Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
最適なAWS環境を作るために~AWS Well-Architected Framework活用...
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Oshima
March 26, 2024
18
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
最適なAWS環境を作るために~AWS Well-Architected Framework活用のポイントと具体的行動~
Oshima
March 26, 2024
More Decks by Oshima
See All by Oshima
JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを使ってセキュリティを強化しよう
oshima0306
0
210
Featured
See All Featured
Skip the Path - Find Your Career Trail
mkilby
1
150
Visualization
eitanlees
152
17k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
tmiket
0
360
Become a Pro
speakerdeck
PRO
31
6k
GitHub's CSS Performance
jonrohan
1033
470k
Build your cross-platform service in a week with App Engine
jlugia
234
18k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
kimpetersen
PRO
1
720
Utilizing Notion as your number one productivity tool
mfonobong
4
320
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
A brief & incomplete history of UX Design for the World Wide Web: 1989–2019
jct
2
390
Unsuck your backbone
ammeep
672
58k
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.7k
Transcript
Copyright © IDS Co., LTD. All rights reserved. 1 Confidential
第2部 ログ記録
Copyright © IDS Co., LTD. All rights reserved. 2 Confidential
2 自己紹介 ログ記録 名前: 大島雪乃 経歴: 株式会社アイディーエス サニークラウド事業部 好きなもの: 猫とビール 好きなAWSサービス: AWS Organizations
Copyright © IDS Co., LTD. All rights reserved. 3 Confidential
3 Agenda 01. アンチパターン 02. アンチパターンに対しての解決策 03. 具体的な設定例のご紹介 ログ記録
Copyright © IDS Co., LTD. All rights reserved. 4 Confidential
ログ記録 アンチパターン • 必要な場合に備えて、あらゆるタイプのログを保存する。 • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 • ログガバナンスと使用について、手動プロセスのみに依存する。
Copyright © IDS Co., LTD. All rights reserved. 7 Confidential
ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う
Copyright © IDS Co., LTD. All rights reserved. 8 Confidential
ログ記録 –アンチパターンに対しての解決策- セキュリティ要件に合わせたログを取得する AWSのサービスのログ 環境に合わせたログ 取得するログの種類 ログ名 CloudTrailログ(AWS) VPCフローログ(AWS) ALBアクセスログ(AWS) /var/log/message(OS) /var/log/secure(OS) 監査ログ(アプリ) アクセスログ(アプリ)
Copyright © IDS Co., LTD. All rights reserved. 9 Confidential
適切なログ保持期間・アクセス権限を識別する ログ名 保管期間 CloudTrailログ(AWS) 1年 VPCフローログ(AWS) 1か月 ALBアクセスログ(AWS) 半年 /var/log/message(OS) 1年 /var/log/secure(OS) 1年 監査ログ(アプリ) 1年 アクセスログ(アプリ) 1年 AWS Cloud S3 S3 Backet Backet Policy ログ記録 –アンチパターンに対しての解決策-
Copyright © IDS Co., LTD. All rights reserved. 11 Confidential
適切な保持とライフサイクルポリシーを使う S3 Standard S3 標準-IA ログファイルA アップロード 0日 90日 180日 365日 ログファイルA の削除 アクセス頻度の高い ファイル向け アクセス頻度が低いが すぐに取り出す必要 があるファイル向け アクセスがほぼなく、 即時取り出しを必要 としないファイル向け S3 Glacier Flexible Retrieval ログ記録 –アンチパターンに対しての解決策-
Copyright © IDS Co., LTD. All rights reserved. 12 Confidential
ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う
Copyright © IDS Co., LTD. All rights reserved. 13 Confidential
ログ記録 設定例のご紹介
Copyright © IDS Co., LTD. All rights reserved. 14 Confidential
ログ記録 設定例のご紹介 CloudTrailの監査証跡をS3に保存 AWS Cloud AWS CloudTrail S3 Cloud Trailのログの 最大保管期間は90日 ・最大保存期間を1年にする ・ライフサイクルポリシーの 設定 ・編集の禁止権限 ・全員からの削除不可権限 ログ格納
Copyright © IDS Co., LTD. All rights reserved. 15 Confidential
ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 CloudTrailの証跡とS3バケットの作成 S3のデータイベント(変 更/削除/追加)を記録する ログ
Copyright © IDS Co., LTD. All rights reserved. 16 Confidential
CloudTrailの監査証跡をS3に保存 S3バケットにログが格納されていることを確認 ログ記録 –設定例のご紹介-
Copyright © IDS Co., LTD. All rights reserved. 17 Confidential
ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定
Copyright © IDS Co., LTD. All rights reserved. 18 Confidential
ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定 S3 Standard 0日 90日 S3 Glacier Flexible Retrieval 365日 削除
Copyright © IDS Co., LTD. All rights reserved. 19 Confidential
ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定
Copyright © IDS Co., LTD. All rights reserved. 20 Confidential
ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定 { "Sid": "ReadOnly", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012 -6cbd7c96/*" }, { "Sid": "ReadOnly2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012-6cbd7c96/*“ } 全てのアカウントで オブジェクト削除禁止 Testユーザーは オブジェクトへの 書き込み禁止
Copyright © IDS Co., LTD. All rights reserved. 21 Confidential
ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定確認
Copyright © IDS Co., LTD. All rights reserved. 22 Confidential
ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定確認
Copyright © IDS Co., LTD. All rights reserved. 23 Confidential
ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う
Copyright © IDS Co., LTD. All rights reserved. 24 Confidential
Q&A
Your Podcast. Everywhere. Effortlessly.
oshima0306
mkilby
eitanlees
tmiket
speakerdeck
jonrohan
jlugia
kimpetersen
mfonobong
aleyda
jct
ammeep
lindahogenes
