Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
JAWS-UG CDK支部 #13 ~BLEAとcdk-nagで実現する発見的統制~
Search
kazuya.asa
April 24, 2024
0
110
JAWS-UG CDK支部 #13 ~BLEAとcdk-nagで実現する発見的統制~
JAWS-UG CDK支部 #13 の登壇資料です
kazuya.asa
April 24, 2024
Tweet
Share
Featured
See All Featured
Pencils Down: Stop Designing & Start Developing
hursman
117
11k
The Mythical Team-Month
searls
217
42k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
358
22k
Stop Working from a Prison Cell
hatefulcrawdad
267
19k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
66
14k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
323
20k
Being A Developer After 40
akosma
67
580k
Gamification - CAS2011
davidbonilla
77
4.6k
The Brand Is Dead. Long Live the Brand.
mthomps
49
29k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.6k
Building Flexible Design Systems
yeseniaperezcruz
320
37k
Navigating Team Friction
lara
179
13k
Transcript
BLEAとcdk-nagで実現する 発見的統制 JAWS-UG CDK支部 #13 2024/04/24
目次 1) はじめに a) 自己紹介 b) 本LTのサマリ 2) BLEA活用ノウハウ 3)
cdk-nag活用ノウハウ
はじめに
(1) はじめに 自己紹介 • ソリューションアーキテクト/テクノロジーコンサ ルタント@外資IT • 新卒入社以降、AWSを中心としたクラウド関連 の案件に従事 •
IaC/CDK/DevSecOpsへの関心強
(1) はじめに 本LTのサマリ CDKでのAWS環境構築時にセキュリティ・開発効率を両立するためには、BLEAや cdk-nag活用が効果的です。本LTでは、CDKセキュリティに関するノウハウについて、 BLEAやcdk-nagにフォーカスして説明します。 あるべき姿 セキュリティ・開発効率の両立 課題 IAM権限やデプロイプロセスの縛り過ぎによる開発効率低下
クラウドセキュリティ人材・工数不足 打ち手 BLEAやcdk-nagを用いた、発見的統制の実装
BLEA活用ノウハウ
(2) BLEA活用ノウハウ BLEA概要 BLEAとは、AWS JapanのSA様が公開している、AWSセキュリティベストプラクティスに準 拠したAWS環境をセットアップするためのCDKテンプレートです。 単一アカウント用ガバナンスベーステンプレートの構成 参考: https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ https://github.com/aws-samples/baseline-environment-on-aws/tree/main
(2) BLEA活用ノウハウ BLEA活用時のtips ガバナンスベーステンプレートのCDKコードをカスタマイズすることで、組織のニーズに 応じた発見的統制の実装が可能となります。 カスタマイズ例: AWS Configの適合パック追加
(2) BLEA活用ノウハウ BLEA活用効果 BLEAを活用することで、開発の初期段階から発見的統制の仕組みを容易に組み込むこ とができ、セキュリティ脆弱なAWS資源構築リスク軽減に寄与しました。 概要図
cdk-nag活用ノウハウ
(3) cdk-nag活用ノウハウ cdk-nag概要 (1/3) cdk-nagとは、CDKコマンド実行時にセキュリティルールへの準拠状況を自動チェックでき るツールです。 cdk-nagの有効化イメージ 参考: https://github.com/cdklabs/cdk-nag
(3) cdk-nag活用ノウハウ cdk-nag概要 (2/3) セキュリティルールに非準拠な資源を検出すると、CDKコマンド実行時にエラー発生しま す。チェック結果レポートはcdk.out配下にcsv形式で出力されます。 cdk-nagのエラーメッセージ例
(3) cdk-nag活用ノウハウ cdk-nag概要 (3/3) セキュリティルール準拠するよう、指摘対象資源を設定変更することで、cdkコマンド実 行時のエラーが解消されます。設定変更が不可能な場合、理由を明記したうえでエラー 抑制することも可能です。 cdk-nagのエラー抑制例
(3) cdk-nag活用ノウハウ cdk-nag活用時のtips CDKが自動生成したStackに含まれる資源をエラー抑制の対象としたい場合、 app.node.findChildを用いてStackをインポートすることで実現可能です。 CDKが自動生成したStackへのエラー抑制例
(3) cdk-nag活用ノウハウ cdk-nag活用効果 cdk-nagはデプロイ前のセキュリティチェックツールとして機能し、AWS Security Hubの補 助ツールとしての役割を果たしてくれました。 加えて、修正・抑制対応を通じて、AWSセキュリティ設定に対する各開発者の理解が深 まった印象があります。
Thank You!