Upgrade to Pro — share decks privately, control downloads, hide ads and more …

最適なAWS環境を作るために~AWS Well-Architected Framework活用のポイントと具体的行動~

Oshima
March 26, 2024
0
6

最適なAWS環境を作るために~AWS Well-Architected Framework活用のポイントと具体的行動~

Oshima

March 26, 2024
Tweet

More Decks by Oshima

See All by Oshima
JAWS Days2024 B-5 AWS ConfigとAWS Organizationsを使ってセキュリティを強化しよう
oshima0306
0
83

Featured

See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
14
8.4k
Docker and Python
trallard
35
2.7k
Become a Pro
speakerdeck
PRO
13
4.6k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
15
1.6k
The Straight Up "How To Draw Better" Workshop
denniskardys
228
130k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
21
2k
Stop Working from a Prison Cell
hatefulcrawdad
266
19k
Building a Scalable Design System with Sketch
lauravandoore
457
32k
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
23
1.7k
A Modern Web Designer's Workflow
chriscoyier
689
190k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.7k
Build your cross-platform service in a week with App Engine
jlugia
226
17k

Transcript

  1. Copyright © IDS Co., LTD. All rights reserved. 1 Confidential

    第2部 ログ記録

  2. Copyright © IDS Co., LTD. All rights reserved. 2 Confidential

    2 自己紹介 ログ記録 名前: 大島雪乃 経歴: 株式会社アイディーエス サニークラウド事業部 好きなもの: 猫とビール 好きなAWSサービス: AWS Organizations

  3. Copyright © IDS Co., LTD. All rights reserved. 3 Confidential

    3 Agenda 01. アンチパターン 02. アンチパターンに対しての解決策 03. 具体的な設定例のご紹介 ログ記録

  4. Copyright © IDS Co., LTD. All rights reserved. 4 Confidential

    ログ記録 アンチパターン • 必要な場合に備えて、あらゆるタイプのログを保存する。 • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 • ログガバナンスと使用について、手動プロセスのみに依存する。

  5. Copyright © IDS Co., LTD. All rights reserved. 7 Confidential

    ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

  6. Copyright © IDS Co., LTD. All rights reserved. 8 Confidential

    ログ記録 –アンチパターンに対しての解決策- セキュリティ要件に合わせたログを取得する AWSのサービスのログ 環境に合わせたログ 取得するログの種類 ログ名 CloudTrailログ(AWS) VPCフローログ(AWS) ALBアクセスログ(AWS) /var/log/message(OS) /var/log/secure(OS) 監査ログ(アプリ) アクセスログ(アプリ)

  7. Copyright © IDS Co., LTD. All rights reserved. 9 Confidential

    適切なログ保持期間・アクセス権限を識別する ログ名 保管期間 CloudTrailログ(AWS) 1年 VPCフローログ(AWS) 1か月 ALBアクセスログ(AWS) 半年 /var/log/message(OS) 1年 /var/log/secure(OS) 1年 監査ログ(アプリ) 1年 アクセスログ(アプリ) 1年 AWS Cloud S3 S3 Backet Backet Policy ログ記録 –アンチパターンに対しての解決策-

  8. Copyright © IDS Co., LTD. All rights reserved. 11 Confidential

    適切な保持とライフサイクルポリシーを使う S3 Standard S3 標準-IA ログファイルA アップロード 0日 90日 180日 365日 ログファイルA の削除 アクセス頻度の高い ファイル向け アクセス頻度が低いが すぐに取り出す必要 があるファイル向け アクセスがほぼなく、 即時取り出しを必要 としないファイル向け S3 Glacier Flexible Retrieval ログ記録 –アンチパターンに対しての解決策-

  9. Copyright © IDS Co., LTD. All rights reserved. 12 Confidential

    ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

  10. Copyright © IDS Co., LTD. All rights reserved. 13 Confidential

    ログ記録 設定例のご紹介

  11. Copyright © IDS Co., LTD. All rights reserved. 14 Confidential

    ログ記録 設定例のご紹介 CloudTrailの監査証跡をS3に保存 AWS Cloud AWS CloudTrail S3 Cloud Trailのログの 最大保管期間は90日 ・最大保存期間を1年にする ・ライフサイクルポリシーの 設定 ・編集の禁止権限 ・全員からの削除不可権限 ログ格納

  12. Copyright © IDS Co., LTD. All rights reserved. 15 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 CloudTrailの証跡とS3バケットの作成 S3のデータイベント(変 更/削除/追加)を記録する ログ

  13. Copyright © IDS Co., LTD. All rights reserved. 16 Confidential

    CloudTrailの監査証跡をS3に保存 S3バケットにログが格納されていることを確認 ログ記録 –設定例のご紹介-

  14. Copyright © IDS Co., LTD. All rights reserved. 17 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定

  15. Copyright © IDS Co., LTD. All rights reserved. 18 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定 S3 Standard 0日 90日 S3 Glacier Flexible Retrieval 365日 削除

  16. Copyright © IDS Co., LTD. All rights reserved. 19 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3のライフサイクルの設定

  17. Copyright © IDS Co., LTD. All rights reserved. 20 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定 { "Sid": "ReadOnly", "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": "s3:DeleteObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012 -6cbd7c96/*" }, { "Sid": "ReadOnly2", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::123456789012:user/test" }, "Action": "s3:PutObject", "Resource": "arn:aws:s3:::aws-cloudtrail-logs-123456789012-6cbd7c96/*“ } 全てのアカウントで オブジェクト削除禁止 Testユーザーは オブジェクトへの 書き込み禁止

  18. Copyright © IDS Co., LTD. All rights reserved. 21 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定確認

  19. Copyright © IDS Co., LTD. All rights reserved. 22 Confidential

    ログ記録 –設定例のご紹介- CloudTrailの監査証跡をS3に保存 S3バケットポリシーの設定確認

  20. Copyright © IDS Co., LTD. All rights reserved. 23 Confidential

    ログ記録 アンチパターンに対しての解決策 • 必要な場合に備えて、あらゆるタイプのログを保存する。 →セキュリティ要件に合わせたログを取得する • ログが永久に保存される、またはすぐに削除される。 • 誰でもログにアクセスできる。 • 必要な場合にのみログ整合性をチェックする。 →適切なログ保持期間・アクセス権限を識別する • ログガバナンスと使用について、手動プロセスのみに依存する。 →適切な保持とライフサイクルポリシーを使う

  21. Copyright © IDS Co., LTD. All rights reserved. 24 Confidential

    Q&A