Slide 1

Slide 1 text

組織的なクラウド統制のはじめの⼀歩 〜AWS のクラウド統制サービスの紹介〜 2023.4.5 AWS事業本部 コンサルティング部 yhana、たかやま 1

Slide 2

Slide 2 text

2 本日話す内容と話さない内容 話す内容 話さない内容 CCoEに役立つAWSサービスの紹介 各サービスの具体的な設定内容

Slide 3

Slide 3 text

3 アカウント管理

Slide 4

Slide 4 text

4 アカウント管理 AWSの推奨はマルチアカウント戦略 複数のワークロードが存在する環境の場合、 https://aws.amazon.com/jp/blogs/news/best-practices-for-organizational-units-with-aws-organizations/

Slide 5

Slide 5 text

5 アカウント管理 そもそもなぜ複数アカウントの管理が必要なのか? 要件の異なるプロジェクト要望への対応 柔軟なセキュリティ制御 請求の簡素化

Slide 6

Slide 6 text

6 Organiza(ons AWS Organizations AWS Organizationsは、複数のAWSアカウントを一元管理することができるサービス Organizational unit(OU)の単位で組織設計することができる Organizationsを利用することで他のAWSサービスで組織機能が利用できる Service control policy(SCP)でOU/アカウント単位でアクセス制御

Slide 7

Slide 7 text

7 Organizations 〜OU〜 Classmethod Cloud Guidebookでサンプル例 OU設計の一例 Security OU : CloudTrail,ConJgのログ集約 Security Hub,GuardDutyのイベント集約 Infrastructure OU : 共通インフラの構築 Workload OU : 個別システムの構築 Organizational unit(OU)は、AWS Organizations内のアカウントのグループで、類似した役 割や目的を持つアカウントを組織化するために使用されます。 OU設計はAWS Organizationsを利用する上でキモになる部分 組織に合わせたOU設計の検討が必要ですが、ベストプラクティスは存在します

Slide 8

Slide 8 text

8 Organiza(ons 〜SCP〜 Service Control Policy(SCP)は、組織内のOUやアカウントにアタッチすること ができる機能で、そのアカウントまたはOU内のすべてのアカウントのアクセス許可を 管理できます。 SCP

Slide 9

Slide 9 text

9 Organizations 〜SCP〜 SCPでよく制御するポリシー例 利用料の高いサービス(Shield Advance,高額EC2など)の利用禁止 特定リージョンの利用禁止 etc... 特定サービスの無効化/設定変更を禁止

Slide 10

Slide 10 text

11 Organizations 〜連携サービス〜 Security Hub GuardDuty Organizationsを利用することで他のAWSサービスで組織機 能が利用できる Detective etc... https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html

Slide 11

Slide 11 text

12 ユーザー管理

Slide 12

Slide 12 text

13 ユーザー管理 マルチアカウントでAWS環境へアクセスするユーザ ここでいうユーザ管理は、

Slide 13

Slide 13 text

14 各アカウントにIAMユーザー作成する マルチアカウント管理におけるユーザ管理のアンチパターン ユーザー管理

Slide 14

Slide 14 text

15 ユーザー管理 アンチパターンの理由 IAMユーザーは個人に紐付くサービスであり、運用が複雑化する パスワード管理が困難になる 権限管理が困難になる

Slide 15

Slide 15 text

16 マルチアカウントでのユーザ管理3選

Slide 16

Slide 16 text

17 AWS IAM Identity Center Organizationsと連携して、ユーザー毎のアクセス権限を一元管理する機能 ログイン画面例 ユースケース : Organizations利用環境でAWSアカウントのアクセス権限を集中管理したい (既存IDプロバイダーが存在する場合は、IDストアに利用することも可能)

Slide 17

Slide 17 text

18 IAMユーザーからスイッチロール IAMユーザー管理用アカウント(Jumpアカウント)を用意して 各アカウントへスイッチロールする方法 ユースケース : Organizations利用できない環境でAWSアカウントのアクセス権限を集中管理したい

Slide 18

Slide 18 text

19 既存IDプロバイダーからIAM SAML https://pages.awscloud.com/rs/112-TZM-766/images/20200722_AWSBlackbelt_aws_sso.pdf 既存IDプロバイダー(Azure AD, Oktaなど)がある場合に、 既存IDプロバイダーの認証情報を使って各アカウントへアクセスする方法 ユースケース : Organizations利用できない環境で既存IDプロバイダーを利用してAWSにアクセスしたい

Slide 19

Slide 19 text

20 ログ管理

Slide 20

Slide 20 text

21 ログ分類の例 システムログ : 上記以外で、システムの動作が記録されたログ 監査ログ : 環境やシステムに対する操作履歴が記録されたログ (操作者、操作内容を含む) 業務ログ : アプリケーションによる業務処理や取引結果が記録されたログ (処理内容、処理ID等を含む)

Slide 21

Slide 21 text

22 どこまでCCoEが統制を効かせるか🤔

Slide 22

Slide 22 text

23 監査ログをCCoEが統制し、 それ以外を各システム管理者が管理というのがよくあるパターン

Slide 23

Slide 23 text

24 監査ログにもとめられること 完全性: 監査ログが改ざんされていないことを保証 可用性: 利用者が必要なときに安全にアクセスできる 機密性: 限られた人だけが情報に接触できるように制限 保存期間: 法的要件、規制要件、企業ポリシーに基づいた保存

Slide 24

Slide 24 text

25 AWS上の監査に役立つサービス

Slide 25

Slide 25 text

26 AWS CloudTrail AWS CloudTrail ユーザー、ロール、またはAWSのサービスによって実行されたアクションを記録 デフォルト90日間記録、90日を超えるログを記録する場合は証跡を作成する Organizationsと連携して「組織の証跡」を作成できる

Slide 26

Slide 26 text

27 AWS CloudTrail どのユーザーが、どんなイベントを、いつ実行しているのか確認できる ※デフォルトログではデータイベント/Insightsイベントは記録されません。 ・ データイベント : S3オブジェクトAPI(PutObject, DeleteObject...)、Lambda 実行API(Invoke)、DynamoDBオブジェクトAPI(PutItem, DeleteItem...) ・ Insightsイベント : 管理イベントのAPIコールボ リュームの計測値が、通常 のパターンから外れた場合 に⽣成

Slide 27

Slide 27 text

28 AWS CloudTrail コンソールで確認できるのは90日間まで。 90日以上保存したい場合は「証跡」を作成して、保存する必要がある データ/Insightsイベントはここを有効して記録

Slide 28

Slide 28 text

29 AWS CloudTrail マルチアカウント環境で統制を効かせる場合は、Organizationsと連携して「組織 の証跡」を作成できる

Slide 29

Slide 29 text

30 AWS Config AWS Config AWSのリソースの構成変更履歴を収集、管理、評価するサービス デフォルト無効化のため、有効化する必要あり Organizationsと連携して「Aggregator」を作成できる

Slide 30

Slide 30 text

31 AWS Config AWSのリソースの構成変更履歴を収集、管理、評価するサービス 評価(Configルール) 収集/管理(リソースタイムライン) マネージドルール : AWSが提供するConJgルール カスタムルール : ユーザが独自に作成するConfigルール https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/manag ed-rules-by-aws-config.html

Slide 31

Slide 31 text

32 AWS Config デフォルト無効化のため、有効化する必要あり ポイント : グローバルリソースを含める設定は1リージョンにする 複数リージョンのConfigでグローバルリソースを収集すると記録が重複し無駄なコストが発生する https://dev.classmethod.jp/articles/config-global-resources-one-region/

Slide 32

Slide 32 text

33 AWS Config Organizationsと連携して「Aggregator」を作成できる

Slide 33

Slide 33 text

34 ログ集約のアカウント構成例 監査/ログアーカイブのリソー スを 削除できないSCPを適用

Slide 34

Slide 34 text

35 フォレンジック環境 ログ保管ができたらSIEMを使いできるフォレンジック環境の用意する SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch-service Sumo Logic

Slide 35

Slide 35 text

36 セキュリティ管理

Slide 36

Slide 36 text

37 Amazon GuardDuty Amazon GuardDuty 継続的にモニタリングし、悪意のあるアクティビティを検出するサービス

Slide 37

Slide 37 text

38 Amazon GuardDuty 継続的にモニタリングし、悪意のあるアクティビティを検出 オプション保護 デフォルトではEC2/IAMのイベント検出 - C&Cサーバとの通信 - EC2インスタンスの認証情報の外部アカウント利用の検出 - S3 Protection(デフォルト有効) - EKS Protection(デフォルト有効) - Malware Protection - RDS Protection

Slide 38

Slide 38 text

39 AWS Security Hub AWS Security Hub セキュリティサービスを中央集権的に管理することもできる 基準に従ってセキュリティチェックするサービス

Slide 39

Slide 39 text

40 AWS Security Hub 基準に従ってセキュリティチェックする機能 5つのセキュリティ基準が提供されている(2023/4/5時点) 前提条件としてAWS Configを有効化する必要がある 「AWS基礎セキュリティのベストプラクティス」が網羅的にチェックしており とりあえず有効しておくのがオススメ 検出結果の対応方法は随時ブログ化中 https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/

Slide 40

Slide 40 text

41 AWS Security Hub セキュリティサービスを中央集権的に管理するサービス 統合機能でAWSサービス/3rdパーティ製品を中央集権的に管理できる GuardDutyを取り込んだ例 統合したサービスはSecurity Hub経由して通知ができる https://dev.classmethod.jp/articles/guardduty-notification-via-securityhub/

Slide 41

Slide 41 text

42 https://dev.classmethod.jp/articles/learn-from-past-cases-of-using-aws-security-services/

Slide 42

Slide 42 text

43 Amazon Detective Amazon Detective AWSリソースからログや監査ログなど自動収集し、セキュリティインシデントを 分析できるサービス ※SIEMとの違い サポートしているデータソースは限られており、 設計特性上GuardDuty起点での調査にフォーカスをあてている - CloudTrailログ - VPCフローログ - GuardDuty - EKS監査ログ(オプション)

Slide 43

Slide 43 text

44 Amazon Detec(ve Detectiveによるセキュリティインシデント分析 https://dev.classmethod.jp/articles/akiba-aws-online-04-detective/

Slide 44

Slide 44 text

45 Control Tower

Slide 45

Slide 45 text

46 Control Tower AWS Control Tower Control Tower は Organizations を前提として利用するサービス SCP、AWS Config、AWS CloudTrailなどを用いてAWSのベストプラク ティスに基づいたルールを設定し、Control Towerマネージドに各アカウン トの統制を制御する

Slide 46

Slide 46 text

47 Control Tower https://classmethod.jp/articles/aws-control-tower/ Control Towerのアーキテクチャと統制内容 セキュリティ統制 Control Towerが用意するコントロール(ガードレール) で予防的/発見的コントロールを適用を徹底できる ログの一元管理 CloudTrail/Configのログを自動有効、集約する 完全性/可用性/機密性の確保 SCPによるSecurity OUへの改ざんを保護 可用性の高いS3にログを保存 IAM Identiy Centerによるアクセスの集約管理

Slide 47

Slide 47 text

48 マネージドである反面、企業ポリシーに適合 しないことも

Slide 48

Slide 48 text

49 組織管理プラン Organizations管理、Control Towerの適用で お悩みの方のご相談お待ちしています

Slide 49

Slide 49 text

50 Classmethod Cloud Guidebook

Slide 50

Slide 50 text

AWS利用ガイドラインのサンプル提供 51

Slide 51

Slide 51 text

52 AWS Security Hubガイド

Slide 52

Slide 52 text

53