Upgrade to Pro — share decks privately, control downloads, hide ads and more …

猫でもわかるBLEA

Hiroo Katoh
February 15, 2024
Technology
1
170

 猫でもわかるBLEA

JAWS-UG 朝会 #54 LT 資料

Hiroo Katoh

February 15, 2024
Tweet

Other Decks in Technology

See All in Technology
2024春 注目のWeb系 OSS & SaaS 3選
makies
0
180
MixIT 2024 - Pulumi : Gérer son infra avec son langage de programmation préféré
ju_hnny5
1
120
エンジニア候補者向け資料2024.04.24.pdf
macloud
0
3.4k
【SORACOM UG 東海】あらゆるモノがつながる社会へ、IoT と SORACOM
soracom
PRO
1
140
障害対応をちょっとずつよくしていくための 演習の作りかた
heleeen
1
1.6k
コードや知識を組み込む / Incorporate Code and knowledge
ks91
PRO
0
150
[新卒向け研修資料] テスト文字列に「うんこ」と入れるな(2024年版)
infiniteloop_inc
5
18k
ExaDB-D dbaascli で出来ること
oracle4engineer
PRO
0
2.1k
Autonomous Database Cloud 技術詳細 / adb-s_technical_detail_jp
oracle4engineer
PRO
15
35k
Azure Container Apps + Bicep 〜 こんな感じで運用しています
kaz29
3
620
よく聞くけど使ったことないソフトウェアNo.1 KafkaとSnowflake
foursue
4
510
VSCodeの拡張機能を作っている話
ebarakazuhiro
1
800

Featured

See All Featured
What's new in Ruby 2.0
geeforr
337
31k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
19
6.9k
Scaling GitHub
holman
457
140k
Gamification - CAS2011
davidbonilla
77
4.6k
From Idea to $5000 a Month in 5 Months
shpigford
378
45k
Learning to Love Humans: Emotional Interface Design
aarron
267
39k
Designing for Performance
lara
602
67k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Docker and Python
trallard
35
2.7k
Bootstrapping a Software Product
garrettdimon
PRO
302
110k
Statistics for Hackers
jakevdp
790
220k

Transcript

  1. 猫でもわかるBLEA CDKで始めるセキュリティベースラインのすすめ JAWS-UG 朝会 #54 LT枠

  2. 【目次】 • 自己紹介 • BLEAって何? • BLEA概略図 • BLEAってざっくりこんな感じ •

    BLEAをちょっと頑張って図(猫でもわかるBLEA)にするとこんな感じ • 【おまけ】猫でもわかるDirectConnect (JAWS-UG朝会 #42 発表のアップデート版) 2

  3. 【自己紹介】 • 某IT企業在籍 • 加藤 洋雄(X:@kamogashira) • AWS認定資格: → •

    AWS歴約3年半 • 社内でメガクラウドチームに所属してAWS設計、構築を主に担当 • 過去にJAWS-UG 朝会 #42 LT枠にて「猫でもわかるDirectConnect」を発表 →CloudWan対応最新版を2023年12月にQittaへ投稿しました。良かったら見て下さい。 • 最近のお仕事 • 社内ソリューション次期プロトタイプ開発(EKS+EC2 → EKS+Fargate) • データレイクシステム開発(Lambda+Redshift Serverless) • うさぎのけんた(ネザーランドドワーフ)の飼い主 • けんた専用Instagramは1.1万フォロワー • “うさぎ” “けんた”で画像検索すると絵本の次ぐらいに出てきます 3

  4. 【BLEAって何?】 • Baseline Environment on AWSの略(AWS開発OSSテンプレート)。 • AWSのセキュリティのベースラインを実装した環境を迅速に構築するためのテ ンプレート。 •

    BLEAはAWS Cloud Development Kit (CDK) TypeScriptで実装さ れている。 • BLEAは単一のアカウントをセットアップするStandalone版と、AWS Control Towerをベースとしたマルチアカウント版があります。 【AWSブログでの紹介記事】 https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ 4 • AWSセキュリティ設定の基礎が学べる! • CDKの学習にはもってこい!(Ver 3.0でシングルスタック化) • 要件に合せてカスタマイズする事でセキュリティベストプラクティスを短期間で実現 おすすめポイント!

  5. 【BLEA概略図】 【AWS資料「テンプレートによる AWS 環境のガバナンス」抜粋】 https://pages.awscloud.com/rs/112-TZM-766/images/AWS-22_Governance_on_AWS_with_BLEA_templates_KMD40.pdf 5

  6. 【BLEAってざっくりこんな感じ】 AWS CloudTrail AWS Config Amazon CloudWatch Logs Amazon GuardDuty

    AWS Security Hub 他のセキュリティ関連マ ネージドサービスのログを 監視し、外部からの脅威検 知を行う CloudTrailのログに脅威検 知メッセージが出力された 時に、アラームを上げる 監視ルールの指定及び指定 したルールに対しての順守 状況を確認可能。重要、高、 中、低でセキュリティリス クが表示される オペレータAWS大して行 たった操作ログ記録。環境 が変更された場合に誰が 行ったかを確認可能 環境の構成管理情報を記録。 ルールに違反したものは自 動修正するすることも可能 各マネージドサービスでの アラームの集約し、管理者 への通知のためSNSへト ピック通知を行う 受取った通知を指定された 方法(メール、Slackなど)で 管理者通知を行う BLEAを導入するとベースラインとして以下の図のセキュリティ設定が行われます。 6 Rule Amazon Simple Notification Service (Amazon SNS) Amazon EventBridge Amazon CloudWatch Alarm

  7. 【BLEAをちょっと頑張って図にするとこんな感じ】 7 【補足+注意】 Standalone版について、実環境とCDKや生成されたCFnをベースにイメージ図化しました。関連性重視で厳密性に欠けてます(Slackは省略)。

  8. 【付録】 #42 発表資料の バージョンアップ版 8 【Qiita】 「猫でもわかるDirectConnect(Cloud Wan対応版)」https://qiita.com/kamogashira/items/501543b04c1d9a2d9970 「猫でもわかる DirectConnect

    (Cloud Wan対応版)」 〇補足 図にしないと理解が進まないタイプ なので、こんな図ばかり描いてます。 地味にメンテナンスしてます。 現在業務でDirectConnect接続 が含まれるシステム開発をしている のでこの資料を作っておいて良かっ たです。