Infrastructure as Code でセキュリティを楽にしよう！

Slide 1

Slide 1 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. Infrastructure as Code でセキュリティを楽にしよう︕ A W S D E V E L O P E R L I V E S H O W 2 0 2 4 • ⾼野賢司松本雅博シニアソリューションアーキテクトアマゾンウェブサービスジャパン合同会社中島智広シニアセキュリティソリューションアーキテクトアマゾンウェブサービスジャパン合同会社シニアソリューションアーキテクトアマゾンウェブサービスジャパン合同会社

Slide 2

Slide 2 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow 2 ⾼野賢司松本雅博中島智広シニアソリューションアーキテクトシニアソリューションアーキテクトシニアセキュリティソリューションアーキテクト Infrastructure as Code DevOps / 開発全般セキュリティスペシャリストに聞いてみたいことや感想は #AWSDevLiveShow にどんどんポストしてください︕ "Tom"

Slide 3

Slide 3 text

Slide 4

Slide 4 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow 今⽇のトピック⼈とデータを分離することでセキュリティと俊敏性を両⽴環境分離 ... って実際どうなの︖ 最⼩権限の原則⼿続きではなく宣⾔的なコードによって⾃動化やレビューを楽にする⾃動化とレビュー ※ Infrastructure as Code (IaC) ツールやクラウドサービス固有のトピックは扱いません

Slide 5

Slide 5 text

Slide 6

Slide 6 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow ⼿動構築による環境のブラックボックス化設計書構築⼿順書 v2 変更 B * " もし B の設定が XX だったら... " 構築⼿順書 v1 追加 B + 追加 A + 構築⼿順書 v3 追加 C + 削除 A - 検証環境 B * C + A - 本番環境 B * C + A - 設定ミス B * C + A - 開発環境⼿動構築 • 変更が積み重なると現在の状態がわからなくなる • 条件分岐やロールバック操作の網羅は困難 • 操作ミスの可能性が排除できず環境の⼀貫性を担保できない ?

Slide 7

Slide 7 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow Infrastructure as Code (IaC) とは︖ ⼿動ではなく、コードによってインフラストラクチャの管理やプロビジョニングを⾏うプロセスソースコード IaC ツールクラウドリソースリソースはこの状態であるべき（宣⾔的）⽬的の状態に収束 IaC は、開発と運⽤の両⽅に共通⾔語を提供します。変更は透明性のある⽅法でレビューできるため、 DevOps 環境でのコラボレーションが促進されます。 https://aws.amazon.com/jp/what-is/iac/

Slide 8

Slide 8 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow あるとき • 環境の状態をすぐに調査できる • 複数の環境で⼀貫性がある • チェックやレビューが⾃動化できる • 修正をすばやく適⽤できるないとき • 環境の状態が不透明 • 設定ミスや差異が発⽣しうる • ⼈が⼿続きをレビューする • 修正の適⽤に時間がかかるセキュリティの観点で IaC が…

Slide 9

Slide 9 text

Slide 10

Slide 10 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow IaC で環境分離を簡単にするサンドボックス環境アカウント分離リスク評価に応じたデータ分離 + 開発環境本番環境アラートと⾃動修復 • AWS Security Hub • AWS Config • Amazon Inspector 予防的統制パイプラインにのみ変更を許可 • CloudFormation Hooks + 発⾒的統制 + • 本番環境にあらかじめセキュリティ統制を設定（ランディングゾーンの構築） • サンドボックス環境に本番と同じ構成をデプロイし、開発者が⾃由に実験できる CI/CD パイプライン

Slide 11

Slide 11 text

Slide 12

Slide 12 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow 事故（障害）は起こるだから、障害志向のパターンやメンタルモデルを取り⼊れる障害を起こしてはいけない障害が起きることを前提に備える障害が起きても⾃信をもって対応できるこれまでこれから? Robust Resilient Continuous Resilience

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow IaC で⾃動化とレビューを簡単にする CI/CD パイプライン IaC セキュリティ • Amazon CodeGuru Security • Trivy • Snyk IaC ポリシー検査 • CloudFormation Guard • cdk-nag + + ピアレビューコードで変更を確認 • セキュリティ • ロールバック可能性 • Observability + Git リポジトリ開発環境 • IaC でコード化されることにより、ツールによる⾃動検査や⽣成 AI が利⽤可能に • CI/CD パイプラインから⾃動デプロイすることで⼈をデータから遠ざける Amazon Q Developer ⽣成 AI によるコーディング⽀援とセキュリティスキャン + サンドボックス環境本番環境

Slide 17

Slide 17 text

Slide 18

Slide 18 text

Slide 19

Slide 19 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow AWS Well-Architected DevOps Guidance Amazon および AWS がサービスを提供する中で得た知識最新テクノロジーと DevOps ベストプラクティスを活⽤し、⼤きなビジネス価値を提供できる、俊敏でセキュリティに重点を置いた企業⽂化を育むための構造化されたアプローチ AWS Well-Architected DevOps Guidance https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/devops-guidance/devops-guidance.html

Slide 20

Slide 20 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow ツールによる⾃動化や AI で負担を減らすレビュイーレビュアー • Formatter でコードを⾃動整形（Prettier など） • Linter で構⽂エラーや潜在バグを検出（ESLint など） • SAST で脆弱性を検出（Amazon CodeGuru Security など） • Policy as Code で逸脱を検出（CloudFormation Guard など） ①ツールで事前にチェック、対応 ②ビジネスロジックなどに集中 AI エージェントへの相談やレビュー依頼

Slide 21

Slide 21 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow 宣⾔的なコード: あるべき状態と意図を伝える Resources: MyBucket: Type: AWS::S3::Bucket MyUser: Type: AWS::IAM::User MyUserPolicy: Type: AWS::IAM::Policy Properties: PolicyDocument: Statement: - Action: - s3:GetObject* - s3:GetBucket* - s3:List* Effect: Allow Resource: - Fn::GetAtt: [ MyBucket, Arn ] - Fn::Sub: "${MyBucket.Arn}/*" Version: "2012-10-17" PolicyName: MyUserPolicy Users: - Ref: MyUser const bucket = new s3.Bucket(this, 'MyBucket'); const user = new iam.User(this, 'MyUser'); bucket.grantRead(user); AWS CDK (TypeScript) AWS CloudFormation (YAML) IAM User Bucket 読み取り • AWS CDK は grantRead などの抽象化されたメソッドで意図が伝わりやすい • 複雑な IAM ポリシーを書かずに最⼩権限化 • AWS Well-Architected Framework DevOps Guidance でも推奨されている

Slide 22

Slide 22 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow IaC によるセキュリティ強化の全体像 • IaC でコード化されることにより追加のセキュリティレイヤーと透明性のある変更管理が利⽤可能になる • CI/CD パイプラインから⾃動デプロイすることで⼈をデータから遠ざけるサンドボックス環境アカウント分離リスク評価に応じたデータ分離 + CI/CD パイプライン IaC セキュリティ • Amazon CodeGuru Security • Trivy • Snyk IaC ポリシー検査 • CloudFormation Guard • cdk-nag + + 本番環境発⾒的統制アラートと⾃動修復 • AWS Security Hub • AWS Config • Amazon Inspector 予防的統制パイプラインにのみ変更を許可 • CloudFormation Hooks + + ピアレビューコードで変更を確認 • セキュリティ • ロールバック可能性 • Observability + Git リポジトリ開発環境 Amazon Q Developer ⽣成 AI によるコーディング⽀援とセキュリティスキャン +

Slide 23

Slide 23 text

Slide 24

Slide 24 text

Slide 25

Slide 25 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow 最⼩権限の原則はなんのため︖ 最⼩権限の原則とは、情報セキュリティや計算機科学などの分野において、コンピューティング環境の特定の抽象化レイヤー内で全てのモジュール（主題によっては、プロセス、ユーザー、プログラム）がその正当な⽬的に必要とされる情報と計算資源のみにアクセスできるように制限する設計原則である https://ja.wikipedia.org/wiki/最⼩権限の原則システム安定性の向上システムセキュリティの向上ソフトウェアデプロイメントの容易化⽬的 / ベネフィット

Slide 26

Slide 26 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow 最⼩権限の原則はなんのため︖（つづき）実際には、真の最⼩権限の原則を適⽤することはほとんど不可能に近い。今のところ、あるプロセスの実⾏に必要とされる最⼩権限を求める⽅法が確⽴されていない。 https://ja.wikipedia.org/wiki/最⼩権限の原則

Slide 27

Slide 27 text

Slide 28

Slide 28 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow IaC における IAM 権限では AWS CloudFormation Permissions Role Stack Stack Lambda function ? assumeRole 操作 IaC サービスの実⾏ロールの最⼩権限 IaC で作られる IAM Principal の最⼩権限 Permissions Role assumeRole 実⾏ ? 最⼩権限は実現できる最⼩権限の実現には考慮が必要

Slide 29

Slide 29 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow リソースの権限を最⼩化するには IaC が有効 Lambda function Permissions Role IAM Role の作成が⾯倒だったり開発者が作成権限を持っていなかったりすると最⼤公約数的な Role が共有されやすい Lambda function Permissions Role リソースごとに固有の IAM Role をたくさん作成するには IaC が有効 AWS IAM Access Analyzer も活⽤できる

Slide 30

Slide 30 text

Slide 31

Slide 31 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow 最⼩権限は原則として⼤切にしようどうすれば楽をできるか︖ ⼀般に、楽であること＝シンプル • ⾔葉から受けるイメージ先⾏で考えてしまうとよりよい選択肢を⾒失う可能性 • 「ほとんど不可能に近い」といわれていることを知るところからスタート • たとえば、影響分離やその他の⼿法を組み合わせて、権限管理に依存する割合を減らしていくこと

Slide 32

Slide 32 text

© 2024, Amazon Web Services, Inc. or its affiliates. All rights reserved. < #AWSDevLiveShow まとめ⼈とデータを分離することでセキュリティと俊敏性を両⽴セキュリティの基本設定（ランディングゾーン）も IaC で構築環境分離原則は⼤事にしながらも環境分離や⾃動化など他の⼿法を併⽤してシンプルにリソースの最⼩権限化には IaC が有効最⼩権限の原則⼿続きではなく宣⾔的なコードによって⾃動化やレビューを楽にする⾃動化とレビュー