Upgrade to Pro — share decks privately, control downloads, hide ads and more …

JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを使ってセキュリティを強化しよう

Oshima
March 04, 2024
87

JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを使ってセキュリティを強化しよう

Oshima

March 04, 2024
Tweet

Transcript

  1. JAWS DAYS 2024 ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_b JAWS DAYS 2024 ~MSP取得奮闘記

    AWS ConfigとAWS Organizations でセキュリティを強化しよう~ サニークラウド (株式会社アイディーエス) 大島 雪乃 B-5 セキュリティを強化した話
  2. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_b AWSセキュリティサービス 6 Amazon GuardDuty Amazon Inspector AWS

    Shield AWS Security Hub AWS WAF AWS Organizations AWS Trusted Advisor AWS CloudTrail AWS Config AWS Network Firewall Amazon CloudWatch AWS Certificate Manager (ACM) Amazon Macie AWS CloudHSM AWS Firewall Manager AWS Directory Service AWS Key Management Service Amazon Detective AWS Lambda Amazon EventBridge AWS Step Functions 予防 検知 対応 ・ ・ ・ ・ ・ ・ ・ ・ ・
  3. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_b AWSセキュリティサービス 7 Amazon GuardDuty Amazon Inspector AWS

    Shield AWS Security Hub AWS WAF AWS Organizations AWS Trusted Advisor AWS CloudTrail AWS Config AWS Network Firewall Amazon CloudWatch AWS Certificate Manager (ACM) Amazon Macie AWS CloudHSM AWS Firewall Manager AWS Directory Service AWS Key Management Service Amazon Detective AWS Lambda Amazon EventBridge AWS Step Functions 予防 検知 対応 ・ ・ ・ ・ ・ ・ ・ ・ ・
  4. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_b AWS Organizations AWSセキュリティサービス 8 Sandbox Production Account

    A Account B SCP(サービスコントロールポリシー) を使用し、 組織全てのアカウントで使用可能な最大ア クセス許可を一元的に制御できる。 組織レベルでの予防的統制を利かせること が可能。 Root OU Member Accounts
  5. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 11 MSPとは・・・ パートナーが、 「AWSの運用保守に関する知見や実績などの能力を十分有しているか」 を監査する •

    会社としての健全性 • ビジネスの健全性 • セキュリティ • サービス管理 • 最適化 • AWSサービスの知見と利用実績 etc… 全てを満たす必要がある
  6. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 12 以下リソースのパブリック公開禁止 ▪ Amazon S3バケット ▪

    Amazon RDSインスタンス ▪ Amazon RDSスナップショット ▪ Amazon EBSスナップショット ▪ Amazon マシンイメージ(AMI) ▪ Amazon EC2 (セキュリティグループポート) AWS Organizations(SCP)で予防 AWS Configで検知・自動修復 • Amazon RDSインスタンス • Amazon RDSスナップショット は、RDSインスタンスの暗号化を強制する ことでパブリック公開を禁止する ※直接的なポリシーはない
  7. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 14 Amazon S3バケットのパブリック公開禁止 { "Version": "2012-10-17",

    "Statement": [ { "Effect": "Deny", "Action": [ "s3:PutBucketPublicAccessBlock" ], "Resource": "arn:aws:s3:::*" } ] } SCP作成( ポリシー名 s3:PutBucketPublicAccessBlock ) アタッチ OU AWS OrganizationsのRootアカウントにて
  8. ハッシュタグ:#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 17 以下リソースのパブリック公開禁止 ▪ Amazon S3バケット ▪

    Amazon RDSインスタンス ▪ Amazon RDSスナップショット ▪ Amazon EBSスナップショット ▪ Amazon マシンイメージ(AMI) ▪ Amazon EC2 (セキュリティグループポート) AWS Organizations(SCP)で予防 AWS Configで評価・自動修復 • Amazon RDSインスタンス • Amazon RDSスナップショット は、RDSインスタンスの暗号化を強制する ことでパブリック公開を禁止する ※直接的なポリシーはない