Upgrade to Pro — share decks privately, control downloads, hide ads and more …

【Jr.Champions勉強会】BLEAで始めるAWS環境構築

Kazushi
November 05, 2024
Technology
0
6

 【Jr.Champions勉強会】BLEAで始めるAWS環境構築

Kazushi

November 05, 2024
Tweet

More Decks by Kazushi

See All by Kazushi
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
100
【若手エンジニア応援LT会】CodePipelineのV1とV2の違いを調べてみた件
kazushi_ohata
0
220
【若手エンジニア応援LT会】AWS ACMで証明書の自動更新を設定してみた
kazushi_ohata
1
210
【若手エンジニア応援LT会】AWS Security Hubの活用に苦労した話
kazushi_ohata
1
380
【若手エンジニア応援LT会】AWSで繋がり、共に成長! ~コミュニティ活動と新人教育への挑戦~
kazushi_ohata
0
430

Other Decks in Technology

See All in Technology
ドメイン名の終活について - JPAAWG 7th -
mikit
31
18k
ISUCONに強くなるかもしれない日々の過ごしかた/Findy ISUCON 2024-11-14
fujiwara3
7
700
TinyGoを使ったVSCode拡張機能実装
askua
2
200
Exadata Database Service on Cloud@Customer セキュリティ、ネットワーク、および管理について
oracle4engineer
PRO
0
1.1k
ジョブマッチングサービスにおける相互推薦システムの応用事例と課題
hakubishin3
3
640
Deno+JSRでパッケージを作って公開する
askua
0
120
AWS⼊社という選択肢、⾒えていますか
iwamot
2
1.1k
Terraform未経験の御様に対してどの ように導⼊を進めていったか
tkikuchi
2
340
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
14
4.3k
Team Dynamicsを目指すウイングアーク1stのQAチーム
sadonosake
1
260
データ活用促進のためのデータ分析基盤の進化
takumakouno
2
610
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
1
440

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
42
9.2k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
47
2.1k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
27
2k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9k
KATA
mclloyd
29
14k
YesSQL, Process and Tooling at Scale
rocio
168
14k
Raft: Consensus for Rubyists
vanstee
136
6.6k
How to Ace a Technical Interview
jacobian
276
23k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
26
2.1k
Measuring & Analyzing Core Web Vitals
bluesmoon
3
77
How GitHub (no longer) Works
holman
310
140k

Transcript

  1. 1 ©AR Advanced Technology All Right Reserved. BLEAで始めるAWS環境構築 Jr.champions勉強会 2024年11月05日

    ARアドバンストテクノロジ株式会社 大畑一志

  2. 2 自己紹介 大畑 一志(おおはた かずし) ARアドバンストテクノロジ株式会社 2022年新卒入社 部署:Agile&クラウドネイティブサービス第3部 職種:クラウドエンジニア 趣味:ポケモンカード・漫才

    2024 Japan AWS Jr. Champions 表彰

  3. 3 ©AR Advanced Technology All Right Reserved. アジェンダ AWS環境構築の課題 BLEAとは

    構成 実装と評価 終わりに(質疑応答

  4. 4 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ CloudTrail証跡・・・

    SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・

  5. 5 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ rootユーザMFA登録・・・

    SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・ やること多すぎ しかも標準化できてない

  6. 6 ©AR Advanced Technology All Right Reserved. 課題に対するAWSパートナーの動向 クラスメソッド株式会社 セキュアアカウントサービス

    請求代行サービスとセットのプランを提示 TIS株式会社 セキュリティプリセット 各種セキュリティベンチマーク準拠率を担保

  7. 7 ©AR Advanced Technology All Right Reserved. BLEA知ってますか? ブレア

  8. 8 ©AR Advanced Technology All Right Reserved. BLEA(Baseline Environment on

    AWS)とは BLEAとは? Baseline Environment on AWS (BLEA) は 単独の AWS アカウント、 または AWS Control Tower で管理されたマルチアカウント環境で、 セキュアなベースラインを確立するための リファレンス AWS CDK テンプレート群 典型的なシステムアーキテクチャを実現するエンドツーエンドの AWS CDK サンプルコードを提供 目的 •迅速な環境構築:AWSでの基盤を素早く構築 •セキュリティの標準化:セキュリティ要件を標準化してリスクを軽減 •AWSアーキテクチャの教育:AWSのベストプラクティスなアーキを知れる •CDKの習得:カスタマイズしやすいコードによって、CDKを習得

  9. 9 ©AR Advanced Technology All Right Reserved. BLEA(Baseline Environment on

    AWS)とは Githubから入手可能

  10. 10 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図(スタンドアロン型)

  11. 11 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント を監視する基盤

  12. 12 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント をSlackに通知

  13. 13 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 標準的なユーザ権限 を用意

  14. 14 ©AR Advanced Technology All Right Reserved. 実装方法 Githubから ソースコード取得

    AWS CDKにて cdk deploy を実行 AWS Cloud 完成! 要件によって コードを変更

  15. 15 ©AR Advanced Technology All Right Reserved. 実装方法

  16. 16 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:サマリ) 全件数

    63 対象外件数 47 準拠件数 10 非準拠件数 6 BLEA実装において62.5%の準拠を達成可能 ※EC2,RDS等のシステム構築をしていない、運用方法を確立していないため対象外多め

  17. 17 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC04-

    BP01 サービスとアプリケーションの ログ記録を設定する 準拠 SEC04- BP02 標準化された場所でログ、検出結果、メ トリクスをキャプチャする 準拠 SEC04- BP03 セキュリティアラートの関連付けと強化 準拠 SEC04- BP04 非準拠リソースの修正を開始する 準拠 SEC04(検出)においてはすべて準拠できている

  18. 18 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC02-

    BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり

  19. 19 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC02-

    BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり あくまでセキュリティベースライン 案件特性に応じて変更を加える

  20. 20 ©AR Advanced Technology All Right Reserved. まとめ

  21. 21 ©AR Advanced Technology All Right Reserved. まとめ AWS環境構築時はやらなきゃいけないことがたくさん •

    ログイン権限定義、CloudTrail証跡、GuardDutyなど・・・ BLEA(Baseline Environment on AWS) • 単独・マルチアカウント両方に対応したAWSCDKのテンプレート群 • AWSアーキテクチャやCDKの勉強にも使える あくまでベースライン • WAレビュー結果は、一部の要素は準拠できている • 案件特性に応じて変更すること

  22. 22 ©AR Advanced Technology All Right Reserved. ARアドバンストテクノロジ株式会社【略称:ARI】 〒150-0002 東京都渋谷区渋谷1-14-16

    渋谷野村證券ビル8F TEL : 03-6450-6080 FAX : 03-6450-6088 URL : https://ari-jp.com