スタートアップでどのようにしてAWS Control Towerを導入したか

Transcript

1. WHITE CROSS株式会社　開発部　小倉一輝 スタートアップでどのようにしてControl Towerを導入したか

2. 自己紹介 名前：小倉 一輝 Twitter:@kazukiogura_ 年齢：24歳 勤務先：WHITE CROSS株式会社 領域：主にサーバーサイド、たまにインフラ 好きなAWSサービス：Amazon Aurora、AWS

   Control Tower

3. アジェンダ ・ 以前のAWSアカウント運用の問題点 ・AWS Control Towerとは？ ・Control Tower導入までに行ったこと ・Control Towerを導入しての感想

   ・Control Towerを導入するべきか

4. 弊社での以前のAWSアカウント 運用の問題点

5. 単一のVPC内で複数のプロダクト・環境が稼働していた ・管理の煩わしさ ・セキュリティ面での不安 ・一つのプロダクトで必要なトラフィック制御設定がVPC全体 に対して適用しなければいけない

6. IAMユーザー・ロールの管理が統制されていなかった ・危険な操作が行われる可能性 ・各ユーザーに与えられている権限の把握が困難 ・不要な権限の付与により、「最小権限の原則」に違反

7. AWS Solution Architectに相談した結果... AWS Control Towerを導入してみませんか？

8. AWS Control Towerとは？

9. 質問 Control Towerという名前から何をイメージしますか？ （5秒考えてみてください）

10. None

11. AWS Control Towerとは？ ・規範的なベストプラクティスに従って、 AWS マルチアカウント環境をセットアップおよび管理するための簡単な 方法を提供するサービス ・いくつかの他のAWS サービス（AWS Organizations、AWS

    Service Catalog、AWS シングルサインオンなど） を使用して、landing zone を 1 時間未満で構築できる ・リソースは、ユーザーに代わって設定および管理される ・2021/04/09に東京リージョンで使用可能になったばかり 　詳しくはAWS Control Tower とは

12. Control Towerが行ってくれる主なLanding Zone周りの セットアップ ・AWS Organizations を使用してマルチアカウント環境を作成 ・AWS SSOのデフォルトのディレクトリを使用して ID

    管理を提供 ・AWS SSO を使用してアカウントにフェデレーティッドアクセスを提供 ・AWS CloudTrail のログや、Amazon S3に保存される AWS Config のログを集中管理 ・IAMおよび AWS SSO を使用してクロスアカウントセキュリティ監査を有効化

13. Control Towerの主な機能【ガードレール】 ・AWS のベストプラクティスおよびガバナンス向けの一般的なカスタマーポリシーに基づく厳選されたガードレー ルのセットを提供 ・ルールは企業全体または特定のアカウントのグループに適用可能 ・ガードレールには必須、強く推奨、選択的という 3種類が存在する ・現時点でガードレールは 62個存在する（2022/06/06時点）

    ・新しいガードレールが次々とリリースされる（一番新しいものだと 2021年11月30日にリリース）

14. 「必須」ガードレールの例 ・AWS Control Tower や AWS CloudFormation で設定された AWS IAM

    ロールの変更を不許可にする ・ログアーカイブの公開読み取りアクセス設定の検出 ・ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可し ない ・クロスリージョンのネットワークを禁止する ・AWS Control Tower によって設定された Amazon CloudWatch の変更を許可しない

15. 「強く推奨」ガードレールの例 ・Amazon EC2 インスタンスにアタッチされた Amazon EBS ボリュームの暗号化が有効になっているかどうかを 検出する ・Amazon RDS

    データベースインスタンスへのパブリックアクセスが有効になっているかどうかを検出する ・SSH を介した無制限のインターネット接続が許可されているかどうかを検出する ・ルートユーザーのアクセスキーの作成を許可しない ・Amazon S3 バケットへのパブリック読み取りアクセスが許可されているかどうかを検出する

16. 「選択的」ガードレールの例 ・お客様が管理する Amazon VPC インスタンスのインターネットアクセスを禁止する ・Amazon EBS スナップショットがすべての AWS アカウントで復元可能かどうかを検出する

    ・Amazon Virtual Private Network (VPN) 接続を禁止する ・リクエストされた AWS リージョンに基づいて AWS へのアクセスを拒否する ・Amazon S3 バケットのバケットポリシーの変更を許可しない ・MFA なしで S3 バケットでの削除アクションを許可しない
17. None
18. None

19. Control Tower導入までに 行ったこと

20. 1. OUの設計 Control Towerでアカウントを作成する場合、そのアカウントは OU配下に配置します。 なので、どのアカウントをどの OUに配置するかを設計しました。

21. None

22. ・アカウントにはどのグループが存在するか、その場合どのような権限を持たせるか ・グループにはどのユーザーを所属させるか ・もたせるアクセス権限セットに対するセッション時間 などのアクセス権限セット・グループ・ユーザー・アカウントの組み合わせを設計した 2.権限設計

23. None

24. 3. ルートアカウントの管理方法検討 Control Towerでマルチアカウント運用を行った場合、ルートアカウントは全ての権限を持つことになります。 そのため、万全な対策を行い、なんとしてもアカウントの乗っ取りを防がなければなりません。 どのようにルートアカウントを管理するかを予め決定しておくことで、予期せぬルートアカウントの乗っ取りリスク を避けます。 参考：IAM でのセキュリティのベストプラクティス

25. ルートアカウントの管理方法【スマホによるMFA】 以下の理由により不採用 ・専用スマートフォンを用意するのは費用がかかる ・個人のスマホ（私用または社用）に紐づけてしまう場合 ・その人の退職時に上手く引き継げない可能性がある ・紛失の恐れ ・使用するには充電が必要

26. ルートアカウントの管理方法【ユビキーによるMFA】 以下の理由により採用 ・スマホより安い（5862円） ・誰かが持ち歩く必要はないので金庫にずっと入れておける ・充電が不要

27. Control Towerを導入しての感想

28. Control Towerを導入しての感想 ・抱えていた以下2つの課題を解決できた ・単一のVPC内で複数のプロダクト・環境が稼働していた ・IAMユーザー・ロールの管理が統制されていなかった ・AWS OrganizationsとAWS SSOを用いたマルチアカウント運用がとても簡単に導入できた ・AWS CloudTrailやAWS

    Configなどのセキュリティサービスの導入も簡単にできた ・ガードレールを設定しておくことで AWSでの危険な操作を防止できて安心

29. Control Towerを導入するべきか

30. 既にマルチアカウント運用が上手く出来ている企業・組織 結論 ・導入コストに比べてメリットを享受しづらい 主な導入メリット ・ガードレールが使えるようになる ・より正確なlanding zoneが導入できる

31. 結論 ・ぜひControl Towerを導入するべき！！！ 導入しなかった場合・・・ ・シングルアカウント運用のまま頑張るの？ ・1からlanding zone構築するの？ ・自分でSCPなりConfigなり設定するの？ まだマルチアカウント運用が出来ていない企業・組織

32. ご清聴ありがとうございました

33. 良ければTwitterフォローしてくださ い！ @kazukiogura_

34. 参考資料 AWS Organizationsとは？rootユーザも制御するその強力さを手を動かして体感してみる AWS Single Sign-On 機能 スタートアップにおけるマルチアカウントの考え方と AWS Control

    Tower のすゝめ AWS Control Tower の料金 AWS Control Towerの嬉しいポイントと注意ポイント