JAWS-UG CDK支部 #13 ~BLEAとcdk-nagで実現する発見的統制~

Transcript

1. BLEAとcdk-nagで実現する 発見的統制 JAWS-UG CDK支部 #13 2024/04/24

2. 目次 1) はじめに a) 自己紹介 b) 本LTのサマリ 2) BLEA活用ノウハウ 3)

   cdk-nag活用ノウハウ

3. はじめに

4. (1) はじめに 自己紹介 • ソリューションアーキテクト/テクノロジーコンサ ルタント@外資IT • 新卒入社以降、AWSを中心としたクラウド関連 の案件に従事 •

   IaC/CDK/DevSecOpsへの関心強

5. (1) はじめに 本LTのサマリ CDKでのAWS環境構築時にセキュリティ・開発効率を両立するためには、BLEAや cdk-nag活用が効果的です。本LTでは、CDKセキュリティに関するノウハウについて、 BLEAやcdk-nagにフォーカスして説明します。 あるべき姿 セキュリティ・開発効率の両立 課題 IAM権限やデプロイプロセスの縛り過ぎによる開発効率低下

   クラウドセキュリティ人材・工数不足 打ち手 BLEAやcdk-nagを用いた、発見的統制の実装

6. BLEA活用ノウハウ

7. (2) BLEA活用ノウハウ BLEA概要 BLEAとは、AWS JapanのSA様が公開している、AWSセキュリティベストプラクティスに準 拠したAWS環境をセットアップするためのCDKテンプレートです。 単一アカウント用ガバナンスベーステンプレートの構成 参考: https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ https://github.com/aws-samples/baseline-environment-on-aws/tree/main

8. (2) BLEA活用ノウハウ BLEA活用時のtips ガバナンスベーステンプレートのCDKコードをカスタマイズすることで、組織のニーズに 応じた発見的統制の実装が可能となります。 カスタマイズ例: AWS Configの適合パック追加

9. (2) BLEA活用ノウハウ BLEA活用効果 BLEAを活用することで、開発の初期段階から発見的統制の仕組みを容易に組み込むこ とができ、セキュリティ脆弱なAWS資源構築リスク軽減に寄与しました。 概要図

10. cdk-nag活用ノウハウ

11. (3) cdk-nag活用ノウハウ cdk-nag概要 (1/3) cdk-nagとは、CDKコマンド実行時にセキュリティルールへの準拠状況を自動チェックでき るツールです。 cdk-nagの有効化イメージ 参考: https://github.com/cdklabs/cdk-nag

12. (3) cdk-nag活用ノウハウ cdk-nag概要 (2/3) セキュリティルールに非準拠な資源を検出すると、CDKコマンド実行時にエラー発生しま す。チェック結果レポートはcdk.out配下にcsv形式で出力されます。 cdk-nagのエラーメッセージ例

13. (3) cdk-nag活用ノウハウ cdk-nag概要 (3/3) セキュリティルール準拠するよう、指摘対象資源を設定変更することで、cdkコマンド実 行時のエラーが解消されます。設定変更が不可能な場合、理由を明記したうえでエラー 抑制することも可能です。 cdk-nagのエラー抑制例

14. (3) cdk-nag活用ノウハウ cdk-nag活用時のtips CDKが自動生成したStackに含まれる資源をエラー抑制の対象としたい場合、 app.node.findChildを用いてStackをインポートすることで実現可能です。 CDKが自動生成したStackへのエラー抑制例

15. (3) cdk-nag活用ノウハウ cdk-nag活用効果 cdk-nagはデプロイ前のセキュリティチェックツールとして機能し、AWS Security Hubの補 助ツールとしての役割を果たしてくれました。 加えて、修正・抑制対応を通じて、AWSセキュリティ設定に対する各開発者の理解が深 まった印象があります。

16. Thank You!