Slide 1

Slide 1 text

初級から上級まで セキュアなAWS環境の作り⽅ AWS Summit Tokyo 1

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021 APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 4

Slide 4 text

4 アジェンダ 0. 軽い前置き 1. AWSアカウント単体をセキュアにする 2. 組織のAWS環境全体をセキュアにする 3. セキュアな環境を維持する

Slide 5

Slide 5 text

5 0. 軽い前置き

Slide 6

Slide 6 text

6 みなさんのAWS環境はセキュアですか︖ よくあるアマゾン ウェブ サービス(AWS)セキュリテ ィの⼼配 • ちゃんとベストプラクティスに沿っているかわから ない • AWS環境にどんなリソースがあるか把握していな い • 組織内でセキュリティ基準がバラバラ • そもそもセキュリティよくわからん いろんな状況があると思います

Slide 7

Slide 7 text

7 すべてのAWS利⽤者を対象に AWS環境をセキュアにする情報を ババっと10分でまとめます

Slide 8

Slide 8 text

8 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.j p/articles/aws-security- all-in-one-2021/

Slide 9

Slide 9 text

9 1. AWSアカウント単体を セキュアにする

Slide 10

Slide 10 text

10 これがセキュアなAWSアカウント

Slide 11

Slide 11 text

11 セキュアアカウントが参考になります セキュアなAWS設 定と実運⽤の例 真似していいよ︕ 無償で最初から設定 してます(宣伝) https://dev.classmethod. jp/articles/aws-security- operation-bestpractice- on-secure-account/

Slide 12

Slide 12 text

12 AWS上の証跡管理 • AWS CloudTrail • すべての管理イベント • AWS Config • すべてのリソース記録 • グローバルリソース記録 • S3バケット • ログのライフサイクル3年 • SSE-KMSによる暗号化

Slide 13

Slide 13 text

13 AWS上の証跡管理のコツ • AWS Configのグローバルリ ソース記録は東京リージョン のみ有効化する(全リージョン で⼊れると重複して記録され るため) • ライフサイクル3年は⾃社の ログ保持基準に照らし合わせ て調整する • WORMを設定すると強⼒

Slide 14

Slide 14 text

14 デフォルトのAmazon S3公開防⽌ • AWSアカウントレベルのブロックパ ブリックアクセスを有効化 • ブロックパブリックアクセスはアカウン トレベルとバケットレベルがある • アカウントレベルを設定するとAWSア カウント全体で適⽤される • うっかり公開してしまうことを防げる

Slide 15

Slide 15 text

15 デフォルトのAmazon S3公開防⽌のコツ • S3バケットに公開⽤のHTML / CSS / JavaScriptなどのWeb⽤や画像/ 動画などの静的コンテンツを配置す る場合でもCloudFrontのOrigin Access Control (OAC)を利⽤して 配信可能なので、ブロックパブリッ クアクセスを無効化しない

Slide 16

Slide 16 text

16 Amazon EBSのデフォルト暗号化 • Amazon EC2の設定ページから 「EBS 暗号化」を有効にする • デフォルトの暗号化キーを利⽤する

Slide 17

Slide 17 text

17 Amazon EBSのデフォルト暗号化のコツ • マルチテナントで様々なライフサイ クルのデータを扱う場合は、ライフ サイクルに合わせてKMSキーを作成 して個別に適⽤するといい(暗号化削 除を実施するため) • https://aws.amazon.com/jp/b logs/news/data_disposal/

Slide 18

Slide 18 text

18 パスワードポリシー強化 • パスワードの最⼩⻑: 8⽂字 • 少なくとも1つの⼤⽂字が必要 • 少なくとも1つの⼩⽂字が必要 • 少なくとも1つの数字が必要 • 少なくとも1つの英数字以外の⽂字が 必要 • ユーザーにパスワードの変更を許可

Slide 19

Slide 19 text

19 パスワードポリシー強化のコツ • ⼀番理想はIAM Userがいないこと • Okta / OneLoginなどIdPの基盤を AWSに限らず全体で使⽤し、ID管理 とアクセス制御を集約するとベスト • 次点として1つのAWSアカウントにだ けIAM Userを作るJumpアカウント ⽅式も検討する • Assume Roleしないと権限がないため、 万が⼀不正に利⽤されても何もできない

Slide 20

Slide 20 text

20 デフォルトVPCの削除 • 明⽰的な意図に合わせてVPCリソー スを作成し、利⽤するためデフォルト VPCを削除 • 既存環境であれば削除は慎重に

Slide 21

Slide 21 text

21 デフォルトVPCの削除のコツ • 特にデフォルトセキュリティグルー プが危険なので利⽤しない • 合わせて、利⽤しているVPCのデフ ォルトセキュリティグループにある インバウンドとアウトバウンドのル ール両⽅とも削除する

Slide 22

Slide 22 text

22 セキュリティサービス有効化 + チューニング • 有効化 • Amazon GuardDuty • AWS Security hub • Amazon Detective • IAM Access Analyzer

Slide 23

Slide 23 text

23 セキュリティサービスのコツ • 集約可能なら複数 AWSアカウント をまとめて集約す る • 運⽤に組み込む

Slide 24

Slide 24 text

24 セキュリティアラート整形 + 通知設定 • Amazon GuardDuty / AWS Security Hub / IAM Access Analyzerからの通知を運⽤しや すい場所(チャットなど)に送る • ⾒やすく整形する

Slide 25

Slide 25 text

25 セキュリティアラート整形 + 通知設定のコツ • 関係者が多い場所に通知してみ んなに⾒えるようにする • 関係者の当事者意識が上がり、通 知を減らし、セキュリティスコア を上げることがモチベーションに 繋がる

Slide 26

Slide 26 text

26 整形例: ⽇本語をできる限り⼊れる

Slide 27

Slide 27 text

27 2. 組織のAWS環境全体を セキュアにする

Slide 28

Slide 28 text

28 マルチアカウント管理のマネージドサービス AWS Organizations • マルチアカウント管 理のサービス • 各AWSサービスと連 携して集約管理 AWS Control Tower • AWS Organizations を活⽤したマルチアカ ウント管理のベストプ ラクティスを⾃動構成

Slide 29

Slide 29 text

29 マルチアカウント管理の⽐較 AWS Organizations AWS Control Tower 管理機能 最⼩ ID集約・ログ集約・ガードレー ル・ベンディングマシーン・その他 ⾃由度 ⾃由 ある程度決められた構成 おまかせ度 全部⾃前 ベストプラクティスに沿っておまか せ 機能追加 設定は⾃前 マルチアカウント管理に必要な機能 が追加される、ポチッと適⽤可能 コスト $ $$

Slide 30

Slide 30 text

30 AWS Control Towerの構成 • AWSのマルチア カウント管理ベス トプラクティスに 沿った構成が⾃動 で展開される • 全体の管理⽤に3 つのアカウントが ⽤意される

Slide 31

Slide 31 text

31 AWS Organizationsを使う︖ • 使わなくてもマルチアカウント管理は可能 • でも使えば各AWSサービスの集約や集中管理が簡単にで きるしAWS Control Towerも使える • AWS IAM Identity Center(旧AWS SSO)でシングル サインオンを実現可能(使わなくてもサードパーティ連携 やJumpアカウント⽅式など、別の⼿法も検討はできる) • AWS CloudFormation StackSetsで全AWSアカウント に設定を展開しやすい(使わなくてもセットアップすれば できる) • 使えるなら使うほうがいい

Slide 32

Slide 32 text

32 3. セキュアな環境を維持する

Slide 33

Slide 33 text

33 セキュアな環境の維持に必要なもの • ⾃動化されたセキュリティ運⽤の仕組み • 組織全体の利⽤者に⾏き渡るセキュリティ教育 • 組織のセキュリティ対策の⼀環としてのAWSセキ ュリティ対策 • 経営層のコミット • 組織全体へのガバナンス適⽤と運⽤をするチーム

Slide 34

Slide 34 text

34 維持運⽤の要 CCoEを組織しAWS利⽤ガイドラインを策定する CCoE AWS利⽤ガイドライン

Slide 35

Slide 35 text

35 CCoEの例

Slide 36

Slide 36 text

36 合わせて読みたい CCoEの1つの実装 例 ⽴ち上げ過程やどの ような⽅針で推進し たか解説されていま す https://dev.classmethod. jp/articles/shionogi- devshow/

Slide 37

Slide 37 text

37 合わせて読みたい クラウド推進する 組織に必要なこと が書いてある 責任者も担当者も 必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

Slide 38

Slide 38 text

38 ガイドライン作成はCCGが使える Classmethod Cloud Guidebook (CCG) ガイドラインサンプルなどアリ〼 例 例

Slide 39

Slide 39 text

39 合わせて読みたい AWSアカウント ベースライン / AWS Security Hub ガイド / ガイドラインな ど 利⽤⽅法や内容 などはこちら https://dev.classmethod. jp/articles/how-to-use- ccg/

Slide 40

Slide 40 text

40 まとめ

Slide 41

Slide 41 text

41 セキュアなAWS環境の作り⽅とは • AWSアカウント単体と • マルチアカウント管理と • 組織づくりと運⽤を頑張る

Slide 42

Slide 42 text

42