 行)からアプリケーション構築、AWS構築支援、運用保守まで総合的に支援し ます。 • 新規のAWSアカウント作成はもちろんすでにお使いのAWSアカウントもアカ ウントの移管なしでそのままご利用いただけます。 AWSをご利用の方はぜひご相談ください AWS アドバンストティア サービスパートナー の認定を継続維持 AWS事業の全エンジニアが AWS認定資格を取得しています