Slide 1

Slide 1 text

AWS Firewall Managerを効果的に活用した マルチアカウント管理方法 NRIネットコム TECH AND DESIGN STUDY#38 2024年7月30日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

Slide 2

Slide 2 text

1 Copyright(C) NRI Netcom, Ltd. All rights reserved. AWS Firewall Managerとは 02 AWS Firewall Managerを活用したファイアウォールの運用 03 AWS Firewall Managerを運用する上での課題と解決策 04 自己紹介 01

Slide 3

Slide 3 text

2 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 大林 優斗 自己紹介 ◼ 登壇者:大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務:AWSを活用したシステムの設計・開発を担当 ⚫ 450以上あるAWSアカウントに統制を効かせる ◼ AWS認定資格

Slide 4

Slide 4 text

3 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerとは

Slide 5

Slide 5 text

4 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerでファイアウォールルールを一元管理 ◼ AWS Organizations配下にあるアカウントのファイアウォールルールを一元的に管理するサービス AWS Firewall Managerとは AWS Security Hub AWS Firewall Manager AWS WAF AWS Network Firewall AWS Shield Route 53 Resolver DNS Firewall VPC Security Group

Slide 6

Slide 6 text

5 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを導入するメリット ◼ ファイアウォールポリシー の一元管理 ⚫ AWS WAF、AWS Network Firewall、 Route 53 Resolver DNS Firewall、AWS Shield、セキュリティグループ、を一元的に 管理できる ◼ ベースラインポリシーの設定 ⚫ ファイアウォールルールのベースラインをAWS Firewall Managerで作成できる ◼ コンプライアンス違反の特定 ⚫ 作成したベースラインポリシーからの逸脱を検出して、意図しない設定を防げる AWS Firewall Managerとは

Slide 7

Slide 7 text

6 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを活用する準備

Slide 8

Slide 8 text

7 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 前提条件 ◼ AWS Organizationsとの連携 ◼ AWS Firewall Managerの管理アカウントの設定 ◼ AWS Configの有効化 ◼ AWS Resource Access Managerの有効化 AWS Firewall Managerを活用する準備

Slide 9

Slide 9 text

8 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Organizationsとの連携した際の構成図 AWS Firewall Managerを活用する準備 AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント アカウント A AWS WAF AWS Network Firewall AWS Firewall Manager アカウント B AWS WAF AWS Network Firewall アカウント C AWS WAF AWS Network Firewall

Slide 10

Slide 10 text

9 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを活用したファイアウォールの運用

Slide 11

Slide 11 text

10 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerのポリシーとリージョン AWS Firewall Managerを活用したファイアウォールの運用 AWS Firewall Manager 東京リージョン ポリシー A AWS WAF AWS Network Firewall ポリシー A 大阪リージョン ポリシー B AWS WAF AWS Network Firewall ポリシー B ポリシー A Amazon Route53 Resolver DNS Firewall バージニア北部リージョン ポリシー C AWS WAF ポリシー B Amazon Route53 Resolver DNS Firewall

Slide 12

Slide 12 text

11 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します WAF:セキュリティポリシーの設定 ◼ Web ACL Configuration設定 AWS Firewall Managerを活用したファイアウォールの運用 AWS Firewall Manager ポリシー First rule groups Last rule groups 各アカウントで作成したルールグループ が設定できる 例: Amazon IP reputation list Anonymous IP list 例: PHP application WordPress application

Slide 13

Slide 13 text

12 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します WAF:一元的に管理をしたいが柔軟性を持たせた運用がしたい ◼ アカウント単位での管理 AWS Firewall Managerを運用する上での課題 AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント アカウント A AWS WAF AWS Firewall Manager アカウント B AWS WAF アカウント C AWS WAF

Slide 14

Slide 14 text

13 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します WAF:一元的に管理をしたいが柔軟性を持たせた運用がしたい ◼ OU単位での管理 AWS Firewall Managerを運用する上での課題 AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント AWS Firewall Manager System OU A AWS WAF AWS WAF AWS WAF AWS WAF AWS WAF AWS WAF System OU B System OU C

Slide 15

Slide 15 text

14 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します WAF:一元的に管理をしたいが柔軟性を持たせた運用がしたい ◼ タグを用いた管理 ⚫ タグを用いることでさらに柔軟な制御が可能になる AWS Firewall Managerを運用する上での課題 AWS Organizations 監査アカウント AWS Firewall Manager System OU A AWS WAF タグ「FMSPolicy:WAF-Block-A」 WAFポリシー FMSPolicy:WAF-Block-A WAFポリシー FMSPolicy:WAF-Block-B AWS WAF タグ「FMSPolicy:WAF-Block-B」 System OU B AWS WAF タグ「FMSPolicy:WAF-Block-A」 AWS WAF タグ「FMSPolicy:WAF-Block-C」 WAFポリシー FMSPolicy:WAF-Block-C

Slide 16

Slide 16 text

15 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Network Firewall:セキュリティポリシーの設定 ◼ Network Firewall用のセキュリティポリシー設定 AWS Firewall Managerを活用したファイアウォールの運用 AWS Firewall Manager ポリシー Stream exception policy Stateless rule groups Stateless rule groups 例外トラフィックに対してどのよう な処理をするのか設定 ステートレスルールグループの設定 ステートレスルールグループの設定 アカウント A Network Firewall ① アカウント A Network Firewall ② アカウント B Network Firewall ① ルールセット ポリシー

Slide 17

Slide 17 text

16 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Network Firewall:対象リソースの管理 ◼ リソース単位での管理 AWS Firewall Managerを運用する上での課題 AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント アカウント A AWS Network Firewall AWS Firewall Manager アカウント B AWS Network Firewall アカウント C AWS Network Firewall

Slide 18

Slide 18 text

17 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを運用する上での課題

Slide 19

Slide 19 text

18 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 使用しないリージョンの設定 ◼ 使用しないリージョンはSCPで操作を制限する AWS Firewall Managerを運用する上での課題 東京リージョン 大阪リージョン オハイオリージョン AWS Firewall Manager AWS Firewall Manager

Slide 20

Slide 20 text

19 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを含めたセキュリティ検知を一元的に管理したい ◼ Security Hubとの連携 AWS Firewall Managerを運用する上での課題 マネジメントアカウント 監査アカウント アカウント A アカウント B AWS Control Tower 委任 AWS Security Hub AWS Firewall Manager AWS Firewall Manager AWS Firewall Manager Root OU Security OU System OU

Slide 21

Slide 21 text

20 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します リージョンを切り替えて検知内容を確認することで負担が増加している ◼ Security Hub リージョン集約 AWS Firewall Managerを運用する上での課題 AWS Security Hub 集約リージョン(東京リージョン) AWS Security Hub AWS Security Hub AWS Security Hub 東京リージョン バージニア北部リージョン オハイオリージョン

Slide 22

Slide 22 text

21 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには AWS Firewall Managerを運用する上での課題 ◼ ポリシー違反に気づく 監査アカウント AWS Security Hub AWS Security Hub AWS Security Hub AWS Security Hub メール通知 Slack通知 Backlog通知 アカウント A アカウント B アカウント C

Slide 23

Slide 23 text

22 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには ◼ 調査と分析:GuardDuty・Detectiveを使用した遮断対象の特定 AWS Firewall Managerを運用する上での課題 マネジメントアカウント 監査アカウント アカウント A アカウント B AWS Control Tower Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty 委任 Amazon Detective Root OU Security OU System OU

Slide 24

Slide 24 text

23 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには AWS Firewall Managerを運用する上での課題 ◼ 改善:検知後の対応 監査アカウント AWS Security Hub メール通知 Slack通知 Backlog通知 通知 調査・修正・抑制 CCoEチーム 開発チーム AWS Firewall Manager

Slide 25

Slide 25 text

24 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには ◼ 改善:IPリスト・ドメインリストの更新(手動) ⚫ Firewall Managerのマネジメントコンソールから手動で修正 AWS Firewall Managerを運用する上での課題 AWS Security Hub 担当者 AWS Firewall Manager AWS WAF AWS Network Firewall Route 53 Resolver DNS Firewall 検知を確認 設定を反映

Slide 26

Slide 26 text

25 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには ◼ 改善:IPリスト・ドメインリストの更新(半自動) ⚫ CSVファイルに遮断対象のIPリスト・ドメインリストをまとめて、Step Functionsで処理する ⚫ CCoE側で遮断対象のIPリスト・ドメインリストをまとめ、S3バケットにアップロードする必要がある AWS Firewall Managerを運用する上での課題 Amazon Simple Storage Service (Amazon S3) Amazon EventBridge 担当者 AWS Lambda AWS Firewall Manager ファイルアップロード

Slide 27

Slide 27 text

26 Copyright(C) NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには ◼ 改善:IPリスト・ドメインリストの更新(自動) ⚫ GuardDutyを活用した自動更新 ⚫ GuardDutyで検知された脅威をもとにIPアドレスやドメインを登録する ⚫ GuardDutyのHIGH以上の検知に絞るなど工夫はできる AWS Firewall Managerを運用する上での課題 Amazon EventBridge AWS Lambda AWS Firewall Manager Amazon GuardDuty

Slide 28

Slide 28 text

No content