Slide 1

Slide 1 text

AWS CloudShell 禁止してみた SAKON sakon310

Slide 2

Slide 2 text

About Me • 某SIer所属、サイバーセキュリティ担当 • インシデント対応、クラウドの安全な利用、ガイドライン化 • ビルダー向けにガードレール設置する人 • 好きなAWSサービス:Organizations、Security Hub

Slide 3

Slide 3 text

CloudShell がやって来た 2020 • ヤットデタ • スペース入らない Cloud Shell CloudShell • ブラウザベースShell、端末設定不要 • 管理コンソールから1クリックで使える(要権限) New!

Slide 4

Slide 4 text

CloudShell の嬉しさ • ブラウザ集約、端末毎のキッティング不要 • LAN環境でのプロキシの穴あけが不要 • 管理コンソールの資格情報で事前認証 • Amazon Linux2 コンテナベース、無料で永続1GB

Slide 5

Slide 5 text

CloudShell でいっぱい分割できる

Slide 6

Slide 6 text

CloudShell でlol(なお画面幅 lolbanner https://gist.github.com/guan840912/f48394a1e68dcebe99272889753a5d06

Slide 7

Slide 7 text

CloudShell で PostgreSQL も動く • Pythonはデフォルト • NGINX等はExtrasライブラリに • PostgreSQLも動くぞ ➢ LT6: CloudShell内で動かしてるサービ スを公開してみた by しょーちゃん さん に期待

Slide 8

Slide 8 text

CloudShell は親切 • 改行を含むコマンドラインをペーストするとSafe Pasteがポップアップして、その場で修正できる

Slide 9

Slide 9 text

CloudShell EC2にSSH接続 https://dev.classmethod.jp/articles/aws-cloudshell-ssh-to-ec2-instance/ プロキシ申請なしでイケた

Slide 10

Slide 10 text

CloudShell EC2にSSH接続 https://dev.classmethod.jp/articles/aws-cloudshell-ssh-to-ec2-instance/ ちょっ待て

Slide 11

Slide 11 text

CloudShell は統制要件を満たせるか? • 便利過ぎてガードレール必要な雰囲気 • 何やってるか詳細がわからない、何が起こったか後からわ からないのは、統制側からは不安 • PCI DSS や FISC などの金融業界のコンプライアンス はOS領域も対象であり、$HOME だけ永続化は厳しい

Slide 12

Slide 12 text

CloudShell は踏み台になれるか? • 金融系だとBastion(踏み台)ホストも気を遣う https://iselegant.hatenablog.com/entry/2020/09/28/012409|

Slide 13

Slide 13 text

CloudShell x CloudTrail • CreateEnvironment、CreateSession、 PutCredentials、SendHeartBeat のみ • File upload / download は出ない? • 接続履歴は残る

Slide 14

Slide 14 text

CloudShell x CloudWatch • 出力なし • 操作履歴は残らない • $HOME (historyとか)を外部転送して監視? ➢ LT1: CloudShell で SSM Agent を動かす by so さん にヒントが!? 補足:AWS CLI呼ん だ場合はAPI側で出 力する 出力されないのは OSのコマンド

Slide 15

Slide 15 text

SSMセッションマネージャー x Agent 接続 出典:https://d1.awsstatic.com/webinars/jp/pdf/services/20200212_AWSBlackBelt_SystemsManager_0214.pdf

Slide 16

Slide 16 text

CloudShell でも操作履歴取りたい 出典:https://d1.awsstatic.com/webinars/jp/pdf/services/20200212_AWSBlackBelt_SystemsManager_0214.pdf 操作履歴 が欲しい

Slide 17

Slide 17 text

CloudShell の嬉しさ • ブラウザ集約、端末毎のキッティング不要 • LAN環境でのプロキシの穴あけが不要 • 管理コンソールの資格情報で事前認証 • Amazon Linux2 コンテナベース、無料で永続1GB

Slide 18

Slide 18 text

CloudShell の危うさ(裏返し) • ブラウザ集約、端末毎のキッティング不要 ➢ブラウザの操作をどう記録し、監査する? • LAN環境でのプロキシの穴あけが不要 ➢プロキシでの監査をいろいろ迂回できちゃう • 管理コンソールの資格情報で事前認証 ➢root や admin-group 、FullAccessにしてない? • Amazon Linux2 コンテナベース、無料で永続1GB ➢1GBもあればいろいろできちゃう(本番だと・・・)

Slide 19

Slide 19 text

CloudShell 禁止してみた • (現時点では) 所属組織の本番ルールを満たせず禁止 既存のSSMセッションマネージャー/Agentに寄せる • IAMポリシーから AWSCloudShellFullAccess 削除 CloudShellのアイコンは消えないが、使えなくなる https://docs.aws.amazon.com/cloudshell/latest/userguide/sec-auth-with-identities.html

Slide 20

Slide 20 text

CloudShell これがあったら禁止しなかった • 解禁にむけて欲しい機能 – 操作履歴をCloudWatchに記録 – 操作履歴をS3に記録 – アカウント毎設定ではない一括設定(AMIかCFn) – 追加の永続化ストレージ、EFSマウント • Bastionのマネージドサービスになれるかも?

Slide 21

Slide 21 text

CloudShell まとめ • コンソールと権限あれば使えるブラウザベースShell • 手軽で便利な反面、セキュリティ・統制面では注意点あり • まだまだこれから、今後に期待!(そのうちVPCリソースも) https://aws.amazon.com/jp/cloudshell/faqs/

Slide 22

Slide 22 text

Thank you! SAKON sakon310