JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを使ってセキュリティを強化しよう

JAWS DAYS 2024 ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b JAWS DAYS 2024 ～MSP取得奮闘記
AWS ConfigとAWS Organizations でセキュリティを強化しよう～サニークラウド (株式会社アイディーエス) 大島雪乃 B-5 セキュリティを強化した話

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b 自己紹介名前：大島雪乃経歴：株式会社アイディーエス新卒入社1年目好きなもの：
猫とビール好きなAWSサービス： AWS Organizations（SCP） 2

AWS Config と AWS Organizations でセキュリティを強化しよう 3 ～MSP取得奮闘記～

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b 目指すべき設定 4 設定さえしてしまえば完全に予防してくれて、検知した際は自動修復してくれる！手動でガチャガチャしたくない！＝継続的にセキュアな組織orアカウント作成

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b Agenda 5 1. AWSセキュリティサービスの説明 2. MSPで設定したセキュリティ

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWSセキュリティサービス 6 Amazon GuardDuty Amazon Inspector AWS
Shield AWS Security Hub AWS WAF AWS Organizations AWS Trusted Advisor AWS CloudTrail AWS Config AWS Network Firewall Amazon CloudWatch AWS Certificate Manager (ACM) Amazon Macie AWS CloudHSM AWS Firewall Manager AWS Directory Service AWS Key Management Service Amazon Detective AWS Lambda Amazon EventBridge AWS Step Functions 予防検知対応・・・・・・・・・

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWSセキュリティサービス 7 Amazon GuardDuty Amazon Inspector AWS
Shield AWS Security Hub AWS WAF AWS Organizations AWS Trusted Advisor AWS CloudTrail AWS Config AWS Network Firewall Amazon CloudWatch AWS Certificate Manager (ACM) Amazon Macie AWS CloudHSM AWS Firewall Manager AWS Directory Service AWS Key Management Service Amazon Detective AWS Lambda Amazon EventBridge AWS Step Functions 予防検知対応・・・・・・・・・

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWS Organizations AWSセキュリティサービス 8 Sandbox Production Account
A Account B SCP(サービスコントロールポリシー) を使用し、組織全てのアカウントで使用可能な最大アクセス許可を一元的に制御できる。組織レベルでの予防的統制を利かせることが可能。 Root OU Member Accounts

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWS Config AWSセキュリティサービス 10 AWSアカウント内のAWSリソース設定を、記録・評価・監査可能。 Configルールを作成し、自動修復を設定す
ることで、検知した際に自動で修復を行ってくれる。 AWS Config AWS Systems Manager Configルール Automation Account A EC2など非準拠

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 11 MSPとは・・・パートナーが、「AWSの運用保守に関する知見や実績などの能力を十分有しているか」を監査する •
会社としての健全性 • ビジネスの健全性 • セキュリティ • サービス管理 • 最適化 • AWSサービスの知見と利用実績 etc… 全てを満たす必要がある

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 12 以下リソースのパブリック公開禁止 ▪ Amazon S3バケット ▪
Amazon RDSインスタンス ▪ Amazon RDSスナップショット ▪ Amazon EBSスナップショット ▪ Amazon マシンイメージ(AMI) ▪ Amazon EC2 (セキュリティグループポート) AWS Organizations(SCP)で予防 AWS Configで検知・自動修復 • Amazon RDSインスタンス • Amazon RDSスナップショットは、RDSインスタンスの暗号化を強制することでパブリック公開を禁止する ※直接的なポリシーはない

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 13 Amazon S3バケットのパブリック公開禁止静的な公開コンテンツを配置する場合でも、パブリックにはしません。

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 14 Amazon S3バケットのパブリック公開禁止 { "Version": "2012-10-17",
"Statement": [ { "Effect": "Deny", "Action": [ "s3:PutBucketPublicAccessBlock" ], "Resource": "arn:aws:s3:::*" } ] } SCP作成（ポリシー名 s3:PutBucketPublicAccessBlock ）アタッチ OU AWS OrganizationsのRootアカウントにて

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 15 Amazon S3バケットのパブリック公開禁止 S3バケット作成パブリックになるように！ OU配下にいるメンバーアカウントにて

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 16 Amazon S3バケットのパブリック公開禁止

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 17 以下リソースのパブリック公開禁止 ▪ Amazon S3バケット ▪
Amazon RDSインスタンス ▪ Amazon RDSスナップショット ▪ Amazon EBSスナップショット ▪ Amazon マシンイメージ(AMI) ▪ Amazon EC2 (セキュリティグループポート) AWS Organizations(SCP)で予防 AWS Configで評価・自動修復 • Amazon RDSインスタンス • Amazon RDSスナップショットは、RDSインスタンスの暗号化を強制することでパブリック公開を禁止する ※直接的なポリシーはない

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 18 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで自動Closeする Configルールの作成

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 19 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで自動Closeする修復アクションの作成

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 20 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで自動Closeする 123.456.789/32
123.456.789/32 123.456.789/32 987.654.321/32

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 21 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで自動Closeする

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 22 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで自動Closeする 123.456.789/32
123.456.789/32 123.456.789/32 987.654.321/32

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 23 Configルールは・各アカウントでの設定・組織全体への設定両方可能です。

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 24 AWS OrganizationsとAWS Config を使用して予防→検知→対応を設定してみてください。

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b 本日はご参加いただきありがとうございました。アンケートのご記入をお願いします。アンケートご記入のお願い 25

JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを...

JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを使ってセキュリティを強化しよう

Oshima

More Decks by Oshima

Featured

Transcript

JAWS DAYS 2024 ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b JAWS DAYS 2024 ～MSP取得奮闘記

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b 自己紹介名前：大島雪乃経歴：株式会社アイディーエス新卒入社1年目好きなもの：

AWS Config と AWS Organizations でセキュリティを強化しよう 3 ～MSP取得奮闘記～

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b 目指すべき設定 4 設定さえしてしまえば完全に予防してくれて、検知した際は自動修復してくれる！手動でガチャガチャしたくない！＝継続的にセキュアな組織orアカウント作成

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b Agenda 5 1. AWSセキュリティサービスの説明 2. MSPで設定したセキュリティ

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWSセキュリティサービス 6 Amazon GuardDuty Amazon Inspector AWS

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWSセキュリティサービス 7 Amazon GuardDuty Amazon Inspector AWS

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWS Organizations AWSセキュリティサービス 8 Sandbox Production Account

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWS Config AWSセキュリティサービス 10 AWSアカウント内のAWSリソース設定を、記録・評価・監査可能。 Configルールを作成し、自動修復を設定す

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 11 MSPとは・・・パートナーが、「AWSの運用保守に関する知見や実績などの能力を十分有しているか」を監査する •

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 12 以下リソースのパブリック公開禁止 ▪ Amazon S3バケット ▪

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 13 Amazon S3バケットのパブリック公開禁止静的な公開コンテンツを配置する場合でも、パブリックにはしません。

ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 14 Amazon S3バケットのパブリック公開禁止 { "Version": "2012-10-17",