Upgrade to Pro — share decks privately, control downloads, hide ads and more …

BLEAでAWSアカウントのセキュリティレベルを向上させよう

 BLEAでAWSアカウントのセキュリティレベルを向上させよう

こーへい

February 03, 2025
Tweet

More Decks by こーへい

Other Decks in Technology

Transcript

  1. ⾃⼰紹介 3 • 吉川 晃平 • クラスメソッド株式会社 • AWS事業本部コンサルティング部 ◦

    ソリューションアーキテクト • この一年で特に関わったAWSサービス ◦ AWS Security Hub https://dev.classmethod.jp/author/yoshikawa-kohei/
  2. セッションで説明すること 7 • セッションで説明すること ◦ 前半パート ▪ AWSアカウントに発生しうる脅威例の紹介 ▪ AWSセキュリティサービスの紹介

    ◦ 後半パート ▪ Baseline Environment on AWS(BLEA)の概要や中身の説明 ▪ クラスメソッドが提供する「セキュアアカウント」の概要説明 ▪ BLEAとセキュアアカウントの比較 • セッションでお話ししないこと ◦ CDK自体の話
  3. Security Hubとは 39 • CSPM(Cloud Security Posture Management)に相当するサービスで 「AWSリソースのセキュリティ設定がベストプラクティスから逸脱し ていないか」を自動でチェック

    ◦ S3バケットが公開設定になっていないか ◦ アクセスログを有効化しているか ◦ セキュリティグループにて不要なポートを開けていないか ◦ GuardDutyが有効化されているか ◦ etc
  4. Security Hubとは 42 • コントロール例 ◦ [GuardDuty.1] GuardDuty を有効にする必要があります ◦

    [Config.1] AWS Config を有効にする必要があります ◦ [CloudTrail.1] CloudTrail を有効にして、少なくとも 1 つのマル チリージョンの追跡で、読み取りと書き込みの管理イベントを含め た設定をする必要があります ◦ [EC2.7] EBS のデフォルト暗号化を有効にする必要があります ◦ [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけませ んなど
  5. GuardDutyとは 46 • Security HubとGuardDutyは対になるようなサービス(個人的見解) ◦ Security Hub:予防的統制 ▪ 危険な設定を監視し、脅威の発生を未然に防ぐ

    ◦ GuardDuty:発見的統制 ▪ 発生した脅威をすぐに検知し、被害拡大を防ぐ ◦ 参考 ▪ https://aws.amazon.com/jp/builders-flash/202302/conti nuous-security/
  6. BLEAとは 55 • AWSが公式に開発しているオープンソースのCDKサンプルテンプレー ト集 ◦ https://github.com/aws-samples/baseline-environment-on-a ws/blob/main/README_ja.md • Baseline

    Environment on AWSの頭文字をとったもの ◦ その名の通り、AWSアカウント環境のベースライン(基本的な設定) を整えてくれる
  7. BLEAとは 56 • 「CloudTrail」や「Security Hub」などシステムに依らず必要とされ るセキュリティサービスがCDKテンプレートで提供 • テンプレートのカスタマイズも簡単 ◦ 0から設計しなくて良く、柔軟性が高い

    • CDKテンプレートをデプロイするだけでAWSアカウントに反映 ◦ 自動化による負担軽減 ◦ 各AWSアカウントにテンプレートを適用させることで組織全体の統 制(=ガバナンス)を効かせられるのも良い
  8. 各種セキュリティサービス 63 • イベント通知例 ◦ GuardDuty:重大性がMedium以上 ◦ Security Hub:重大性が「CRITICAL」「HIGH」 ◦

    Health:アカウント固有のイベント ◦ CloudTrail:特定のイベント ◦ Config:特定の条件下
  9. Config 68 • 適合パック「AWS Control Tower Detective Guardrails」により特定 のConfigルール集が追加される •

    デフォルトセキュリティグループのルールが存在する場合に通知と自動 削除を行うConfigルールも用意されている
  10. 通知アーキテクチャ 70 • イベント通知例(復習) ◦ GuardDuty:重大性がMedium以上 ◦ Security Hub:重大性が「CRITICAL」「HIGH」 ◦

    Health:アカウント固有のイベント ◦ CloudTrail:特定のイベント ◦ Config:特定の条件下
  11. ⽬的と意識の整理 81 • 両者の目的 ◦ AWSアカウントのセキュリティレベルの向上 • BLEAが意識しているところ ◦ テンプレートによるクラウド環境に適した組織全体の統制(=ガバナ

    ンス)を意識しており、カスタマイズを前提としている • セキュアアカウントが意識しているところ ◦ お客様の負担軽減を意識しており、設計や適用についてはクラスメ ソッドが実施
  12. 使い分け 83 • こんな方にBLEAがおすすめ ◦ ControlTower環境があったり、スタンドアロンAWSアカウントを 多数所持しており、組織全体の統制を行いたい方 ◦ ある程度AWSアカウントに必要なセキュリティ設定を理解してお り、BLEAのカスタマイズや運用体制がある方

    • こんな方にセキュアアカウントがおすすめ ◦ 組織全体の統制よりも先に、AWSアカウント単位からセキュリティ 対策を始めていきたい方 ◦ 設計や適用の負担軽減を重視したい方
  13. まとめ(話したこと) 85 • 前半パート ◦ AWSアカウントに発生しうる脅威例の紹介 ◦ AWSセキュリティサービスの紹介 • 後半パート

    ◦ Baseline Environment on AWS(BLEA)の概要や中身の説明 ◦ クラスメソッドが提供する「セキュアアカウント」の概要説明 ◦ BLEAとセキュアアカウントの比較
  14. 86