AWS Firewall Managerを効果的に活用した マルチアカウント管理方法 NRIネットコム TECH AND DESIGN STUDY#38 2024年7月30日 NRIネットコム株式会社 デジタルソリューション事業本部 クラウド事業推進部 大林 優斗

1 Copyright（C） NRI Netcom, Ltd. All rights reserved. AWS Firewall Managerとは 02 AWS Firewall Managerを活用したファイアウォールの運用 03 AWS Firewall Managerを運用する上での課題と解決策 04 自己紹介 01

2 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 大林 優斗 自己紹介 ◼ 登壇者：大林 優斗 ◼ 2024 Japan AWS Jr. Champions ◼ 業務：AWSを活用したシステムの設計・開発を担当 ⚫ 450以上あるAWSアカウントに統制を効かせる ◼ AWS認定資格

3 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerとは

4 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerでファイアウォールルールを一元管理 ◼ AWS Organizations配下にあるアカウントのファイアウォールルールを一元的に管理するサービス AWS Firewall Managerとは AWS Security Hub AWS Firewall Manager AWS WAF AWS Network Firewall AWS Shield Route 53 Resolver DNS Firewall VPC Security Group

5 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを導入するメリット ◼ ファイアウォールポリシー の一元管理 ⚫ AWS WAF、AWS Network Firewall、 Route 53 Resolver DNS Firewall、AWS Shield、セキュリティグループ、を一元的に 管理できる ◼ ベースラインポリシーの設定 ⚫ ファイアウォールルールのベースラインをAWS Firewall Managerで作成できる ◼ コンプライアンス違反の特定 ⚫ 作成したベースラインポリシーからの逸脱を検出して、意図しない設定を防げる AWS Firewall Managerとは

6 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを活用する準備

7 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 前提条件 ◼ AWS Organizationsとの連携 ◼ AWS Firewall Managerの管理アカウントの設定 ◼ AWS Configの有効化 ◼ AWS Resource Access Managerの有効化 AWS Firewall Managerを活用する準備

8 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Organizationsとの連携した際の構成図 AWS Firewall Managerを活用する準備 AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント アカウント A AWS WAF AWS Network Firewall AWS Firewall Manager アカウント B AWS WAF AWS Network Firewall アカウント C AWS WAF AWS Network Firewall

9 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを活用したファイアウォールの運用

10 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerのポリシーとリージョン AWS Firewall Managerを活用したファイアウォールの運用 AWS Firewall Manager 東京リージョン ポリシー A AWS WAF AWS Network Firewall ポリシー A 大阪リージョン ポリシー B AWS WAF AWS Network Firewall ポリシー B ポリシー A Amazon Route53 Resolver DNS Firewall バージニア北部リージョン ポリシー C AWS WAF ポリシー B Amazon Route53 Resolver DNS Firewall

11 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します WAF：セキュリティポリシーの設定 ◼ Web ACL Configuration設定 AWS Firewall Managerを活用したファイアウォールの運用 AWS Firewall Manager ポリシー First rule groups Last rule groups 各アカウントで作成したルールグループ が設定できる 例： Amazon IP reputation list Anonymous IP list 例： PHP application WordPress application

12 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します WAF：一元的に管理をしたいが柔軟性を持たせた運用がしたい ◼ アカウント単位での管理 AWS Firewall Managerを運用する上での課題 AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント アカウント A AWS WAF AWS Firewall Manager アカウント B AWS WAF アカウント C AWS WAF

13 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します WAF：一元的に管理をしたいが柔軟性を持たせた運用がしたい ◼ OU単位での管理 AWS Firewall Managerを運用する上での課題 AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント AWS Firewall Manager System OU A AWS WAF AWS WAF AWS WAF AWS WAF AWS WAF AWS WAF System OU B System OU C

14 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します WAF：一元的に管理をしたいが柔軟性を持たせた運用がしたい ◼ タグを用いた管理 ⚫ タグを用いることでさらに柔軟な制御が可能になる AWS Firewall Managerを運用する上での課題 AWS Organizations 監査アカウント AWS Firewall Manager System OU A AWS WAF タグ「FMSPolicy：WAF-Block-A」 WAFポリシー FMSPolicy：WAF-Block-A WAFポリシー FMSPolicy：WAF-Block-B AWS WAF タグ「FMSPolicy：WAF-Block-B」 System OU B AWS WAF タグ「FMSPolicy：WAF-Block-A」 AWS WAF タグ「FMSPolicy：WAF-Block-C」 WAFポリシー FMSPolicy：WAF-Block-C

15 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Network Firewall：セキュリティポリシーの設定 ◼ Network Firewall用のセキュリティポリシー設定 AWS Firewall Managerを活用したファイアウォールの運用 AWS Firewall Manager ポリシー Stream exception policy Stateless rule groups Stateless rule groups 例外トラフィックに対してどのよう な処理をするのか設定 ステートレスルールグループの設定 ステートレスルールグループの設定 アカウント A Network Firewall ① アカウント A Network Firewall ② アカウント B Network Firewall ① ルールセット ポリシー

16 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します Network Firewall：対象リソースの管理 ◼ リソース単位での管理 AWS Firewall Managerを運用する上での課題 AWS Organizations AWS Organizations管理アカウント AWS Organizations 監査アカウント アカウント A AWS Network Firewall AWS Firewall Manager アカウント B AWS Network Firewall アカウント C AWS Network Firewall

17 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを運用する上での課題

18 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 使用しないリージョンの設定 ◼ 使用しないリージョンはSCPで操作を制限する AWS Firewall Managerを運用する上での課題 東京リージョン 大阪リージョン オハイオリージョン AWS Firewall Manager AWS Firewall Manager

19 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します AWS Firewall Managerを含めたセキュリティ検知を一元的に管理したい ◼ Security Hubとの連携 AWS Firewall Managerを運用する上での課題 マネジメントアカウント 監査アカウント アカウント A アカウント B AWS Control Tower 委任 AWS Security Hub AWS Firewall Manager AWS Firewall Manager AWS Firewall Manager Root OU Security OU System OU

20 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します リージョンを切り替えて検知内容を確認することで負担が増加している ◼ Security Hub リージョン集約 AWS Firewall Managerを運用する上での課題 AWS Security Hub 集約リージョン（東京リージョン） AWS Security Hub AWS Security Hub AWS Security Hub 東京リージョン バージニア北部リージョン オハイオリージョン

21 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには AWS Firewall Managerを運用する上での課題 ◼ ポリシー違反に気づく 監査アカウント AWS Security Hub AWS Security Hub AWS Security Hub AWS Security Hub メール通知 Slack通知 Backlog通知 アカウント A アカウント B アカウント C

22 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには ◼ 調査と分析：GuardDuty・Detectiveを使用した遮断対象の特定 AWS Firewall Managerを運用する上での課題 マネジメントアカウント 監査アカウント アカウント A アカウント B AWS Control Tower Amazon GuardDuty Amazon GuardDuty Amazon GuardDuty 委任 Amazon Detective Root OU Security OU System OU

23 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには AWS Firewall Managerを運用する上での課題 ◼ 改善：検知後の対応 監査アカウント AWS Security Hub メール通知 Slack通知 Backlog通知 通知 調査・修正・抑制 CCoEチーム 開発チーム AWS Firewall Manager

24 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには ◼ 改善：IPリスト・ドメインリストの更新（手動） ⚫ Firewall Managerのマネジメントコンソールから手動で修正 AWS Firewall Managerを運用する上での課題 AWS Security Hub 担当者 AWS Firewall Manager AWS WAF AWS Network Firewall Route 53 Resolver DNS Firewall 検知を確認 設定を反映

25 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには ◼ 改善：IPリスト・ドメインリストの更新（半自動） ⚫ CSVファイルに遮断対象のIPリスト・ドメインリストをまとめて、Step Functionsで処理する ⚫ CCoE側で遮断対象のIPリスト・ドメインリストをまとめ、S3バケットにアップロードする必要がある AWS Firewall Managerを運用する上での課題 Amazon Simple Storage Service (Amazon S3) Amazon EventBridge 担当者 AWS Lambda AWS Firewall Manager ファイルアップロード

26 Copyright（C） NRI Netcom, Ltd. All rights reserved. #nncstudy 転載、複製、改変等、および許諾のない二次利用を禁止します 継続的な改善に繋げるには ◼ 改善：IPリスト・ドメインリストの更新（自動） ⚫ GuardDutyを活用した自動更新 ⚫ GuardDutyで検知された脅威をもとにIPアドレスやドメインを登録する ⚫ GuardDutyのHIGH以上の検知に絞るなど工夫はできる AWS Firewall Managerを運用する上での課題 Amazon EventBridge AWS Lambda AWS Firewall Manager Amazon GuardDuty

No content