Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

〜AWS初心者向け〜  ベストプラクティスから学ぶ 「AWSセキュリティの高め方」

〜AWS初心者向け〜  ベストプラクティスから学ぶ 「AWSセキュリティの高め方」

こーへい

June 03, 2024
Tweet

More Decks by こーへい

Other Decks in Education

Transcript

  1. 2 自己紹介 https://dev.classmethod.jp/author/yoshikawa-kohei/ • 吉川 晃平 • クラスメソッド株式会社 • AWS事業本部カスタマーソリューション部

    ◦ ソリューションアーキテクト ◦ 「セキュアアカウント」サービス運用担当 • この一年で特に関わったAWSサービス ◦ AWS Security Hub
  2. 3 自己紹介 • 最近嬉しかったこと ◦ 琵琶湖一周(200km)達成 • 最近の興味 ◦ ダイエット

    ▪ 出社して歩数稼ぐ ▪ お米縛り生活(5月限定) ◦ 麻雀 https://dev.classmethod.jp/author/yoshikawa-kohei/
  3. 6 脅威例 • 攻撃の準備 ◦ AWSアカウント認証情報の不正利用 ▪ アクセスキーやパスワードの流出からの不正ログインやアクセス • 攻撃目的

    ◦ コインマイニング ◦ DDoS攻撃利用 ◦ 機密情報の漏洩(S3やRDS等) ➢ AWSアカウント内に重要なシステムがなくても脅威になり得るのが特徴 =つまり全てのアカウントにてセキュリティ対策が必要
  4. 18 Security Hubとは • Security Hubとは ◦ CSPM(Cloud Security Posture

    Management)に相当するサービス ◦ 「AWSリソースのセキュリティ設定がベストプラクティスから逸脱 していないか」を自動でチェック ▪ S3バケットが公開設定になっていないか ▪ アクセスログを有効化しているか ▪ セキュリティグループにて不要にポート開けていないか ▪ GuardDutyが有効化されているか ▪ etc
  5. 20 Security Hubとは • コントロール例 ◦ [GuardDuty.1] GuardDuty を有効にする必要があります ◦

    [Config.1] AWS Config を有効にする必要があります ◦ [CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマルチ リージョンの追跡で、読み取りと書き込みの管理イベントを含めた設 定をする必要があります ◦ [EC2.7] EBS のデフォルト暗号化を有効にする必要があります ◦ [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません ◦ etc
  6. 35 AWSで利用すべきサービス • 必ず利用したい ◦ Security Hub ◦ GuardDuty(GuardDuty.1) ◦

    CloudTrail(CloudTrail.1) ◦ Config(Config.1) ※()には対応するSecurity Hubコントロールを記載
  7. 37 GuardDutyとは • GuardDutyとは ◦ アカウント内の各情報(ログ等)を分析し、危険な挙動を検知するサー ビス • Security Hubとは対になるようなサービス(個人的見解)

    ◦ Security Hub:予防的統制 ▪ 危険な設定を監視し、脅威の発生を未然に防ぐ ◦ GuardDuty:発見的統制 ▪ 発生した脅威をすぐに検知し、被害拡大を防ぐ ◦ 参考 ▪ https://aws.amazon.com/jp/builders-flash/202302/continu ous-security/
  8. 47 CloudTrailとは • CloudTrailとは ◦ アカウント内の操作(API実行)を記録するサービス ▪ EC2インスタンスの起動 ▪ アクセスキーを作成

    ▪ その他AWSサービスに関する操作のほとんど AWS内の操作の多くはAPIを通して実行される
  9. 63 Config使用状況の例 • どういう時に役に立つのか ◦ セキュリティ監査 ◦ トラブルシューティング ◦ 変更管理

    ◦ コスト管理 ◦ リソース最適化 ◦ etc • 特定時点におけるAWSのパラメータを確認したい場合に使用する ▪ その際どのようなAPIが実行されたのかもCloudTrailで確認するこ とが多い
  10. 66 IAM Access Analyzer • IAM Access Analyzerとは ◦ IAMを始めS3やLambdaなど外部のリソースからアクセスできる設定

    になっているものを検知してくれるサービス ◦ リージョナルサービス ◦ 無料
  11. 68 通知機能の実装 • 目的 ◦ Security HubやGuardDuty、IAM Access Analyzerの検知を素早く 気づけるようにするため

    • 説明 ◦ 目的で挙げたセキュリティサービスは検知を上げてもAWSでしか確 認できず、ユーザーがリアルタイムに気づくためにはメール等で通知 する仕組みが別途必要 • 関連サービス ◦ EventBridge ◦ Step Functions ◦ SNS
  12. 71 AWSで設定すべき項目 • IAM Userのパスワードポリシー強化(IAM.7) • デフォルトVPCの削除(EC2.2) • EBSのデフォルト暗号化(EC2.3,EC2.7) •

    S3バケットのパブリックアクセスのブロック(S3.1等) • AMIやEBSのパブリックアクセスのブロック ※()には対応するSecurity Hubコントロールを記載
  13. 79 EBSのデフォルト暗号化 • 目的 ◦ AWSのデータセンターからストレージが万が一盗まれたり、データ センターに侵入して直接サーバにログインされた場合に、不正利用さ れないため • 対応後

    ◦ EC2インスタンスの作成等でEBSボリュームが作成される時、デフォ ルトで暗号化が実施 • 参考 ◦ https://qiita.com/shun0157/items/84e16035f9199ee36480
  14. 85 AMIやEBSのパブリックアクセスのブロック • 目的 ◦ 意図しないAMIやEBSのパブリックアクセスを防止し、情報漏洩を防 ぐ • 対応後 ◦

    誤ったイメージ公開を防止できる • 参考ブログ ◦ https://dev.classmethod.jp/articles/block-public-sharing-of-a mazon-ebs-snapshots/ ◦ https://dev.classmethod.jp/articles/ec2-block-public-ami/
  15. 88 AWSで利用すべきサービス(再掲) • 必ず利用したい ◦ Security Hub ◦ GuardDuty(GuardDuty.1) ◦

    CloudTrail(CloudTrail.1) ◦ Config(Config.1) ※()には対応するSecurity Hubコントロールを記載
  16. 89 AWSで設定すべき項目 • IAM Userのパスワードポリシー強化(IAM.7) • デフォルトVPCの削除(EC2.2) • EBSのデフォルト暗号化(EC2.3,EC2.7) •

    S3バケットのパブリックアクセスのブロック(S3.1等) • AMIやEBSのパブリックアクセスのブロック ※()には対応するSecurity Hubコントロールを記載
  17. 100 インシデント自動調査とは • インシデント自動調査とは ◦ GuardDutyで検知したイベントに対する総合的なユーザーへのサ ポート提供サービス ◦ 下記をメインとした機能をシームレスに提供 ▪

    ユーザーに代わり自動で調査 ▪ イベント内容の直感的な理解の提示 ▪ 優先度と確認ポイントの明示 ▪ 検知イベントに対して有人サポートの提供 ▪ etc ➢ シームレスなサポートにより早期対応が可能。 ➢ 早期対応が、被害の拡大防止に繋がる
  18. 114 まとめ(話したこと) • セキュリティの重要性を実感してもらうため脅威の具体例の紹介 • Security Hubの紹介 ◦ 表と裏の使い方 ◦

    コントロールをベースとしたアカウント設計について • セキュリティレベル向上のために利用したいサービスや設定の解説 • 利用したいサービスや設定を理解した上で残っているツラミの紹介 • サービスやソリューションの紹介
  19. 116