初級から上級までセキュアなAWS環境の作り方

by cm-usuda-keisuke

Slide 1

Slide 1 text

初級から上級までセキュアなAWS環境の作り⽅ AWS Summit Tokyo 1

Slide 2

Slide 2 text

2 こんにちは、⾅⽥です。みなさん、 AWSのセキュリティ対策してますか︖(挨拶

Slide 3

Slide 3 text

3 ⾃⼰紹介⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部シニアソリューションアーキテクトセキュリティチームリーダー AWS公認インストラクター 2021 APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

Slide 4

Slide 4 text

4 アジェンダ 0. 軽い前置き 1. AWSアカウント単体をセキュアにする 2. 組織のAWS環境全体をセキュアにする 3. セキュアな環境を維持する

Slide 5

Slide 5 text

5 0. 軽い前置き

Slide 6

Slide 6 text

6 みなさんのAWS環境はセキュアですか︖ よくあるアマゾンウェブサービス(AWS)セキュリティの⼼配 • ちゃんとベストプラクティスに沿っているかわからない • AWS環境にどんなリソースがあるか把握していない • 組織内でセキュリティ基準がバラバラ • そもそもセキュリティよくわからんいろんな状況があると思います

Slide 7

Slide 7 text

7 すべてのAWS利⽤者を対象に AWS環境をセキュアにする情報をババっと10分でまとめます

Slide 8

Slide 8 text

8 合わせて読みたいセキュリティ対策はだいたいここに全部ある https://dev.classmethod.j p/articles/aws-security- all-in-one-2021/

Slide 9

Slide 9 text

9 1. AWSアカウント単体をセキュアにする

Slide 10

Slide 10 text

10 これがセキュアなAWSアカウント

Slide 11

Slide 11 text

11 セキュアアカウントが参考になりますセキュアなAWS設定と実運⽤の例真似していいよ︕ 無償で最初から設定してます(宣伝) https://dev.classmethod. jp/articles/aws-security- operation-bestpractice- on-secure-account/

Slide 12

Slide 12 text

12 AWS上の証跡管理 • AWS CloudTrail • すべての管理イベント • AWS Config • すべてのリソース記録 • グローバルリソース記録 • S3バケット • ログのライフサイクル3年 • SSE-KMSによる暗号化

Slide 13

Slide 13 text

13 AWS上の証跡管理のコツ • AWS Configのグローバルリソース記録は東京リージョンのみ有効化する(全リージョンで⼊れると重複して記録されるため) • ライフサイクル3年は⾃社のログ保持基準に照らし合わせて調整する • WORMを設定すると強⼒

Slide 14

Slide 14 text

14 デフォルトのAmazon S3公開防⽌ • AWSアカウントレベルのブロックパブリックアクセスを有効化 • ブロックパブリックアクセスはアカウントレベルとバケットレベルがある • アカウントレベルを設定するとAWSアカウント全体で適⽤される • うっかり公開してしまうことを防げる

Slide 15

Slide 15 text

15 デフォルトのAmazon S3公開防⽌のコツ • S3バケットに公開⽤のHTML / CSS / JavaScriptなどのWeb⽤や画像/ 動画などの静的コンテンツを配置する場合でもCloudFrontのOrigin Access Control (OAC)を利⽤して配信可能なので、ブロックパブリックアクセスを無効化しない

Slide 16

Slide 16 text

16 Amazon EBSのデフォルト暗号化 • Amazon EC2の設定ページから「EBS 暗号化」を有効にする • デフォルトの暗号化キーを利⽤する

Slide 17

Slide 17 text

17 Amazon EBSのデフォルト暗号化のコツ • マルチテナントで様々なライフサイクルのデータを扱う場合は、ライフサイクルに合わせてKMSキーを作成して個別に適⽤するといい(暗号化削除を実施するため) • https://aws.amazon.com/jp/b logs/news/data_disposal/

Slide 18

Slide 18 text

18 パスワードポリシー強化 • パスワードの最⼩⻑: 8⽂字 • 少なくとも1つの⼤⽂字が必要 • 少なくとも1つの⼩⽂字が必要 • 少なくとも1つの数字が必要 • 少なくとも1つの英数字以外の⽂字が必要 • ユーザーにパスワードの変更を許可

Slide 19

Slide 19 text

19 パスワードポリシー強化のコツ • ⼀番理想はIAM Userがいないこと • Okta / OneLoginなどIdPの基盤を AWSに限らず全体で使⽤し、ID管理とアクセス制御を集約するとベスト • 次点として1つのAWSアカウントにだけIAM Userを作るJumpアカウント⽅式も検討する • Assume Roleしないと権限がないため、万が⼀不正に利⽤されても何もできない

Slide 20

Slide 20 text

20 デフォルトVPCの削除 • 明⽰的な意図に合わせてVPCリソースを作成し、利⽤するためデフォルト VPCを削除 • 既存環境であれば削除は慎重に

Slide 21

Slide 21 text

21 デフォルトVPCの削除のコツ • 特にデフォルトセキュリティグループが危険なので利⽤しない • 合わせて、利⽤しているVPCのデフォルトセキュリティグループにあるインバウンドとアウトバウンドのルール両⽅とも削除する

Slide 22

Slide 22 text

22 セキュリティサービス有効化 + チューニング • 有効化 • Amazon GuardDuty • AWS Security hub • Amazon Detective • IAM Access Analyzer

Slide 23

Slide 23 text

23 セキュリティサービスのコツ • 集約可能なら複数 AWSアカウントをまとめて集約する • 運⽤に組み込む

Slide 24

Slide 24 text

24 セキュリティアラート整形 + 通知設定 • Amazon GuardDuty / AWS Security Hub / IAM Access Analyzerからの通知を運⽤しやすい場所(チャットなど)に送る • ⾒やすく整形する

Slide 25

Slide 25 text

25 セキュリティアラート整形 + 通知設定のコツ • 関係者が多い場所に通知してみんなに⾒えるようにする • 関係者の当事者意識が上がり、通知を減らし、セキュリティスコアを上げることがモチベーションに繋がる

Slide 26

Slide 26 text

26 整形例: ⽇本語をできる限り⼊れる

Slide 27

Slide 27 text

27 2. 組織のAWS環境全体をセキュアにする

Slide 28

Slide 28 text

28 マルチアカウント管理のマネージドサービス AWS Organizations • マルチアカウント管理のサービス • 各AWSサービスと連携して集約管理 AWS Control Tower • AWS Organizations を活⽤したマルチアカウント管理のベストプラクティスを⾃動構成

Slide 29

Slide 29 text

29 マルチアカウント管理の⽐較 AWS Organizations AWS Control Tower 管理機能最⼩ ID集約・ログ集約・ガードレール・ベンディングマシーン・その他⾃由度⾃由ある程度決められた構成おまかせ度全部⾃前ベストプラクティスに沿っておまかせ機能追加設定は⾃前マルチアカウント管理に必要な機能が追加される、ポチッと適⽤可能コスト $ $$

Slide 30

Slide 30 text

30 AWS Control Towerの構成 • AWSのマルチアカウント管理ベストプラクティスに沿った構成が⾃動で展開される • 全体の管理⽤に3 つのアカウントが⽤意される

Slide 31

Slide 31 text

31 AWS Organizationsを使う︖ • 使わなくてもマルチアカウント管理は可能 • でも使えば各AWSサービスの集約や集中管理が簡単にできるしAWS Control Towerも使える • AWS IAM Identity Center(旧AWS SSO)でシングルサインオンを実現可能(使わなくてもサードパーティ連携やJumpアカウント⽅式など、別の⼿法も検討はできる) • AWS CloudFormation StackSetsで全AWSアカウントに設定を展開しやすい(使わなくてもセットアップすればできる) • 使えるなら使うほうがいい

Slide 32

Slide 32 text

32 3. セキュアな環境を維持する

Slide 33

Slide 33 text

33 セキュアな環境の維持に必要なもの • ⾃動化されたセキュリティ運⽤の仕組み • 組織全体の利⽤者に⾏き渡るセキュリティ教育 • 組織のセキュリティ対策の⼀環としてのAWSセキュリティ対策 • 経営層のコミット • 組織全体へのガバナンス適⽤と運⽤をするチーム

Slide 34

Slide 34 text

34 維持運⽤の要 CCoEを組織しAWS利⽤ガイドラインを策定する CCoE AWS利⽤ガイドライン

Slide 35

Slide 35 text

35 CCoEの例

Slide 36

Slide 36 text

36 合わせて読みたい CCoEの1つの実装例⽴ち上げ過程やどのような⽅針で推進したか解説されています https://dev.classmethod. jp/articles/shionogi- devshow/

Slide 37

Slide 37 text

37 合わせて読みたいクラウド推進する組織に必要なことが書いてある責任者も担当者も必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

Slide 38

Slide 38 text

38 ガイドライン作成はCCGが使える Classmethod Cloud Guidebook (CCG) ガイドラインサンプルなどアリ〼例例

Slide 39

Slide 39 text

39 合わせて読みたい AWSアカウントベースライン / AWS Security Hub ガイド / ガイドラインなど利⽤⽅法や内容などはこちら https://dev.classmethod. jp/articles/how-to-use- ccg/

Slide 40

Slide 40 text

40 まとめ

Slide 41

Slide 41 text

41 セキュアなAWS環境の作り⽅とは • AWSアカウント単体と • マルチアカウント管理と • 組織づくりと運⽤を頑張る