JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを使ってセキュリティを強化しよう

Transcript

1. JAWS DAYS 2024 ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b JAWS DAYS 2024 ～MSP取得奮闘記

   AWS ConfigとAWS Organizations でセキュリティを強化しよう～ サニークラウド (株式会社アイディーエス) 大島 雪乃 B-5 セキュリティを強化した話

2. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b 自己紹介 名前： 大島雪乃 経歴： 株式会社アイディーエス 新卒入社1年目 好きなもの：

   猫とビール 好きなAWSサービス： AWS Organizations（SCP） 2

3. AWS Config と AWS Organizations で セキュリティを強化しよう 3 ～MSP取得奮闘記～

4. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b 目指すべき設定 4 設定さえしてしまえば 完全に予防してくれて、検知した際は自動修復してくれる！ 手動でガチャガチャしたくない！ ＝継続的にセキュアな組織orアカウント作成

5. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b Agenda 5 1. AWSセキュリティサービスの説明 2. MSPで設定したセキュリティ

6. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWSセキュリティサービス 6 Amazon GuardDuty Amazon Inspector AWS

   Shield AWS Security Hub AWS WAF AWS Organizations AWS Trusted Advisor AWS CloudTrail AWS Config AWS Network Firewall Amazon CloudWatch AWS Certificate Manager (ACM) Amazon Macie AWS CloudHSM AWS Firewall Manager AWS Directory Service AWS Key Management Service Amazon Detective AWS Lambda Amazon EventBridge AWS Step Functions 予防 検知 対応 ・ ・ ・ ・ ・ ・ ・ ・ ・

7. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWSセキュリティサービス 7 Amazon GuardDuty Amazon Inspector AWS

   Shield AWS Security Hub AWS WAF AWS Organizations AWS Trusted Advisor AWS CloudTrail AWS Config AWS Network Firewall Amazon CloudWatch AWS Certificate Manager (ACM) Amazon Macie AWS CloudHSM AWS Firewall Manager AWS Directory Service AWS Key Management Service Amazon Detective AWS Lambda Amazon EventBridge AWS Step Functions 予防 検知 対応 ・ ・ ・ ・ ・ ・ ・ ・ ・

8. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWS Organizations AWSセキュリティサービス 8 Sandbox Production Account

   A Account B SCP(サービスコントロールポリシー) を使用し、 組織全てのアカウントで使用可能な最大ア クセス許可を一元的に制御できる。 組織レベルでの予防的統制を利かせること が可能。 Root OU Member Accounts

9. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b AWS Config AWSセキュリティサービス 10 AWSアカウント内のAWSリソース設定を 、記録・評価・監査可能。 Configルールを作成し、自動修復を設定す

   ることで、検知した際に自動で修復を行っ てくれる。 AWS Config AWS Systems Manager Configルール Automation Account A EC2など 非準拠

10. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 11 MSPとは・・・ パートナーが、 「AWSの運用保守に関する知見や実績などの能力を十分有しているか」 を監査する •

    会社としての健全性 • ビジネスの健全性 • セキュリティ • サービス管理 • 最適化 • AWSサービスの知見と利用実績 etc… 全てを満たす必要がある

11. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 12 以下リソースのパブリック公開禁止 ▪ Amazon S3バケット ▪

    Amazon RDSインスタンス ▪ Amazon RDSスナップショット ▪ Amazon EBSスナップショット ▪ Amazon マシンイメージ(AMI) ▪ Amazon EC2 (セキュリティグループポート) AWS Organizations(SCP)で予防 AWS Configで検知・自動修復 • Amazon RDSインスタンス • Amazon RDSスナップショット は、RDSインスタンスの暗号化を強制する ことでパブリック公開を禁止する ※直接的なポリシーはない

12. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 13 Amazon S3バケットのパブリック公開禁止 静的な公開コンテンツを配置する場合でも、 パブリックにはしません。

13. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 14 Amazon S3バケットのパブリック公開禁止 { "Version": "2012-10-17",

    "Statement": [ { "Effect": "Deny", "Action": [ "s3:PutBucketPublicAccessBlock" ], "Resource": "arn:aws:s3:::*" } ] } SCP作成（ ポリシー名 s3:PutBucketPublicAccessBlock ） アタッチ OU AWS OrganizationsのRootアカウントにて

14. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 15 Amazon S3バケットのパブリック公開禁止 S3バケット作成 パブリックになるように！ OU配下にいるメンバーアカウントにて

15. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 16 Amazon S3バケットのパブリック公開禁止

16. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 17 以下リソースのパブリック公開禁止 ▪ Amazon S3バケット ▪

    Amazon RDSインスタンス ▪ Amazon RDSスナップショット ▪ Amazon EBSスナップショット ▪ Amazon マシンイメージ(AMI) ▪ Amazon EC2 (セキュリティグループポート) AWS Organizations(SCP)で予防 AWS Configで評価・自動修復 • Amazon RDSインスタンス • Amazon RDSスナップショット は、RDSインスタンスの暗号化を強制する ことでパブリック公開を禁止する ※直接的なポリシーはない

17. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 18 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで 自動Closeする Configルールの作成

18. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 19 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで 自動Closeする 修復アクションの作成

19. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 20 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで 自動Closeする 123.456.789/32

    123.456.789/32 123.456.789/32 987.654.321/32

20. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 21 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで 自動Closeする

21. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 22 Amazon EC2のSSHセキュリティグループポートを検知し、AWS Configで 自動Closeする 123.456.789/32

    123.456.789/32 123.456.789/32 987.654.321/32

22. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 23 Configルールは ・各アカウントでの設定 ・組織全体への設定 両方可能です。

23. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b MSPで設定したセキュリティ 24 AWS OrganizationsとAWS Config を使用して予防→検知→対応を 設定してみてください。

24. ハッシュタグ：#jawsdays2024 #jawsug #jawsdays2024_b 本日はご参加いただきありがとうございました。アンケートのご記入をお願いします。 アンケートご記入のお願い 25