Slide 1
Slide 1 text
組織的なクラウド統制のはじめの⼀歩
〜AWS のクラウド統制サービスの紹介〜
2023.4.5
AWS事業本部 コンサルティング部 yhana、たかやま
1
Slide 2
Slide 2 text
2
本日話す内容と話さない内容
話す内容
話さない内容
CCoEに役立つAWSサービスの紹介
各サービスの具体的な設定内容
Slide 3
Slide 3 text
3
アカウント管理
Slide 4
Slide 4 text
4
アカウント管理
AWSの推奨はマルチアカウント戦略
複数のワークロードが存在する環境の場合、
https://aws.amazon.com/jp/blogs/news/best-practices-for-organizational-units-with-aws-organizations/
Slide 5
Slide 5 text
5
アカウント管理
そもそもなぜ複数アカウントの管理が必要なのか?
要件の異なるプロジェクト要望への対応
柔軟なセキュリティ制御
請求の簡素化
Slide 6
Slide 6 text
6
Organiza(ons
AWS Organizations
AWS Organizationsは、複数のAWSアカウントを一元管理することができるサービス
Organizational unit(OU)の単位で組織設計することができる
Organizationsを利用することで他のAWSサービスで組織機能が利用できる
Service control policy(SCP)でOU/アカウント単位でアクセス制御
Slide 7
Slide 7 text
7
Organizations 〜OU〜
Classmethod Cloud Guidebookでサンプル例
OU設計の一例
Security OU : CloudTrail,ConJgのログ集約
Security Hub,GuardDutyのイベント集約
Infrastructure OU : 共通インフラの構築
Workload OU : 個別システムの構築
Organizational unit(OU)は、AWS Organizations内のアカウントのグループで、類似した役
割や目的を持つアカウントを組織化するために使用されます。
OU設計はAWS Organizationsを利用する上でキモになる部分
組織に合わせたOU設計の検討が必要ですが、ベストプラクティスは存在します
Slide 8
Slide 8 text
8
Organiza(ons 〜SCP〜
Service Control Policy(SCP)は、組織内のOUやアカウントにアタッチすること
ができる機能で、そのアカウントまたはOU内のすべてのアカウントのアクセス許可を
管理できます。
SCP
Slide 9
Slide 9 text
9
Organizations 〜SCP〜
SCPでよく制御するポリシー例
利用料の高いサービス(Shield Advance,高額EC2など)の利用禁止
特定リージョンの利用禁止
etc...
特定サービスの無効化/設定変更を禁止
Slide 10
Slide 10 text
11
Organizations 〜連携サービス〜
Security Hub
GuardDuty
Organizationsを利用することで他のAWSサービスで組織機
能が利用できる
Detective
etc...
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html
Slide 11
Slide 11 text
12
ユーザー管理
Slide 12
Slide 12 text
13
ユーザー管理
マルチアカウントでAWS環境へアクセスするユーザ
ここでいうユーザ管理は、
Slide 13
Slide 13 text
14
各アカウントにIAMユーザー作成する
マルチアカウント管理におけるユーザ管理のアンチパターン
ユーザー管理
Slide 14
Slide 14 text
15
ユーザー管理
アンチパターンの理由
IAMユーザーは個人に紐付くサービスであり、運用が複雑化する
パスワード管理が困難になる
権限管理が困難になる
Slide 15
Slide 15 text
16
マルチアカウントでのユーザ管理3選
Slide 16
Slide 16 text
17
AWS IAM Identity Center
Organizationsと連携して、ユーザー毎のアクセス権限を一元管理する機能
ログイン画面例
ユースケース : Organizations利用環境でAWSアカウントのアクセス権限を集中管理したい
(既存IDプロバイダーが存在する場合は、IDストアに利用することも可能)
Slide 17
Slide 17 text
18
IAMユーザーからスイッチロール
IAMユーザー管理用アカウント(Jumpアカウント)を用意して
各アカウントへスイッチロールする方法
ユースケース : Organizations利用できない環境でAWSアカウントのアクセス権限を集中管理したい
Slide 18
Slide 18 text
19
既存IDプロバイダーからIAM SAML
https://pages.awscloud.com/rs/112-TZM-766/images/20200722_AWSBlackbelt_aws_sso.pdf
既存IDプロバイダー(Azure AD, Oktaなど)がある場合に、
既存IDプロバイダーの認証情報を使って各アカウントへアクセスする方法
ユースケース : Organizations利用できない環境で既存IDプロバイダーを利用してAWSにアクセスしたい
Slide 19
Slide 19 text
20
ログ管理
Slide 20
Slide 20 text
21
ログ分類の例
システムログ : 上記以外で、システムの動作が記録されたログ
監査ログ : 環境やシステムに対する操作履歴が記録されたログ
(操作者、操作内容を含む)
業務ログ : アプリケーションによる業務処理や取引結果が記録されたログ
(処理内容、処理ID等を含む)
Slide 21
Slide 21 text
22
どこまでCCoEが統制を効かせるか🤔
Slide 22
Slide 22 text
23
監査ログをCCoEが統制し、
それ以外を各システム管理者が管理というのがよくあるパターン
Slide 23
Slide 23 text
24
監査ログにもとめられること
完全性: 監査ログが改ざんされていないことを保証
可用性: 利用者が必要なときに安全にアクセスできる
機密性: 限られた人だけが情報に接触できるように制限
保存期間: 法的要件、規制要件、企業ポリシーに基づいた保存
Slide 24
Slide 24 text
25
AWS上の監査に役立つサービス
Slide 25
Slide 25 text
26
AWS CloudTrail
AWS CloudTrail
ユーザー、ロール、またはAWSのサービスによって実行されたアクションを記録
デフォルト90日間記録、90日を超えるログを記録する場合は証跡を作成する
Organizationsと連携して「組織の証跡」を作成できる
Slide 26
Slide 26 text
27
AWS CloudTrail
どのユーザーが、どんなイベントを、いつ実行しているのか確認できる
※デフォルトログではデータイベント/Insightsイベントは記録されません。
・ データイベント : S3オブジェクトAPI(PutObject, DeleteObject...)、Lambda 実行API(Invoke)、DynamoDBオブジェクトAPI(PutItem, DeleteItem...)
・ Insightsイベント : 管理イベントのAPIコールボ リュームの計測値が、通常 のパターンから外れた場合 に⽣成
Slide 27
Slide 27 text
28
AWS CloudTrail
コンソールで確認できるのは90日間まで。
90日以上保存したい場合は「証跡」を作成して、保存する必要がある
データ/Insightsイベントはここを有効して記録
Slide 28
Slide 28 text
29
AWS CloudTrail
マルチアカウント環境で統制を効かせる場合は、Organizationsと連携して「組織
の証跡」を作成できる
Slide 29
Slide 29 text
30
AWS Config
AWS Config
AWSのリソースの構成変更履歴を収集、管理、評価するサービス
デフォルト無効化のため、有効化する必要あり
Organizationsと連携して「Aggregator」を作成できる
Slide 30
Slide 30 text
31
AWS Config
AWSのリソースの構成変更履歴を収集、管理、評価するサービス
評価(Configルール)
収集/管理(リソースタイムライン)
マネージドルール : AWSが提供するConJgルール
カスタムルール : ユーザが独自に作成するConfigルール
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/manag
ed-rules-by-aws-config.html
Slide 31
Slide 31 text
32
AWS Config
デフォルト無効化のため、有効化する必要あり
ポイント : グローバルリソースを含める設定は1リージョンにする
複数リージョンのConfigでグローバルリソースを収集すると記録が重複し無駄なコストが発生する
https://dev.classmethod.jp/articles/config-global-resources-one-region/
Slide 32
Slide 32 text
33
AWS Config
Organizationsと連携して「Aggregator」を作成できる
Slide 33
Slide 33 text
34
ログ集約のアカウント構成例
監査/ログアーカイブのリソー
スを
削除できないSCPを適用
Slide 34
Slide 34 text
35
フォレンジック環境
ログ保管ができたらSIEMを使いできるフォレンジック環境の用意する
SIEM on Amazon OpenSearch Service
https://github.com/aws-samples/siem-on-amazon-opensearch-service
Sumo Logic
Slide 35
Slide 35 text
36
セキュリティ管理
Slide 36
Slide 36 text
37
Amazon GuardDuty
Amazon GuardDuty
継続的にモニタリングし、悪意のあるアクティビティを検出するサービス
Slide 37
Slide 37 text
38
Amazon GuardDuty
継続的にモニタリングし、悪意のあるアクティビティを検出
オプション保護
デフォルトではEC2/IAMのイベント検出
- C&Cサーバとの通信
- EC2インスタンスの認証情報の外部アカウント利用の検出
- S3 Protection(デフォルト有効)
- EKS Protection(デフォルト有効)
- Malware Protection
- RDS Protection
Slide 38
Slide 38 text
39
AWS Security Hub
AWS Security Hub
セキュリティサービスを中央集権的に管理することもできる
基準に従ってセキュリティチェックするサービス
Slide 39
Slide 39 text
40
AWS Security Hub
基準に従ってセキュリティチェックする機能
5つのセキュリティ基準が提供されている(2023/4/5時点)
前提条件としてAWS Configを有効化する必要がある
「AWS基礎セキュリティのベストプラクティス」が網羅的にチェックしており
とりあえず有効しておくのがオススメ
検出結果の対応方法は随時ブログ化中
https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/
Slide 40
Slide 40 text
41
AWS Security Hub
セキュリティサービスを中央集権的に管理するサービス
統合機能でAWSサービス/3rdパーティ製品を中央集権的に管理できる
GuardDutyを取り込んだ例
統合したサービスはSecurity Hub経由して通知ができる
https://dev.classmethod.jp/articles/guardduty-notification-via-securityhub/
Slide 41
Slide 41 text
42
https://dev.classmethod.jp/articles/learn-from-past-cases-of-using-aws-security-services/
Slide 42
Slide 42 text
43
Amazon Detective
Amazon Detective
AWSリソースからログや監査ログなど自動収集し、セキュリティインシデントを
分析できるサービス
※SIEMとの違い
サポートしているデータソースは限られており、
設計特性上GuardDuty起点での調査にフォーカスをあてている
- CloudTrailログ
- VPCフローログ
- GuardDuty
- EKS監査ログ(オプション)
Slide 43
Slide 43 text
44
Amazon Detec(ve
Detectiveによるセキュリティインシデント分析
https://dev.classmethod.jp/articles/akiba-aws-online-04-detective/
Slide 44
Slide 44 text
45
Control Tower
Slide 45
Slide 45 text
46
Control Tower
AWS Control Tower
Control Tower は Organizations を前提として利用するサービス
SCP、AWS Config、AWS CloudTrailなどを用いてAWSのベストプラク
ティスに基づいたルールを設定し、Control Towerマネージドに各アカウン
トの統制を制御する
Slide 46
Slide 46 text
47
Control Tower
https://classmethod.jp/articles/aws-control-tower/
Control Towerのアーキテクチャと統制内容
セキュリティ統制
Control Towerが用意するコントロール(ガードレール)
で予防的/発見的コントロールを適用を徹底できる
ログの一元管理
CloudTrail/Configのログを自動有効、集約する
完全性/可用性/機密性の確保
SCPによるSecurity OUへの改ざんを保護
可用性の高いS3にログを保存
IAM Identiy Centerによるアクセスの集約管理
Slide 47
Slide 47 text
48
マネージドである反面、企業ポリシーに適合
しないことも
Slide 48
Slide 48 text
49
組織管理プラン
Organizations管理、Control Towerの適用で
お悩みの方のご相談お待ちしています
Slide 49
Slide 49 text
50
Classmethod Cloud Guidebook
Slide 50
Slide 50 text
AWS利用ガイドラインのサンプル提供 51
Slide 51
Slide 51 text
52
AWS Security Hubガイド
Slide 52
Slide 52 text
53