AWSアカウント管理のベストプラクティス

Copyright © IDS Corporation. All rights reserved. 2 Confidential 2
自己紹介株式会社アイディーエス小寺加奈子（こでらかなこ）【仕事】 AWSアライアンスリード【ミッション】日越でのAWSのビジネスグロース【好きなAWSサービス】 Cost Explorer

本日のゴール  前提知識・AWS Organizationsについての理解・マルチアカウントについての理解  ゴール・マルチアカウントなAWS環境を構築する上でのベストプラクティスを理解いただく

アジェンダ  第1部・AWSのマルチアカウント管理とは？・AWS Organizationsから考えるマルチアカウント管理のベストプラクティス・マルチアカウント管理のセキュリティ強化～AWS Well-Architected Framework～  第2部・トレンドマイクロ社の「Cloud One Workload Security」を用いたセキュリティ強化サービス

Copyright © IDS Corporation. All rights reserved. 5 Confidential AWSのマルチアカウント
管理とは？

Why？マルチアカウント管理？こんなお悩みありませんか  お客様ごとにAWSアカウントを分ける必要が出てきた  さまざまなAWSサービスでセンシティブな情報を扱う必要が出てきた  社内の部門毎、プロジェクト毎にアカウントを分けた方がいい？  さまざまな部門関係者/ベンダーが関わる大規模PJになりそう

AWSでは、個別アカウントごとにワークロードを整理し、機能、コンプライアンス要件、共通のコントロールセットに基づいてアカウントをグループ化することを推奨しています AWSでのマルチアカウント管理 AWS Organizations ✔アカウント作成後の制御を自動化 ✔ワークロードの要件と目的に応じた異なる環境の組織単位 (OU) でアカウントをグループ化

マルチアカウント管理のメリット  さまざまなAWSアカウント要件に対応  請求の管理が簡単になる →プロジェクト単位、本番、開発環境単位など  柔軟なセキュリティ制御特定のセキュリティ要件や業界要件を持つワークロードに強力なポリシーが適用できる

どのOUを分ければよい？ SCPについての定義サービスコントロールポリシー（SCP）を OUに対し設定することで、そのOUに紐づく全ての AWSアカウントに各AWSアカウントのルートユーザー権限でも操作できない強力なポリシーを強制することができます。 OUを分ける前に考えたい・・・プロダクトおよびソフトウェア開発ライフサイクル (SDLC)

プロダクトおよびソフトウェア開発ライフサイクル (SDLC) 【前提】本番ワークロードと非本番環境以外ではポリシー要件が異なる非本番環境 (SDLC) と本番環境 (Prod) のネストされた OU をもつことが多い。非本番環境のアカウントから本番環境への依存関係を持つべきではない

OUの分け方（例）例）本番環境と非本番環境でOUを区別する場合 •Prod OU • Prod Account •SDCL OU • stg Account • dev Account  インフラストラクチャOU (Infrastructure) ネットワークや IT サービスなどの共有インフラストラクチャサービス  セキュリティ（Security）OU セキュリティ関連のアクセスおよびサービスをホスト

OUの分け方（例）さらに踏み込んで  OU: サンドボックス (Sandbox) 個々の技術者の AWS アカウントを対象とし、 AWS のサービスの学習用  OU: ワークロード (Workloads) ソフトウェアライフサイクルに関連する AWS アカウントが作成される OU

特に気をつけたいセキュリティOU Security OU は基本となる OU です。セキュリティ組織は、この OU を子OU および関連するアカウントとともに所有・管理が推奨です！  ログアーカイブ：Log archive  セキュリティツーリング：Security tooling  セキュリティの読み取り専用アクセス： Security read-only access  セキュリティブレークグラス：Security break-glass

Copyright © IDS Corporation. All rights reserved. 14 Confidential マルチアカウント管理の
ベストプラクティス

マルチアカウント管理を始める AWS ControlTowerはAWSアカウントを統制する上のベストサービス！  セットアップの自動化  セキュリティ・ログ統制の維持  無償で利⽤可能

Control Towerまず有効化してみよう２つの以下のアカウントが自動で作成されるので、削除しないよう運用します！  すべてのアカウント監査を実施する監査アカウント（Audit）  すべてのアカウントのログを集約・管理するログアーカイブアカウント

Control Towerまず有効化してみよう AWS Control Tower がランディングゾーンに対して求める許可を行う。  ランディングゾーンは、Well-Architected によるマルチアカウントの AWS 環境で、セキュリティとコンプライアンスのベストプラクティスに基づいています。

Landing Zoneとは？ Landing Zoneでできること  マルチアカウント環境をセットアップ  AWS IAM アイデンティティセンターを使ったID 管理やフェデレーティッドアクセス  AWS CloudTrail のログや、Amazon Simple Storage Service (Amazon S3) に保存される AWS Config のログを集中管理  AWS IAM アイデンティティセンター (AWS SSO の後継) を使用してクロスアカウントのセキュリティ監査

ガードレールとは？ガードレールは、セキュリティ、オペレーション、コンプライアンス向けの事前にパッケージ化されたガバナンスルールです。利用者が「どのようなルールを？」「何のために？」有効化するのかを選択します。特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。

2つのガードレール  必須および任意のガードレール必須はセットアップ時に自動的に有効化任意のガードレールはいつでも有効化できます  予防用および検出用のガードレール予防用ガードレールでは、意図を確立し、ポリシーに違反するリソースのデプロイを防止

予防用および検出用ガードレールを有効活用する  予防用および検出用のガードレール •AWS CloudFormation を使用して基本設定を確立する •サービスコントロールポリシー (予防用ガードレール向け) を使用して基盤となる実装への設定変更を防止する •AWS Config ルール (検出用ガードレール向け) を使用して設定変更を継続的に検出する •AWS Control Tower ダッシュボードでガードレールのステータスを更新する

2つのガードレール  必須ガードレール例 •AWS Control Tower や AWS CloudFormation で設定された AWS IAM ロールの変更を不許可にする •ログアーカイブの公開読み取りアクセス設定の検出 •ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可しない •クロスリージョンのネットワークを禁止する

2つのガードレール  任意ガードレール例 •Amazon S3 バケットへの公開書き込みアクセスが許可されているかどうかの検出 •ルートユーザーの MFA が有効であるかどうかの検出 •Amazon EC2 インスタンスに接続された Amazon EBS ボリュームの暗号化が有効であるかどうかの検出

Copyright © IDS Corporation. All rights reserved. 24 Confidential マルチアカウント管理のセ
キュリティ強化～ AWS Well-Architected Framework～

AWS アカウントの管理と分離がポイントベストプラクティス •SEC01-BP01 アカウントを使用してワークロードを分ける: •SEC01-BP02 セキュアアカウントのルートユーザーおよびプロパティ

AWS アカウントの管理と分離がポイントベストプラクティス  アカウントを一元管理する→Organizations  制御を一括設定する→SCP  サービスとリソースを一括設定する →CloudTrail,Config

Trend Micro Cloud One Workload Securityの必要性についてクラウドセキュリティは責任共有モデルに基づくデータ暗号化通信の保護アプリケーションオペレーティングシステム・ネットワークデータ・コンテンツ類 Foundation Services Compute Storage Database Networking Global Infrastructure Regions Domains, Availability Zones サービスのインフラ部分コンピューティングストレージデータベースネットワークグローバルインフラリージョンドメインなど Cloud Provider 利用者の責任

SaaSのため導入が容易管理サーバ/DB等用意不要サーバに必要とされる7つの機能を 1つの製品で実現 Trend Micro Cloud One Workload Securityの特徴

Amazon EC2 インスタンスの脆弱性診断を実施しリスクを可視化してくれるサービス。ウェブアプリケーションファイヤーウォール。 SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できる、もしくはManaged Serviceでルールを契約できる。 AWS CloudTrail、 VPC フローログ、 DNSログを主なソースとし、悪意のあるアクティビティを脅威検出するサービス。脆弱性対策に活用できるAWSサービスとその特徴

診断サービスのため通信の遮断は行わない。 WAFのため、 OS/ミドルウェアを狙う攻撃や、すり抜けてホストに到達したものは監視できない検出ソースに通信のデータ部分は含まないので、脆弱性を狙う攻撃コードなどは検知できない。 “防御”という観点で注意が必要なポイント Cloud One Workload Securityにて解決・パッチが適用できない期間のセキュリティリスク・OS/ミドルウェアの脆弱性すり抜け時のセキュリティリスク・脆弱性を狙う攻撃からの防御

クラウドワークロードセキュリティ市場シェア 4年連続No.1※ トレンドマイクロは、IDC の調査でクラウドワークロードセキュリティ市場において、2位のベンダーと比較して 3倍近い市場シェアを保持し、最も高いシェア※を占めています。 ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2021 Prepare for a Wild Ride (Published July 2022) Worldwide Cloud Workload Security Market Shares, 2021: Prepare for a Wild Ride(Published July 2022) 「Trend Micro Cloud One™は、ソースコードリポジトリ、コンテナイメージ、サーバレス、ファイルストレージ、ワークロードなど多岐にまたがる、Software-Defined Compute環境上に構築されたワークロードとアプリケーションを保護するプラットフォームです。」（本レポートより）

Trend Micro Cloud One Workload Securityの運用代行・初期構築お客様のクラウド環境における Cloud One – Workload Security の構築を行ないます。また、侵入検知/変更監視/セキュリティログ監視のためのルール設定（IDS標準）も代行します。・運用保守 Cloud One – Workload Security のアラート監視を24時間365日リモートで行ない、アラートが確認された場合、お客さま指定の連絡先にお伝えします。加えて、Cloud One – Workload Security ログを分析し、定期的にレポートを提出します。初期費用 ¥100,000（税抜き）月額費用（運用保守） ¥5,000/インスタンス（税抜き） 初期費用は、6インスタンスまでとする。 月額費用は、別途、基本料金¥20,000が月額かかります。

Trend Micro Cloud One Workload Securityの運用代行 Trend Micro Cloud Oneのご利用料はAWS Market Place からAWS利用料とまとめて毎月のお支払いが可能です。通常、割引提供がないところ、Sunny Pay加入いただいた場合、5%割引をご提供いたします。 ※利用料について、正式情報は以下サイトよりご確認をお願いいたします。 https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4 Micro-Med EC2 インスタンス, WorkSpace, Other Cloud 1 vCPU/1時間あたり $0.011 / unit 約1,000円/月/インスタンス Large EC2 インスタンス, Other Cloud 2 vCPU/1時間あたり $0.032 / unit 約3,000円/月/インスタンス XL以上のEC2インスタンス , Other Cloud 4+ vCPU/1時間あたり $0.047 / unit 約4,500円/月/インスタンス

認定CSPパートナー ※正式情報は以下サイトよりご確認をお願いいたします。 https://www.trendmicro.com/ja_jp/partners/cloud-integrator-consortium.html

1100 ご利用実績プロジェクト以上 2011年のサービス開始から、のべ1100以上のシステムでAWS をご利用頂いています。 5 AWS利用料％引きビジネスサポートも無料になり、当社サービスの利用だけで、最大15％安くAWSをご利用いただけます。お得なだれでも AWSインフラ保険安心万が一を保証します万が一AWSに障害が発生した際の損害保険が無料付帯されます。 AWS責任共有モデルのAWS責任部分を補償します。本セキュリティ運用サービスの加入には、「AWS請求代行（リセール）サービス Sunny Pay」が必要です。

Copyright © IDS Corporation. All rights reserved. 37 Confidential •
支援実績500社以上のが AWS活用におけるリセール（請求代行）からアプリケーション構築、AWS構築支援、運用保守まで総合的に支援します。 • 新規のAWSアカウント作成はもちろんすでにお使いのAWSアカウントもアカウントの移管なしでそのままご利用いただけます。 AWSをご利用の方はぜひご相談ください AWS アドバンストティアサービスパートナーの認定を継続維持 AWS事業の全エンジニアが AWS認定資格を取得しています

AWSアカウント管理のベストプラクティス

AWSアカウント管理のベストプラクティス

More Decks by Sunny Cloud

Other Decks in Technology

Featured

Transcript