Slide 1

Slide 1 text

アカウントが増えてからでは遅い? ~ マルチアカウント統制の勘所 ~ クラスメソッド株式会社 クラウド事業本部 コンサルティング部 中村 健一

Slide 2

Slide 2 text

1. こんな課題ありませんか? 2. 対応を後回しにする辛さ 3. 3つの勘所 ① ランディングゾーン ② セキュリティガードレール ③ ユーザー管理 4. まとめ 本日のアジェンダ 2

Slide 3

Slide 3 text

アカウントが増え続ける 部署 / プロジェクトごとに無秩序発行 オーナー不明の "野良" アカウント バラバラに発行される請求書 セキュリティ設定がバラバラ アカウントごとに異なるルール 長期保管できていない監査ログ 有効化されていないセキュリティサービス 監査・ガバナンス対応で消耗 全アカウントで証跡を集めるたびに総点検 バラバラな命名規則 ユーザーが散在 消されていない退職者のユーザー 誰がどの権限で接続できるか不明 混在する外部IdP こんな課題ありませんか? 3

Slide 4

Slide 4 text

アカウント発行は 家を建てる こと ガバナンスは 建築基準法 建ててから基準を変えると 大工事 マルチアカウント管理をしていない場合の比較 観点 アカウント数 = 少 アカウント数 = 多 アカウント可視化 全部見える 知らないアカウント / オーナー特定必要 監査・証跡 手作業で集められる 手作業では厳しい セキュリティ統制 アカウント単体で完結 セキュリティレベルがバラバラ / 設定漏れ ユーザー管理 個別ユーザーで十分回る アカウントごとのユーザーが乱立 アカウントは "増える前提" で 土台から整える のが鉄則。 → AWS Organizationsを利用してマルチアカウントを統制しよう! 対応を後回しにする辛さ 4

Slide 5

Slide 5 text

重要なのは "順序" よりも "意識して始めること" ① ランディングゾーン AWS Control Tower マルチアカウントの土台を標準化 ② セキュリティガードレール AWS Security Hub CSPM 発見的統制を主役に据えた運用 ③ ユーザー管理 AWS IAM Identity Center アクセスの3要素を見える化 3つの勘所 5

Slide 6

Slide 6 text

ランディングゾーン

Slide 7

Slide 7 text

ランディングゾーンとは、 統制を効かせたマルチアカウント環境のこと 導入パターン AWS Control Tower マネージドサービス AWS ベストプラクティスに沿った環境を テンプレートを利用して整備 Custom-built landing zone 独自実装 開発 / 統合 / 保守の責任はユーザー側 個別要件向け ① ランディングゾーン AWS Control Tower の利用から始めることを 多くのお客様にオススメします 7

Slide 8

Slide 8 text

AWS Organizations + ベストプラクティスを束ねたマネージドラッパー AWS Control Tower のポイント ランディングゾーン の自動セットアップ (Log Archive / Audit etc...) コントロール(予防/検出/プロアクティブ)を OU 単位で適用 Account Factory で 標準化された新規アカウント発行 ダッシュボード で OU・アカウントの 統制状況を一元可視化 ランディングゾーンの実態 管理アカウント AWS IAM Identity Center AWS Control Tower AWS Service Catalog AWS CloudFormation AWS Organizations Security OU 監査アカウント Amazon Simple Notification Service (Amazon SNS) Amazon Simple Storage Service (Amazon S3) AWS Config ログアーカイブアカウント Amazon Simple Storage Service (Amazon S3) Workloads OU / Sandbox OU メンバーアカウント AWS Identity and Access Management (IAM) AWS Config AWS CloudTrail AWS CloudFormation ① AWS Control Tower で土台を作る 8

Slide 9

Slide 9 text

拡張オプション 項目 IaC 種類 AWS Control Tower 要否 AWS CloudFormation StackSets AWS CloudFormation 不要 Customizations for AWS Control Tower (CfCT) AWS CloudFormation 必要 Account Factory Customization (AFC) AWS Service Catalog 必要 Account Factory for Terraform (AFT) Terraform 必要 Baseline Environment on AWS CDK 必要 AWS Backup のオプトイン Central Backup / Backup Administrator アカウントの作成 保管庫、IAMロール、バックアッププラン等、自動作成 早く始めるほど吉 後回しにすると既存アカウントの登録時に影響調査が大変 ① ランディングゾーンを最適化する 9

Slide 10

Slide 10 text

セキュリティガードレール

Slide 11

Slide 11 text

AWS Control Tower 有効化では AWSセキュリティサービスは一元管理されない 組織として セキュリティベースラインの設計が必要 統制方法 サービス 考え方 予防 SCP (Service Control Policy) 開発効率を考慮し、必要最低限の制限に絞る 発見 AWS Security Hub CSPM まず検出を行い、既存環境の弱点を特定する。必要に応じて予防に切り替え。 予防的統制は必要最低限に絞り、 発見的統制を主役に据えて運用する 検出 → 通知 → 是正 の流れを整備 ② セキュリティガードレール 11

Slide 12

Slide 12 text

AWS Security Hub CSPM を中心として検出結果を一元管理 AWS Security Hub CSPM AWSのリソースをセキュリティ標準に照らして自動評価し、 複数のAWSセキュリティサービスの検出結果をマルチアカウント横断で一元管理するサービス 各種セキュリティサービスの統合例 Amazon GuardDuty Amazon Inspector AWS IAM Access Analyzer 中央設定で組織全体にポリシーを一括配布 中央設定 AWS Cloud メンバーアカウント 東京リージョン IAM Access Analyzer AWS Security Hub CSPM Amazon GuardDuty Amazon Inspector Audit アカウント 東京リージョン IAM Access Analyzer AWS Security Hub CSPM Amazon GuardDuty Amazon Inspector ② AWSセキュリティサービスの統合 12

Slide 13

Slide 13 text

検出結果を集約 → 通知文面をカスタマイズ → メール等で通知 AWS Control Towerが提供するデフォルト通知構成も存在。 ただし、デフォルト設定では AWS Config 変更内容をJSON形式でメール配信となる。 → マネージドサービスを組み合わせた独自実装にて通知をカスタマイズ 東京リージョン AWS Security Hub CSPM Default event bus Rule Rule Rule AWS Step Functions Custom event bus Rule AWS Step Functions メール通知⽤ Amazon Simple Notification Service (Amazon SNS) Mail ② アラート通知 13

Slide 14

Slide 14 text

ユーザー管理

Slide 15

Slide 15 text

アカウント増 × メンバー増 管理コストが掛け算で増加 AWS IAM Identity Center で一元管理 AWS Organizations配下のすべてのアカウントに対するアクセスを一元管理するサービス 第一歩: 認証元(IDソース)を 1 つ選ぶ 既存のIdPがある → 外部IdPとして連携 新規 → Identity Center ディレクトリ 第二歩: アクセス設計 ユーザー AWS IAM Identity Center AWS Cloud アカウントA Role アカウントB Role アカウントC Role サインイン ③ ユーザー管理 15

Slide 16

Slide 16 text

アクセス設計のポイントは、3 要素を見える化 すること AWS IAM Identity Center を利用してアカウントに接続するためには、 下記の要素を組み合わせて、権限の割り当てが必要である。 3 要素 or グループ ユーザー 誰 ( ユーザー / グループ) どこ (AWS アカウント) 許可 どの権限 ( 許可セット) アカウント X X ③ 「誰 / どこ / どの権限」 16

Slide 17

Slide 17 text

アクセスの3要素を整理したグループ設計とすることで 権限の割り当て実態を一目で識別 → 棚卸しやインシデント対応などの運用を効率化 命名規則: AWS_<グループ>_<接続先>_<役割> AWS … AWS 関連グループのプレフィックス グループ(誰) … 会社やチーム 接続先(どこ) … AWSアカウント 役割(どの権限) … 割り当てる権限 命名例 グループ名 意味 AWS_CM_All_Viewer CM社が全アカウントに対する閲覧権限をもつ AWS_SOC_Security_Admin SOCチームがSecurity OUに対する管理者権限を持つ AWS_DEV_Sandbox_Developer 開発チームがサンドボックス環境に対する開発権限をもつ ③ グループ設計 17

Slide 18

Slide 18 text

まとめ

Slide 19

Slide 19 text

アカウントが増えてからでは遅い? 3 つの勘所: ① ランディングゾーン — AWS Control Tower ② セキュリティガードレール — AWS Security Hub CSPM ③ ユーザー管理 — AWS IAM Identity Center "今" から始めてみませんか? 3 つの勘所 19

Slide 20

Slide 20 text

ランディングゾーン What is a landing zone? (AWS Prescriptive Guidance) Building a landing zone (AWS Prescriptive Guidance) AWS Organizations User Guide AWS Control Tower User Guide AWS Black Belt - AWS Control Tower Basics (2023) ランディングゾーン拡張オプション AWS CloudFormation StackSets — DevelopersIO Customizations for AWS Control Tower (CfCT) — DevelopersIO Account Factory Customization (AFC) — DevelopersIO Account Factory for Terraform (AFT) — DevelopersIO Baseline Environment on AWS — GitHub セキュリティガードレール AWS Security Hub User Guide Service Control Policies (SCP) 【CloudFormation】Security Hubに集約した検出結果 を整形して通知する仕組みを実装してみた — DevelopersIO ユーザー管理 AWS IAM Identity Center User Guide 参考資料 20

Slide 21

Slide 21 text

No content