Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【Jr.Champions勉強会】BLEAで始めるAWS環境構築
Search
Kazushi
November 05, 2024
Technology
81
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
【Jr.Champions勉強会】BLEAで始めるAWS環境構築
Kazushi
November 05, 2024
More Decks by Kazushi
See All by Kazushi
emotivEのAI&LLM活用事例
kazushi_ohata
0
120
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
490
【若手エンジニア応援LT会】CodePipelineのV1とV2の違いを調べてみた件
kazushi_ohata
0
660
【若手エンジニア応援LT会】AWS ACMで証明書の自動更新を設定してみた
kazushi_ohata
1
510
【若手エンジニア応援LT会】AWS Security Hubの活用に苦労した話
kazushi_ohata
1
700
【若手エンジニア応援LT会】AWSで繋がり、共に成長! ~コミュニティ活動と新人教育への挑戦~
kazushi_ohata
0
1.2k
Other Decks in Technology
See All in Technology
Claude Code の Sandbox 機能を Anthropic Sandbox Runtime(srt) で試そう!/lets-play-anthropic-sandbox-runtime
tomoki10
1
560
連合学習と機密コンピューティング
lycorptech_jp
PRO
0
110
Microsoft Build Keynoteふりかえり
tomokusaba
0
120
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
2.9k
Oracle AI Database@Azure:サービス概要のご紹介
oracle4engineer
PRO
6
1.9k
爆速でマルチプロダクトを立ち上げる時 事業・CTO目線で大事にしたい事
miyatakoji
0
110
Djangoユーザが知っ得なPostgreSQL機能 - 設計の選択肢を増やす / Djang-use-PostgreSQL
soudai
PRO
1
230
Bucharest Tech Week 2026 - Reinventing testing practices in the AI era
edeandrea
PRO
1
150
2026TECHFRESH畢業分享會 - 原生還是跨平台? App 開發踩坑實錄
line_developers_tw
PRO
0
900
非定型業務をAI slackbotで自動化する ~ 社内要望を自動壁打ちするbotを作った ~/automating-ad-hoc-work-with-ai-slackbot
shibayu36
0
630
Socrates × Looker 〜セマンティックレイヤーで進化するデータ分析エージェント〜
hanon52_
3
2.2k
AAIFに入ってみた ~内から見えるコミュニティ動向~
sato4
0
180
Featured
See All Featured
Code Reviewing Like a Champion
maltzj
528
40k
Mobile First: as difficult as doing things right
swwweet
225
10k
A Guide to Academic Writing Using Generative AI - A Workshop
ks91
PRO
1
320
Information Architects: The Missing Link in Design Systems
soysaucechin
0
970
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
140
sira's awesome portfolio website redesign presentation
elsirapls
0
280
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
250
Leading Effective Engineering Teams in the AI Era
addyosmani
9
2k
Testing 201, or: Great Expectations
jmmastey
46
8.2k
Measuring & Analyzing Core Web Vitals
bluesmoon
9
860
Producing Creativity
orderedlist
PRO
348
40k
Reflections from 52 weeks, 52 projects
jeffersonlam
356
21k
Transcript
1 ©AR Advanced Technology All Right Reserved. BLEAで始めるAWS環境構築 Jr.champions勉強会 2024年11月05日
ARアドバンストテクノロジ株式会社 大畑一志
2 自己紹介 大畑 一志(おおはた かずし) ARアドバンストテクノロジ株式会社 2022年新卒入社 部署:Agile&クラウドネイティブサービス第3部 職種:クラウドエンジニア 趣味:ポケモンカード・漫才
2024 Japan AWS Jr. Champions 表彰
3 ©AR Advanced Technology All Right Reserved. アジェンダ AWS環境構築の課題 BLEAとは
構成 実装と評価 終わりに(質疑応答
4 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ CloudTrail証跡・・・
SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・
5 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ rootユーザMFA登録・・・
SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・ やること多すぎ しかも標準化できてない
6 ©AR Advanced Technology All Right Reserved. 課題に対するAWSパートナーの動向 クラスメソッド株式会社 セキュアアカウントサービス
請求代行サービスとセットのプランを提示 TIS株式会社 セキュリティプリセット 各種セキュリティベンチマーク準拠率を担保
7 ©AR Advanced Technology All Right Reserved. BLEA知ってますか? ブレア
8 ©AR Advanced Technology All Right Reserved. BLEA(Baseline Environment on
AWS)とは BLEAとは? Baseline Environment on AWS (BLEA) は 単独の AWS アカウント、 または AWS Control Tower で管理されたマルチアカウント環境で、 セキュアなベースラインを確立するための リファレンス AWS CDK テンプレート群 典型的なシステムアーキテクチャを実現するエンドツーエンドの AWS CDK サンプルコードを提供 目的 •迅速な環境構築:AWSでの基盤を素早く構築 •セキュリティの標準化:セキュリティ要件を標準化してリスクを軽減 •AWSアーキテクチャの教育:AWSのベストプラクティスなアーキを知れる •CDKの習得:カスタマイズしやすいコードによって、CDKを習得
9 ©AR Advanced Technology All Right Reserved. BLEA(Baseline Environment on
AWS)とは Githubから入手可能
10 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図(スタンドアロン型)
11 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント を監視する基盤
12 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント をSlackに通知
13 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 標準的なユーザ権限 を用意
14 ©AR Advanced Technology All Right Reserved. 実装方法 Githubから ソースコード取得
AWS CDKにて cdk deploy を実行 AWS Cloud 完成! 要件によって コードを変更
15 ©AR Advanced Technology All Right Reserved. 実装方法
16 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:サマリ) 全件数
63 対象外件数 47 準拠件数 10 非準拠件数 6 BLEA実装において62.5%の準拠を達成可能 ※EC2,RDS等のシステム構築をしていない、運用方法を確立していないため対象外多め
17 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC04-
BP01 サービスとアプリケーションの ログ記録を設定する 準拠 SEC04- BP02 標準化された場所でログ、検出結果、メ トリクスをキャプチャする 準拠 SEC04- BP03 セキュリティアラートの関連付けと強化 準拠 SEC04- BP04 非準拠リソースの修正を開始する 準拠 SEC04(検出)においてはすべて準拠できている
18 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC02-
BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり
19 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC02-
BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり あくまでセキュリティベースライン 案件特性に応じて変更を加える
20 ©AR Advanced Technology All Right Reserved. まとめ
21 ©AR Advanced Technology All Right Reserved. まとめ AWS環境構築時はやらなきゃいけないことがたくさん •
ログイン権限定義、CloudTrail証跡、GuardDutyなど・・・ BLEA(Baseline Environment on AWS) • 単独・マルチアカウント両方に対応したAWSCDKのテンプレート群 • AWSアーキテクチャやCDKの勉強にも使える あくまでベースライン • WAレビュー結果は、一部の要素は準拠できている • 案件特性に応じて変更すること
22 ©AR Advanced Technology All Right Reserved. ARアドバンストテクノロジ株式会社【略称:ARI】 〒150-0002 東京都渋谷区渋谷1-14-16
渋谷野村證券ビル8F TEL : 03-6450-6080 FAX : 03-6450-6088 URL : https://ari-jp.com
kazushi_ohata
tomoki10
lycorptech_jp
tomokusaba
oracle4engineer
miyatakoji
soudai
edeandrea
line_developers_tw
shibayu36
hanon52_
sato4
maltzj
swwweet
ks91
soysaucechin
akademiya2063
elsirapls
nikkihalliwell
addyosmani
jmmastey
bluesmoon
orderedlist
jeffersonlam
