Control Towerの落とし穴

Transcript

1. Control Towerの落とし穴 2024年2月27日 NRIネットコム株式会社 デジタルイノベーション事業本部 クラウド事業推進部 松元 稿如

2. 1 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介 01

   AWS Control Tower概要 02 通知の落とし穴 03 組織の証跡の落とし穴 04 まとめ 05 ※転載、複製、改変等、および許諾のない二次利用を禁止します

3. 2 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介 ◼松元

   稿如（まつもと こうすけ） ◼ NRIネットコム株式会社 クラウド事業推進部 ◼ 主にAWSの組織管理案件、セキュリティ向上案件を担当 ◼ AWS Control Towerは東京リージョンがサポートされた辺りから利用 ◼ 取得済みAWS認定 Control Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy

4. 3 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介 01

   AWS Control Tower概要 02 通知の落とし穴 03 組織の証跡の落とし穴 04 まとめ 05 ※転載、複製、改変等、および許諾のない二次利用を禁止します

5. 4 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Control

   Tower概要 ◼ 様々なサービスが基盤となった複合サービス ◼ AWSのベストプラクティスに沿ったアカウントの自動設定を行うサービス ⚫ CloudTrailやConfig等の必ず有効にしておきたいサービスの自動設定 ◼ マルチアカウント環境の管理・統制をサポート ⚫ SCPやConfigルールによる予防や検出の仕組みの一括管理 ⚫ 通知やログの集約 Control Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します AWS Control Tower AWS CloudTrail AWS Config Amazon SNS AWS Organizations 基盤サービスの例 等など 組織管理 通知 操作ログ保存 リソース変更 履歴管理 Control Towerトップページより #nncstudy

6. 5 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Control

   Tower概要 Control Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します マネジメント(親) アカウント 監査 アカウント ログアーカイブ アカウント メンバー(子) アカウント AWS Control Tower AWS CloudTrail AWS Config ◼ 様々なサービスが基盤となった複合サービス ◼ AWSのベストプラクティスに沿ったアカウントの自動設定を行うサービス ⚫ CloudTrailやConfig等の必ず有効にしておきたいサービスの自動設定 ◼ マルチアカウント環境の管理・統制をサポート ⚫ SCPやConfigルールによる予防や検出の仕組みの一括管理 ⚫ 通知やログの集約 アカウント作成・自動設定 アカウント作成・自動設定 ログ集約 通知集約 組織管理者 一括管理 #nncstudy

7. 6 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介 01

   AWS Control Tower概要 02 通知の落とし穴 03 組織の証跡の落とし穴 04 まとめ 05 ※転載、複製、改変等、および許諾のない二次利用を禁止します

8. 7 Copyright（C） NRI Netcom, Ltd. All rights reserved. 通知の落とし穴 Control

   Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します ◼ Control Towerはセキュリティ上望ましくない設定を監視する発見的統制を提供 ⚫ Configルールにより実装される ⚫ 通知は監査アカウントに集約される ◼ 通知の文面はJSONそのままなので読みづらい ◼ 各リージョン毎に別のSNSトピックに通知されるのでサブスクリプションの管理が煩雑 →通知文面を整えたり、快適に利用するには作りこみが必要になる Amazon SNS #nncstudy 監査 アカウント 組織管理者 東京リージョン バージニア北部 リージョン Amazon SNS 通知 Amazon SNS メンバーアカウント 東京リージョン バージニア北部 リージョン Amazon SNS それぞれにサブスクリプション設定が必要 JSONそのままの通知メール

9. 8 Copyright（C） NRI Netcom, Ltd. All rights reserved. 通知の落とし穴：対応例 通知文面の作りこみ

   Control Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 通知の文面はJSONそのままなので読みづらい メールを読むのはJSONの検出結果に精通した人とは限らない（特にメンバーアカウントの場合）ので、 ⚫ 日本語で ⚫ 必要な情報がピックアップされていて ⚫ 検出結果のページへのリンクがある と嬉しい →Lambda関数や追加のSNSトピックの作りこみが必要 #nncstudy 嬉しい文面の例 Amazon SNS 監査アカウント 作りこみ部分 AWS Lambda Amazon SNS 組織管理者 文面を整形 メールアドレス等は ここに設定

10. 9 Copyright（C） NRI Netcom, Ltd. All rights reserved. 通知の落とし穴：対応例 通知の集約

    Control Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 各リージョン毎に別のSNSトピックに通知されるのでサブスクリプションの管理が煩雑 ⚫ リージョンの数だけサブスクリプションの設定が必要 ⚫ 管理するアカウントの数が多くなると、アカウント×リージョンの数だけサブスクリプションできる ⚫ 文面を整形するためのLambda関数を作りこむとLambda関数の中身まで管理が必要に →通知を1つのリージョンに集約して、設定・管理する箇所を減らしたいなら作りこみが必要 #nncstudy 監査アカウント 東京リージョン AWS Lambda Amazon SNS Amazon EventBridge カスタム イベントバス イベントルール AWS内外のイベントを 送受信するサービス イベントを検知して 別の宛先に送信する ※別アカウント/リージョン のリソースへは送信× イベントの通り道 ※別アカウント/リージョン でもルールから送信◦ 参考：カスタムイベントバスによるリージョン間のイベント集約 - NRIネットコムBlog https://tech.nri-net.com/entry/aggregate_events_in_each_region_with_eventbus イベントルール カスタム イベントバス 組織管理者 通知 各リージョン AWS Config イベントルール カスタム イベントバス イベントルール メンバーアカウント Config以外は作りこみ カスタムイベントバスを経由することで アカウント/リージョンをまたいでイベントを送信

11. 10 Copyright（C） NRI Netcom, Ltd. All rights reserved. 通知の落とし穴：対応例 通知の集約

    Control Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します #nncstudy 参考：カスタムイベントバスによるリージョン間のイベント集約 - NRIネットコムBlog https://tech.nri-net.com/entry/aggregate_events_in_each_region_with_eventbus

12. 11 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介 01

    AWS Control Tower概要 02 通知の落とし穴 03 組織の証跡の落とし穴 04 まとめ 05 ※転載、複製、改変等、および許諾のない二次利用を禁止します

13. 12 Copyright（C） NRI Netcom, Ltd. All rights reserved. 組織の証跡の落とし穴 Control

    Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します ◼ バージョン3.0からCloudTrailの証跡が組織ベースの証跡へ変更 ⚫ Cloud Watch Logsへ出力されるログがマネジメントアカウントに集中 →アカウントや組織単位でログ利用料の管理が難しい →各アカウントで出力されたログを利用できない ※Control Towerは最新のバージョンにしかアップデートできない #nncstudy メンバーアカウント 本当に取り込みたい更新 他の更新も取り込まれる バージョン2.9までの構成： AWS CloudTrail Amazon CloudWatch ログ出力 バージョン3.0からの構成： マネジメントアカウント AWS CloudTrail Amazon CloudWatch ログ出力 メンバーアカウント AWS CloudTrail ログ取得 ログはマネジメントアカウントに あるので参照できない Control Towerのバージョン履歴： 元々は各メンバーアカウントにかかっていた利用料 アカウントが多いとインパクトも大きい

14. 13 Copyright（C） NRI Netcom, Ltd. All rights reserved. 組織の証跡の落とし穴：対応の検討 Control

    Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します ◼ 組織の証跡の単純な無効化 →AWSのセキュリティとしてCloud Trailの証跡は必須 ◼ Cloud Watch Logsへのログ出力を設定を無効化 →Control Towerの作成されるリソースへ変更を加えることは非推奨 ◼ Control Towerの組織の証跡を無効化した上で、バージョン2.9までの構成で証跡を作成 #nncstudy ログアーカイブアカウント Amazon S3 マネジメントアカウント AWS CloudTrail Amazon CloudWatch ログ出力 ログ出力 組織の証跡が出力したログは ログアーカイブアカウントで長期保存 マネジメントアカウント AWS CloudTrail Amazon CloudWatch ログ出力 AWS CloudFormation AWS Control Tower 作成 作成 Control Towerのアップデート等で 自動で設定が戻るリスクも

15. 14 Copyright（C） NRI Netcom, Ltd. All rights reserved. 組織の証跡の落とし穴：対応例 Control

    Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します ◼ Control Towerの組織の証跡を無効化した上で、バージョン2.9までの構成で証跡を作成 ⚫ 組織の証跡ではなく、通常の証跡を各アカウントに作成 ⚫ 各アカウントの証跡の出力先となるS3バケットをログアーカイブアカウントに作成 ⚫ 各リソースの設定値は出力先以外についてControl Towerが作成したリソースを踏襲 →この構成を作成した上で、Control Tower側の組織の証跡を無効化 #nncstudy 各アカウント AWS CloudTrail Amazon CloudWatch ログ出力 マネジメントアカウント AWS CloudFormation Stacksets リソース作成 Control Towerが作成するS3バケットは 設定上利用できない ログアーカイブアカウント Amazon S3 Stacksetsを活用して各アカウントに展開 ログ出力 Control Tower自体の設定を変更

16. 15 Copyright（C） NRI Netcom, Ltd. All rights reserved. 自己紹介 01

    AWS Control Tower概要 02 通知の落とし穴 03 組織の証跡の落とし穴 04 まとめ 05 ※転載、複製、改変等、および許諾のない二次利用を禁止します

17. 16 Copyright（C） NRI Netcom, Ltd. All rights reserved. まとめ Control

    Towerの落とし穴 ※転載、複製、改変等、および許諾のない二次利用を禁止します ◼ Control Towerはアカウントのセキュアな自動設定やマルチアカウント環境の管理・統制をサポート ◼ 快適に利用・活用するためには、ある程度の作りこみが必要 ⚫ 有効にして終わりのサービスではない ⚫ 足りない部分は作りこんで、Control Towerが追い付いたら乗り換える気持ちで ◼ アップデートの際にはすべての更新内容を確認すべし ⚫ アカウントが多い環境では思わぬ影響があるかも ⚫ マネジメントアカウントだけが対象のアップデートは自動で行われることも多いので注意 ⚫ 仕様変更の多いサービスなので、アップデート情報のウォッチは重要 #nncstudy 影響を確認できるバージョンを揃えた 検証用組織を用意しておくのがオススメ
18. None