AWS CloudShell 禁止してみた SAKON sakon310 

About Me • 某SIer所属、サイバーセキュリティ担当 • インシデント対応、クラウドの安全な利用、ガイドライン化 • ビルダー向けにガードレール設置する人 • 好きなAWSサービス：Organizations、Security Hub 

CloudShell がやって来た 2020 • ヤットデタ • スペース入らない Cloud Shell CloudShell • ブラウザベースShell、端末設定不要 • 管理コンソールから１クリックで使える（要権限） New! 

CloudShell の嬉しさ • ブラウザ集約、端末毎のキッティング不要 • LAN環境でのプロキシの穴あけが不要 • 管理コンソールの資格情報で事前認証 • Amazon Linux2 コンテナベース、無料で永続1GB 

CloudShell でいっぱい分割できる 

CloudShell でlol（なお画面幅 lolbanner https://gist.github.com/guan840912/f48394a1e68dcebe99272889753a5d06 

CloudShell で PostgreSQL も動く • Pythonはデフォルト • NGINX等はExtrasライブラリに • PostgreSQLも動くぞ ➢ LT6: CloudShell内で動かしてるサービ スを公開してみた by しょーちゃん さん に期待 

CloudShell は親切 • 改行を含むコマンドラインをペーストするとSafe Pasteがポップアップして、その場で修正できる 

CloudShell EC2にSSH接続 https://dev.classmethod.jp/articles/aws-cloudshell-ssh-to-ec2-instance/ プロキシ申請なしでイケた 

CloudShell EC2にSSH接続 https://dev.classmethod.jp/articles/aws-cloudshell-ssh-to-ec2-instance/ ちょっ待て 

CloudShell は統制要件を満たせるか？ • 便利過ぎてガードレール必要な雰囲気 • 何やってるか詳細がわからない、何が起こったか後からわ からないのは、統制側からは不安 • PCI DSS や FISC などの金融業界のコンプライアンス はOS領域も対象であり、$HOME だけ永続化は厳しい 

CloudShell は踏み台になれるか？ • 金融系だとBastion（踏み台）ホストも気を遣う https://iselegant.hatenablog.com/entry/2020/09/28/012409｜ 

CloudShell x CloudTrail • CreateEnvironment、CreateSession、 PutCredentials、SendHeartBeat のみ • File upload / download は出ない？ • 接続履歴は残る 

CloudShell x CloudWatch • 出力なし • 操作履歴は残らない • $HOME (historyとか)を外部転送して監視？ ➢ LT1: CloudShell で SSM Agent を動かす by so さん にヒントが！？ 補足：AWS CLI呼ん だ場合はAPI側で出 力する 出力されないのは OSのコマンド 

SSMセッションマネージャー x Agent 接続 出典：https://d1.awsstatic.com/webinars/jp/pdf/services/20200212_AWSBlackBelt_SystemsManager_0214.pdf 

CloudShell でも操作履歴取りたい 出典：https://d1.awsstatic.com/webinars/jp/pdf/services/20200212_AWSBlackBelt_SystemsManager_0214.pdf 操作履歴 が欲しい 

CloudShell の嬉しさ • ブラウザ集約、端末毎のキッティング不要 • LAN環境でのプロキシの穴あけが不要 • 管理コンソールの資格情報で事前認証 • Amazon Linux2 コンテナベース、無料で永続1GB 

CloudShell の危うさ（裏返し） • ブラウザ集約、端末毎のキッティング不要 ➢ブラウザの操作をどう記録し、監査する？ • LAN環境でのプロキシの穴あけが不要 ➢プロキシでの監査をいろいろ迂回できちゃう • 管理コンソールの資格情報で事前認証 ➢root や admin-group 、FullAccessにしてない？ • Amazon Linux2 コンテナベース、無料で永続1GB ➢1GBもあればいろいろできちゃう（本番だと・・・） 

CloudShell 禁止してみた • (現時点では) 所属組織の本番ルールを満たせず禁止 既存のSSMセッションマネージャー/Agentに寄せる • IAMポリシーから AWSCloudShellFullAccess 削除 CloudShellのアイコンは消えないが、使えなくなる https://docs.aws.amazon.com/cloudshell/latest/userguide/sec-auth-with-identities.html 

CloudShell これがあったら禁止しなかった • 解禁にむけて欲しい機能 – 操作履歴をCloudWatchに記録 – 操作履歴をS3に記録 – アカウント毎設定ではない一括設定（AMIかCFn） – 追加の永続化ストレージ、EFSマウント • Bastionのマネージドサービスになれるかも？ 

CloudShell まとめ • コンソールと権限あれば使えるブラウザベースShell • 手軽で便利な反面、セキュリティ・統制面では注意点あり • まだまだこれから、今後に期待！（そのうちVPCリソースも） https://aws.amazon.com/jp/cloudshell/faqs/ 

Thank you! SAKON sakon310