Upgrade to Pro — share decks privately, control downloads, hide ads and more …

最適なAWS環境を作るために~AWS Well-Architected Framework活用...

Oshima
March 26, 2024
0
9

最適なAWS環境を作るために~AWS Well-Architected Framework活用のポイントと具体的行動~

Oshima

March 26, 2024
Tweet

More Decks by Oshima

See All by Oshima
JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを使ってセキュリティを強化しよう
oshima0306
0
140

Featured

See All Featured
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Fireside Chat
paigeccino
34
3k
Designing the Hi-DPI Web
ddemaree
280
34k
Optimizing for Happiness
mojombo
376
70k
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
8
900
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.7k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.3k
Building a Scalable Design System with Sketch
lauravandoore
459
33k
Typedesign – Prime Four
hannesfritz
40
2.4k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
44
6.8k
Designing Experiences People Love
moore
138
23k

Transcript

  1. Copyright © IDS Co., LTD. All rights reserved. 1 Confidential

    第2部 ログ記録

  2. Copyright © IDS Co., LTD. All rights reserved. 2 Confidential

    2 自己紹介 ログ記録 名前: 大島雪乃 経歴: 株式会社アイディーエス サニークラウド事業部 好きなもの: 猫とビール 好きなAWSサービス: AWS Organizations

  3. Copyright © IDS Co., LTD. All rights reserved. 3 Confidential

    3 Agenda 01. アンチパターン 02. アンチパターンに対しての解決策 03. 具体的な設定例のご紹介 ログ記録

  4. Copyright © IDS Co., LTD. All rights reserved. 4 Confidential

    ログ記録 アンチパターン • 必要な場合に備えて、あらゆるタイプのログを保存する。 • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 • ログガバナンスと使用について、手動プロセスのみに依存する。

  5. Copyright © IDS Co., LTD. All rights reserved. 7 Confidential

    ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

  6. Copyright © IDS Co., LTD. All rights reserved. 8 Confidential

    ログ記録 –アンチパターンに対しての解決策- セキュリティ要件に合わせたログを取得する AWSのサービスのログ 環境に合わせたログ 取得するログの種類 ログ名 CloudTrailログ(AWS) VPCフローログ(AWS) ALBアクセスログ(AWS) /var/log/message(OS) /var/log/secure(OS) 監査ログ(アプリ) アクセスログ(アプリ)

  7. Copyright © IDS Co., LTD. All rights reserved. 9 Confidential

    適切なログ保持期間・アクセス権限を識別する ログ名 保管期間 CloudTrailログ(AWS) 1年 VPCフローログ(AWS) 1か月 ALBアクセスログ(AWS) 半年 /var/log/message(OS) 1年 /var/log/secure(OS) 1年 監査ログ(アプリ) 1年 アクセスログ(アプリ) 1年 AWS Cloud S3 S3 Backet Backet Policy ログ記録 –アンチパターンに対しての解決策-

  8. Copyright © IDS Co., LTD. All rights reserved. 11 Confidential

    適切な保持とライフサイクルポリシーを使う S3 Standard S3 標準-IA ログファイルA アップロード 0日 90日 180日 365日 ログファイルA の削除 アクセス頻度の高い ファイル向け アクセス頻度が低いが すぐに取り出す必要 があるファイル向け アクセスがほぼなく、 即時取り出しを必要 としないファイル向け S3 Glacier Flexible Retrieval ログ記録 –アンチパターンに対しての解決策-

  9. Copyright © IDS Co., LTD. All rights reserved. 12 Confidential

    ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

  10. Copyright © IDS Co., LTD. All rights reserved. 13 Confidential

    ログ記録 設定例のご紹介

  11. Copyright © IDS Co., LTD. All rights reserved. 14 Confidential

    ログ記録 設定例のご紹介 CloudTrailの監査証跡をS3に保存 AWS Cloud AWS CloudTrail S3 Cloud Trailのログの 最大保管期間は90日 ・最大保存期間を1年にする ・ライフサイクルポリシーの 設定 ・編集の禁止権限 ・全員からの削除不可権限 ログ格納

  12. Copyright © IDS Co., LTD. All rights reserved. 15 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 CloudTrailの証跡とS3バケットの作成 S3のデータイベント(変 更/削除/追加)を記録する ログ

  13. Copyright © IDS Co., LTD. All rights reserved. 16 Confidential

    CloudTrailの監査証跡をS3に保存 S3バケットにログが格納されていることを確認 ログ記録 –設定例のご紹介-

  14. Copyright © IDS Co., LTD. All rights reserved. 17 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定

  15. Copyright © IDS Co., LTD. All rights reserved. 18 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定 S3 Standard 0日 90日 S3 Glacier Flexible Retrieval 365日 削除

  16. Copyright © IDS Co., LTD. All rights reserved. 19 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定

  17. Copyright © IDS Co., LTD. All rights reserved. 20 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定 { "Sid": "ReadOnly", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012 -6cbd7c96/*" }, { "Sid": "ReadOnly2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012-6cbd7c96/*“ } 全てのアカウントで オブジェクト削除禁止 Testユーザーは オブジェクトへの 書き込み禁止

  18. Copyright © IDS Co., LTD. All rights reserved. 21 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定確認

  19. Copyright © IDS Co., LTD. All rights reserved. 22 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定確認

  20. Copyright © IDS Co., LTD. All rights reserved. 23 Confidential

    ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

  21. Copyright © IDS Co., LTD. All rights reserved. 24 Confidential

    Q&A