Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【Jr.Champions勉強会】BLEAで始めるAWS環境構築
Search
Kazushi
November 05, 2024
Technology
83
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
【Jr.Champions勉強会】BLEAで始めるAWS環境構築
Kazushi
November 05, 2024
More Decks by Kazushi
See All by Kazushi
emotivEのAI&LLM活用事例
kazushi_ohata
0
120
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
490
【若手エンジニア応援LT会】CodePipelineのV1とV2の違いを調べてみた件
kazushi_ohata
0
670
【若手エンジニア応援LT会】AWS ACMで証明書の自動更新を設定してみた
kazushi_ohata
1
520
【若手エンジニア応援LT会】AWS Security Hubの活用に苦労した話
kazushi_ohata
1
710
【若手エンジニア応援LT会】AWSで繋がり、共に成長! ~コミュニティ活動と新人教育への挑戦~
kazushi_ohata
0
1.2k
Other Decks in Technology
See All in Technology
なぜ私たちのSREプラクティスはなかなか機能しないのか 〜システムより先に組織を見る〜 / Why our SRE practices aren't really working
vtryo
0
570
美しいコードを書くためにF#を学んでみた話
yud0uhu
1
150
最近評価が難しくなった
maroon8021
0
210
5分でわかる Amazon Connect_20260608
hwangbyeonghun
0
180
ゼロをイチにする仕事が終わったあと
smasato
0
280
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
1
770
トークン最適化のためのユーザーストーリー分析 / User Story Analysis for Token Optimization
oomatomo
0
170
Baseline対応のDOMの型定義を作った
uhyo
3
680
攻撃者がいなくてもAIエージェントはインシデントを起こす
nomizone
0
200
事業価値を⽣み出すSREへ SREが担うべき意思決定の5層
kenta_hi
0
150
Mastraエージェント、どのクラウドにデプロイする?
minorun365
PRO
2
160
Claude Code 珍プレー好プレー
shinyasaita
0
190
Featured
See All Featured
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
380
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
2
600
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
2k
Automating Front-end Workflow
addyosmani
1370
210k
The World Runs on Bad Software
bkeepers
PRO
72
12k
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
270
HU Berlin: Industrial-Strength Natural Language Processing with spaCy and Prodigy
inesmontani
PRO
0
430
Building the Perfect Custom Keyboard
takai
2
810
How Software Deployment tools have changed in the past 20 years
geshan
0
34k
Rails Girls Zürich Keynote
gr2m
96
14k
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
640
Ruling the World: When Life Gets Gamed
codingconduct
0
270
Transcript
1 ©AR Advanced Technology All Right Reserved. BLEAで始めるAWS環境構築 Jr.champions勉強会 2024年11月05日
ARアドバンストテクノロジ株式会社 大畑一志
2 自己紹介 大畑 一志(おおはた かずし) ARアドバンストテクノロジ株式会社 2022年新卒入社 部署:Agile&クラウドネイティブサービス第3部 職種:クラウドエンジニア 趣味:ポケモンカード・漫才
2024 Japan AWS Jr. Champions 表彰
3 ©AR Advanced Technology All Right Reserved. アジェンダ AWS環境構築の課題 BLEAとは
構成 実装と評価 終わりに(質疑応答
4 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ CloudTrail証跡・・・
SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・
5 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ rootユーザMFA登録・・・
SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・ やること多すぎ しかも標準化できてない
6 ©AR Advanced Technology All Right Reserved. 課題に対するAWSパートナーの動向 クラスメソッド株式会社 セキュアアカウントサービス
請求代行サービスとセットのプランを提示 TIS株式会社 セキュリティプリセット 各種セキュリティベンチマーク準拠率を担保
7 ©AR Advanced Technology All Right Reserved. BLEA知ってますか? ブレア
8 ©AR Advanced Technology All Right Reserved. BLEA(Baseline Environment on
AWS)とは BLEAとは? Baseline Environment on AWS (BLEA) は 単独の AWS アカウント、 または AWS Control Tower で管理されたマルチアカウント環境で、 セキュアなベースラインを確立するための リファレンス AWS CDK テンプレート群 典型的なシステムアーキテクチャを実現するエンドツーエンドの AWS CDK サンプルコードを提供 目的 •迅速な環境構築:AWSでの基盤を素早く構築 •セキュリティの標準化:セキュリティ要件を標準化してリスクを軽減 •AWSアーキテクチャの教育:AWSのベストプラクティスなアーキを知れる •CDKの習得:カスタマイズしやすいコードによって、CDKを習得
9 ©AR Advanced Technology All Right Reserved. BLEA(Baseline Environment on
AWS)とは Githubから入手可能
10 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図(スタンドアロン型)
11 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント を監視する基盤
12 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント をSlackに通知
13 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 標準的なユーザ権限 を用意
14 ©AR Advanced Technology All Right Reserved. 実装方法 Githubから ソースコード取得
AWS CDKにて cdk deploy を実行 AWS Cloud 完成! 要件によって コードを変更
15 ©AR Advanced Technology All Right Reserved. 実装方法
16 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:サマリ) 全件数
63 対象外件数 47 準拠件数 10 非準拠件数 6 BLEA実装において62.5%の準拠を達成可能 ※EC2,RDS等のシステム構築をしていない、運用方法を確立していないため対象外多め
17 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC04-
BP01 サービスとアプリケーションの ログ記録を設定する 準拠 SEC04- BP02 標準化された場所でログ、検出結果、メ トリクスをキャプチャする 準拠 SEC04- BP03 セキュリティアラートの関連付けと強化 準拠 SEC04- BP04 非準拠リソースの修正を開始する 準拠 SEC04(検出)においてはすべて準拠できている
18 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC02-
BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり
19 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC02-
BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり あくまでセキュリティベースライン 案件特性に応じて変更を加える
20 ©AR Advanced Technology All Right Reserved. まとめ
21 ©AR Advanced Technology All Right Reserved. まとめ AWS環境構築時はやらなきゃいけないことがたくさん •
ログイン権限定義、CloudTrail証跡、GuardDutyなど・・・ BLEA(Baseline Environment on AWS) • 単独・マルチアカウント両方に対応したAWSCDKのテンプレート群 • AWSアーキテクチャやCDKの勉強にも使える あくまでベースライン • WAレビュー結果は、一部の要素は準拠できている • 案件特性に応じて変更すること
22 ©AR Advanced Technology All Right Reserved. ARアドバンストテクノロジ株式会社【略称:ARI】 〒150-0002 東京都渋谷区渋谷1-14-16
渋谷野村證券ビル8F TEL : 03-6450-6080 FAX : 03-6450-6088 URL : https://ari-jp.com