Upgrade to Pro — share decks privately, control downloads, hide ads and more …

組織的なクラウド統制のはじめの一歩 後編

nyankotaro
May 28, 2024
Technology
0
460

組織的なクラウド統制のはじめの一歩 後編

nyankotaro

May 28, 2024
Tweet

More Decks by nyankotaro

See All by nyankotaro
Classmethod Cloud Guidebookの裏側
nyankotaro
0
620
CDKを使って爆速でナレッジサイトを公開した話
nyankotaro
1
2.3k
AWSのクラウド統制サービスの紹介
nyankotaro
0
1k
CLI構築のススメ
nyankotaro
1
990

Other Decks in Technology

See All in Technology
MySQLのロックの種類とその競合
yoku0825
6
1.6k
年間一億円削減した時系列データベースのアーキテクチャ改善~不確実性の高いプロジェクトへの挑戦~
lycorptech_jp
PRO
3
2.9k
サービス開発を前に進めるために 新米リードエンジニアが 取り組んだこと / Steps Taken by a Novice Lead Engineer to Advance Service Development
nologyance
0
180
[NIKKEI Tech Talk] KDDI/KAG Scrum & Community for Engineering Training
curanosuke
2
220
Luupの開発組織におけるインシデントマネジメントの変遷 ver.RoadtoSRENEXT2024
grimoh
1
270
Flutter研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
160
エンジニアの生存戦略 〜クラウド潮流の経験から紐解く技術トレンドのメカニズムと乗りこなし方〜
shimy
9
1.9k
Scaling Technical Excellence at 104: Evolution in AWS and Developer Empowerment
scotthsieh825
1
160
成長期に歩みを止めないための創業期の開発文化形成
mayah
6
420
ここがすごいよ! AWS Systems Manager!
saichan11
0
1.8k
AWSでRAGを作る法方
sonoda_mj
1
140
データ分析基盤を作ってみよう~設計編~
nrinetcom
PRO
1
110

Featured

See All Featured
Music & Morning Musume
bryan
43
5.9k
How to Think Like a Performance Engineer
csswizardry
4
590
For a Future-Friendly Web
brad_frost
173
9.2k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.3k
From Idea to $5000 a Month in 5 Months
shpigford
377
46k
Statistics for Hackers
jakevdp
792
220k
Automating Front-end Workflow
addyosmani
1362
200k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
29
2.5k
Happy Clients
brianwarren
94
6.6k
Designing the Hi-DPI Web
ddemaree
276
34k
Imperfection Machines: The Place of Print at Facebook
scottboms
262
13k
Code Reviewing Like a Champion
maltzj
517
39k

Transcript

  1. 組織的なクラウド統制のはじめの⼀歩 〜 後編 〜 2024.5.9 AWS事業本部 コンサルティング部 花澤 雄紀、⾼⼭ 晃太朗

    1

  2. 2 本日話す内容と話さない内容 話す内容 話さない内容 クラウド統制に役立つAWSサービスの紹介 各サービスの具体的な設定内容

  3. 3 アカウント管理

  4. 4 アカウント管理 AWSの推奨はマルチアカウント戦略 複数のワークロードが存在する環境の場合、 https://aws.amazon.com/jp/blogs/news/best-practices-for-organizational-units-with-aws-organizations/

  5. 5 Organizations AWS Organizations AWS Organizationsは、複数のAWSアカウントを一元管理することができるサービス Organizational unit(OU)の単位で組織設計することができる Organizationsを利用することで他のAWSサービスで組織機能が利用できる Service

    control policy(SCP)でOU/アカウント単位でアクセス制御

  6. 6 Organizations 〜OU〜 Classmethod Cloud Guidebookでサンプル例 OU設計の一例 Security OU :

    CloudTrail,Configのログ集約 Security Hub,GuardDutyの集約管理 Infrastructure OU : 共通インフラの構築 Workload OU : 個別システムの構築 Organizational unit(OU)は、AWS Organizations内のアカウントのグループで、類似した役 割や目的を持つアカウントを組織化するために使用されます。 OU設計はAWS Organizationsを利用する上でキモになる部分 組織に合わせたOU設計の検討が必要ですが、ベストプラクティスは存在します

  7. 7 Organizations 〜SCP〜 Service Control Policy(SCP)は、組織内のOUやアカウントにアタッチすることが できる機能で、そのアカウントまたはOU内のすべてのアカウントのアクセス許可を 管理できます。 SCP Phase

    2: アイデンティティ とアクセス管理

  8. 8 Organizations 〜SCP〜 SCPでよく制御するポリシー例 利用料の高いサービス(Shield Advance,高額EC2など)の利用禁止 特定リージョンの利用禁止 etc... 特定サービスの無効化/設定変更を禁止

  9. 9 Organizations 〜連携サービス〜 GuardDuty Inspector Organizationsを利用することで他のAWSサービスで組織機能 が利用できる Detective etc... https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html

    Security Hub

  10. 10 ユーザー管理

  11. 11 ユーザー管理 マルチアカウントでAWS環境へアクセスするユーザ ここでいうユーザ管理は、

  12. 12 マルチアカウントでのユーザ管理3選

  13. 13 AWS IAM Identity Center Organizationsと連携して、ユーザー毎のアクセス権限を一元管理する機能 ログイン画面例 ユースケース : Organizations利用環境でAWSアカウントのアクセス権限を集中管理したい

    Phase 2: アイデンティティ とアクセス管理

  14. 14 AWS IAM Identity Center 既存IDプロバイダーが存在する場合は、IDストアに利用することも可能 ユースケース : Entra IDでユーザの集中管理をしたい

    ログイン画面例 https://dev.classmethod.jp/articles/federate-azure-ad-and-aws-iam-identity-center/

  15. 15 AWS IAM Identity Center 既存IDプロバイダーが存在する場合は、IDストアに利用することも可能 ユースケース : Entra IDでユーザの集中管理をしたい

    ログイン画面例

  16. 16 AWS IAM Identity Center 既存IDプロバイダーが存在する場合は、IDストアに利用することも可能 ユースケース : Entra IDでユーザの集中管理をしたい

    ログイン画面例 「マイアプリ」からIAM Identity Centerポータルへジャンプする

  17. 17 IAMユーザーからスイッチロール IAMユーザー管理用アカウント(Jumpアカウント)を用意して 各アカウントへスイッチロールする方法 ユースケース : Organizations利用できない環境でAWSアカウントのアクセス権限を集中管理したい

  18. 18 (MFAは必ず設定しよう!) Phase 1: アイデンティティ とアクセス管理 https://dev.classmethod.jp/articles/forced_mfa/ IAM Identity Centerを利用している環境ではデフォルトでユーザのMFA登録が

    必須になるよう設定されている(2023/11/16以降に作成した環境) IAMユーザを利用している環境ではポリシーを設定することでMFA利用を強制す ることが可能 ※デフォルトMFA必須状態じゃない! 参考 : Bcryptの数字6文字は“一瞬”で解読 2024年度Hive Systemsパスワード強度調査より https://www.hivesystems.com/blog/are-your-passwords-in-the-green クラウドサービスにおけるユーザー/パスワード認証は危険

  19. 19 既存IDプロバイダーからIAM SAML https://pages.awscloud.com/rs/112-TZM-766/images/20200722_AWSBlackbelt_aws_sso.pdf 既存IDプロバイダー(Azure AD, Oktaなど)がある場合に、 既存IDプロバイダーの認証情報を使って各アカウントへアクセスする方法 ユースケース :

    Organizations利用できない環境で既存IDプロバイダーを利用してAWSにアクセスしたい

  20. 20 ログ管理/監査

  21. 21 AWS CloudTrail AWS CloudTrail ユーザー、ロール、またはAWSのサービスによって実行されたアクションを記録 デフォルト90日間記録、90日を超えるログを記録する場合は証跡を作成する Organizationsと連携して「組織の証跡」を作成できる Phase 1:

    脅威検出

  22. 22 AWS CloudTrail どのユーザーが、どんなイベントを、いつ実行しているのか確認できる ※デフォルトログではデータイベント/Insightsイベントは記録されません。 ・ データイベント : S3オブジェクトAPI(PutObject, DeleteObject...)、Lambda

    実行API(Invoke)、DynamoDBオブジェクトAPI(PutItem, DeleteItem...) ・ Insightsイベント : 管理イベントのAPIコールボ リュームの計測値が、通常 のパターンから外れた場合 に⽣成

  23. 23 AWS CloudTrail コンソールで確認できるのは90日間まで。 90日以上保存したい場合は「証跡」を作成して、保存する必要がある データ/Insightsイベントはここを有効して記録

  24. 24 AWS CloudTrail マルチアカウント環境で統制を効かせる場合は、Organizationsと連携して 「組織の証跡」を作成できる

  25. 25 AWS Config AWS Config AWSのリソースの構成変更履歴を収集、管理、評価するサービス デフォルト無効化のため、有効化する必要あり Organizationsと連携して「Aggregator」を作成できる Phase 2:

    セキュリティ保証

  26. 26 AWS Config AWSのリソースの構成変更履歴を収集、管理、評価するサービス 評価(Configルール) 収集/管理(リソースタイムライン) マネージドルール : AWSが提供するConfigルール カスタムルール

    : ユーザが独自に作成するConfigルール https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/managed-rules-by-aws-config.html

  27. 27 AWS Config デフォルト無効化のため、有効化する必要あり ポイント : グローバルリソースを含める設定は1リージョンにする 複数リージョンのConfigでグローバルリソースを収集すると記録が重複し無駄なコストが発生する https://dev.classmethod.jp/articles/config-global-resources-one-region/

  28. 28 AWS Config Organizationsと連携して「Aggregator」を作成できる

  29. 29 監査ログ集約のアカウント構成例 監査/ログアーカイブのリソースを 削除できないSCPを適用

  30. 30 この構成を自前で実装は大変...

  31. 31 Control Tower

  32. 32 Control Tower AWS Control Tower Control Tower は Organizations

    を前提として利用するサービス SCP、AWS Config、AWS CloudTrailなどを用いてAWSのベストプラクティ スに基づいたルールを設定し、Control Towerマネージドに各アカウントの 統制を制御する Phase 2: インフラ保護

  33. 33 Control Tower https://classmethod.jp/articles/aws-control-tower/ Control Towerのアーキテクチャと統制内容 セキュリティ統制 Control Towerが用意するコントロール(ガードレール) で予防的/発見的コントロールを適用を徹底できる

    ログの一元管理 CloudTrail/Configのログを自動有効、集約する SCPによるSecurity OUへの改ざんを保護 可用性の高いS3にログを保存 ユーザの集約管理 IAM Identity Centerによる事前設定された グループの提供とアクセスの集約管理

  34. 34 セキュリティ管理

  35. 35 Amazon GuardDuty Amazon GuardDuty 継続的にモニタリングし、悪意のあるアクティビティを検出するサービス Phase 1: インシデント対応

  36. 36 Amazon GuardDuty 継続的にモニタリングし、悪意のあるアクティビティを検出 オプション保護 デフォルトではEC2/IAMのイベント検出 - C&Cサーバとの通信 - EC2インスタンスの認証情報の外部アカウント利用の検出

    - S3 Protection - EKS Protection - ランタイムモニタリング - Malware Protection - RDS Protection - Lambda保護

  37. 37 Amazon GuardDuty 組織的な展開 保護プランごとに有効化を選択可能 リージョンごとに有効化設定が必要

  38. 38 IAM Access Analyzer Phase 1: アイデンティティ とアクセス管理 AWS IAM

    Access Analyzer アナライザーはポリシー内容を評価して外部エンティティからリソースアク セス経路が検知された場合にそれをFindingという単位で検出する 外部から利用可能なAWSリソースを検知・一覧化(外部アクセスアナライザー) 無料でIAM、S3など15サービスの外部から利用な状況を検出可能 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-resources.html 未使用の許可権限やIAMリソースの検出(未使用アクセスアナライザー) オプション料金で非アクティブなIAMロール、未使用のアクセス許可、ユー ザーパスワード、ユーザーアクセスキーを検出可能

  39. 39 IAM Access Analyzer 組織的な展開 信頼ゾーンを組織単位に定義して設定可能 リージョンごとに有効化設定が必要 https://dev.classmethod.jp/articles/create-archive-rules-in-multi-regions/ 外部アクセスアナライザーのIAMリソース 検知は全リージョンで記録される

    メインリージョン以外のIAM検知をアーカイブすること で運用負荷を軽減

  40. 40 AWS Security Hub AWS Security Hub セキュリティサービスを中央集権的に管理することもできる 基準に従ってセキュリティチェックするサービス Phase

    1: セキュリティ保証

  41. 41 AWS Security Hub 基準に従ってセキュリティチェックする機能 6つのセキュリティ基準が提供されている(2024/5/9時点) 前提条件としてAWS Configを有効化する必要がある 「AWS基礎セキュリティのベストプラクティス」が網羅的にチェックしており とりあえず有効しておくのがオススメ

    検出結果の対応方法は随時ブログ化中 https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/

  42. 42 AWS Security Hub セキュリティサービスを中央集権的に管理するサービス 統合機能でAWSサービス/3rdパーティ製品を中央集権的に管理できる GuardDutyを取り込んだ例 統合したサービスはSecurity Hub経由して通知ができる https://dev.classmethod.jp/articles/guardduty-notification-via-securityhub/

  43. 43 https://dev.classmethod.jp/articles/learn-from-past-cases-of-using-aws-security-services/

  44. 44 AWS Security Hub 組織的な展開 Auto-enable accounts Auto-enable default standards

    Security Hubのみ有効化する設定 Security Hubおよびセキュリティ基準 を有効化する設定 - AWS基礎セキュリティのベストプラクティス - CIS v1.2.0 リージョンごとに有効化設定が必要

  45. 45 AWS Security Hub 組織的な展開 re:Invent 2023でリリースされた機能 従来オプションより柔軟に設定ができ るため組織的な展開をする場合は中央 設定を推奨

  46. 46 AWS Security Hub 組織的な展開(中央設定) ポリシーでOU/アカウント毎に設定可能 リージョンにまたがる設定が一括可能 ポリシーでは個別に以下の項目設定可能 - セキュリティ基準

    - 無効化コントロール - コントロールのパラメータカスタマイズ

  47. 47 (アドバンスド) 自動化

  48. 48 アカウントを作成するたびにクラウド統制の 設定をするのはつらい...

  49. 49 CloudFormation StackSets AWS CloudFormation StackSets CloudFormation自体はAWSリソースをコードで管理し、展開するサービス CloudFormation StackSetsは複数アカウント/複数リージョンに展開するサ ービス

    Organizaitonsと連携することでアカウントがOUに追加されたことをトリガ ーに自動でリソースをデプロイすることが可能 Phase 3: 効率化

  50. 50 CloudFormation StackSets Control Towerも実態としてCloudFormation StackSetsが動いている

  51. 51 Control Tower カスタマイズ Account Factory Customization(AFC) Customizations for AWS

    Control Tower(CfCT) AWS Control Tower Account Factory for Terraform(AFT) CloudFormationテンプレートをベースにアカウント作成時にリソースを自 動的にデプロイし、ランディングゾーンをカスタマイズする方法 Terraformテンプレートをベースにアカウント作成時にリソースを自動的 にデプロイし、ランディングゾーンをカスタマイズする方法 Service Catalogをベースにアカウント作成時にリソースを自動的にデプロ イし、ランディングゾーンをカスタマイズする方法 pros : CloudFormationをベースにControl Towerの柔軟なカスタマイズが可能 cons : CfCT環境の学習/維持コストが発生する pros : TerraformをベースにControl Towerの柔軟なカスタマイズが可能 cons : AFT環境の学習/維持コストが発生する pros : カスタマイズ方法として最もマネージドな方法で環境維持コストが少ない cons : 一部制約が発生する(CT未対応リージョンへのデプロイはできない等)

  52. 52 クラウド統制に役立つAWSサービス使って 組織的なクラウド統制のはじめの一歩を 踏み出そう!

  53. 53