AWSアカウント管理のベストプラクティス

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Copyright © IDS Corporation. All rights reserved. 4 Confidential 4 アジェンダ  第1部・AWSのマルチアカウント管理とは？・AWS Organizationsから考えるマルチアカウント管理のベストプラクティス・マルチアカウント管理のセキュリティ強化～AWS Well-Architected Framework～  第2部・トレンドマイクロ社の「Cloud One Workload Security」を用いたセキュリティ強化サービス

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Copyright © IDS Corporation. All rights reserved. 6 Confidential 6 Why？マルチアカウント管理？こんなお悩みありませんか  お客様ごとにAWSアカウントを分ける必要が出てきた  さまざまなAWSサービスでセンシティブな情報を扱う必要が出てきた  社内の部門毎、プロジェクト毎にアカウントを分けた方がいい？  さまざまな部門関係者/ベンダーが関わる大規模PJになりそう

Slide 7

Slide 7 text

Copyright © IDS Corporation. All rights reserved. 7 Confidential 7 AWSでは、個別アカウントごとにワークロードを整理し、機能、コンプライアンス要件、共通のコントロールセットに基づいてアカウントをグループ化することを推奨しています AWSでのマルチアカウント管理 AWS Organizations ✔アカウント作成後の制御を自動化 ✔ワークロードの要件と目的に応じた異なる環境の組織単位 (OU) でアカウントをグループ化

Slide 8

Slide 8 text

Slide 9

Slide 9 text

Copyright © IDS Corporation. All rights reserved. 9 Confidential 9 どのOUを分ければよい？ SCPについての定義サービスコントロールポリシー（SCP）を OUに対し設定することで、そのOUに紐づく全ての AWSアカウントに各AWSアカウントのルートユーザー権限でも操作できない強力なポリシーを強制することができます。 OUを分ける前に考えたい・・・プロダクトおよびソフトウェア開発ライフサイクル (SDLC)

Slide 10

Slide 10 text

Copyright © IDS Corporation. All rights reserved. 10 Confidential 10 プロダクトおよびソフトウェア開発ライフサイクル (SDLC) 【前提】本番ワークロードと非本番環境以外ではポリシー要件が異なる非本番環境 (SDLC) と本番環境 (Prod) のネストされた OU をもつことが多い。非本番環境のアカウントから本番環境への依存関係を持つべきではない

Slide 11

Slide 11 text

Copyright © IDS Corporation. All rights reserved. 11 Confidential 11 OUの分け方（例）例）本番環境と非本番環境でOUを区別する場合 •Prod OU • Prod Account •SDCL OU • stg Account • dev Account  インフラストラクチャOU (Infrastructure) ネットワークや IT サービスなどの共有インフラストラクチャサービス  セキュリティ（Security）OU セキュリティ関連のアクセスおよびサービスをホスト

Slide 12

Slide 12 text

Copyright © IDS Corporation. All rights reserved. 12 Confidential 12 OUの分け方（例）さらに踏み込んで  OU: サンドボックス (Sandbox) 個々の技術者の AWS アカウントを対象とし、 AWS のサービスの学習用  OU: ワークロード (Workloads) ソフトウェアライフサイクルに関連する AWS アカウントが作成される OU

Slide 13

Slide 13 text

Copyright © IDS Corporation. All rights reserved. 13 Confidential 13 特に気をつけたいセキュリティOU Security OU は基本となる OU です。セキュリティ組織は、この OU を子OU および関連するアカウントとともに所有・管理が推奨です！  ログアーカイブ：Log archive  セキュリティツーリング：Security tooling  セキュリティの読み取り専用アクセス： Security read-only access  セキュリティブレークグラス：Security break-glass

Slide 14

Slide 14 text

Slide 15

Slide 15 text

Slide 16

Slide 16 text

Slide 17

Slide 17 text

Copyright © IDS Corporation. All rights reserved. 17 Confidential 17 Control Towerまず有効化してみよう AWS Control Tower がランディングゾーンに対して求める許可を行う。  ランディングゾーンは、Well-Architected によるマルチアカウントの AWS 環境で、セキュリティとコンプライアンスのベストプラクティスに基づいています。

Slide 18

Slide 18 text

Copyright © IDS Corporation. All rights reserved. 18 Confidential 18 Landing Zoneとは？ Landing Zoneでできること  マルチアカウント環境をセットアップ  AWS IAM アイデンティティセンターを使ったID 管理やフェデレーティッドアクセス  AWS CloudTrail のログや、Amazon Simple Storage Service (Amazon S3) に保存される AWS Config のログを集中管理  AWS IAM アイデンティティセンター (AWS SSO の後継) を使用してクロスアカウントのセキュリティ監査

Slide 19

Slide 19 text

Copyright © IDS Corporation. All rights reserved. 19 Confidential 19 ガードレールとは？ガードレールは、セキュリティ、オペレーション、コンプライアンス向けの事前にパッケージ化されたガバナンスルールです。利用者が「どのようなルールを？」「何のために？」有効化するのかを選択します。特定のガバナンスポリシーが AWS 環境に適用され、AWS Organizations の組織単位 (OU) 内で有効になります。

Slide 20

Slide 20 text

Slide 21

Slide 21 text

Copyright © IDS Corporation. All rights reserved. 21 Confidential 21 予防用および検出用ガードレールを有効活用する  予防用および検出用のガードレール •AWS CloudFormation を使用して基本設定を確立する •サービスコントロールポリシー (予防用ガードレール向け) を使用して基盤となる実装への設定変更を防止する •AWS Config ルール (検出用ガードレール向け) を使用して設定変更を継続的に検出する •AWS Control Tower ダッシュボードでガードレールのステータスを更新する

Slide 22

Slide 22 text

Copyright © IDS Corporation. All rights reserved. 22 Confidential 22 2つのガードレール  必須ガードレール例 •AWS Control Tower や AWS CloudFormation で設定された AWS IAM ロールの変更を不許可にする •ログアーカイブの公開読み取りアクセス設定の検出 •ログアーカイブの AWS Control Tower で作成された Amazon S3 バケットのバケットポリシーの変更を許可しない •クロスリージョンのネットワークを禁止する

Slide 23

Slide 23 text

Copyright © IDS Corporation. All rights reserved. 23 Confidential 23 2つのガードレール  任意ガードレール例 •Amazon S3 バケットへの公開書き込みアクセスが許可されているかどうかの検出 •ルートユーザーの MFA が有効であるかどうかの検出 •Amazon EC2 インスタンスに接続された Amazon EBS ボリュームの暗号化が有効であるかどうかの検出

Slide 24

Slide 24 text

Slide 25

Slide 25 text

Slide 26

Slide 26 text

Slide 27

Slide 27 text

Slide 28

Slide 28 text

Copyright © IDS Corporation. All rights reserved. 28 Confidential 28 Trend Micro Cloud One Workload Securityの必要性についてクラウドセキュリティは責任共有モデルに基づくデータ暗号化通信の保護アプリケーションオペレーティングシステム・ネットワークデータ・コンテンツ類 Foundation Services Compute Storage Database Networking Global Infrastructure Regions Domains, Availability Zones サービスのインフラ部分コンピューティングストレージデータベースネットワークグローバルインフラリージョンドメインなど Cloud Provider 利用者の責任

Slide 29

Slide 29 text

Slide 30

Slide 30 text

Copyright © IDS Corporation. All rights reserved. 30 Confidential 30 Amazon EC2 インスタンスの脆弱性診断を実施しリスクを可視化してくれるサービス。ウェブアプリケーションファイヤーウォール。 SQL インジェクションやクロスサイトスクリプティングなどの一般的な攻撃パターンをブロックするセキュリティルールを作成できる、もしくはManaged Serviceでルールを契約できる。 AWS CloudTrail、 VPC フローログ、 DNSログを主なソースとし、悪意のあるアクティビティを脅威検出するサービス。脆弱性対策に活用できるAWSサービスとその特徴

Slide 31

Slide 31 text

Copyright © IDS Corporation. All rights reserved. 31 Confidential 31 診断サービスのため通信の遮断は行わない。 WAFのため、 OS/ミドルウェアを狙う攻撃や、すり抜けてホストに到達したものは監視できない検出ソースに通信のデータ部分は含まないので、脆弱性を狙う攻撃コードなどは検知できない。 “防御”という観点で注意が必要なポイント Cloud One Workload Securityにて解決・パッチが適用できない期間のセキュリティリスク・OS/ミドルウェアの脆弱性すり抜け時のセキュリティリスク・脆弱性を狙う攻撃からの防御

Slide 32

Slide 32 text

Copyright © IDS Corporation. All rights reserved. 32 Confidential 32 クラウドワークロードセキュリティ市場シェア 4年連続No.1※ トレンドマイクロは、IDC の調査でクラウドワークロードセキュリティ市場において、2位のベンダーと比較して 3倍近い市場シェアを保持し、最も高いシェア※を占めています。 ※ 出典: IDC, Worldwide Cloud Workload Security Market Shares, 2021 Prepare for a Wild Ride (Published July 2022) Worldwide Cloud Workload Security Market Shares, 2021: Prepare for a Wild Ride(Published July 2022) 「Trend Micro Cloud One™は、ソースコードリポジトリ、コンテナイメージ、サーバレス、ファイルストレージ、ワークロードなど多岐にまたがる、Software-Defined Compute環境上に構築されたワークロードとアプリケーションを保護するプラットフォームです。」（本レポートより）

Slide 33

Slide 33 text

Copyright © IDS Corporation. All rights reserved. 33 Confidential 33 Trend Micro Cloud One Workload Securityの運用代行・初期構築お客様のクラウド環境における Cloud One – Workload Security の構築を行ないます。また、侵入検知/変更監視/セキュリティログ監視のためのルール設定（IDS標準）も代行します。・運用保守 Cloud One – Workload Security のアラート監視を24時間365日リモートで行ない、アラートが確認された場合、お客さま指定の連絡先にお伝えします。加えて、Cloud One – Workload Security ログを分析し、定期的にレポートを提出します。初期費用 ¥100,000（税抜き）月額費用（運用保守） ¥5,000/インスタンス（税抜き） 初期費用は、6インスタンスまでとする。 月額費用は、別途、基本料金¥20,000が月額かかります。

Slide 34

Slide 34 text

Copyright © IDS Corporation. All rights reserved. 34 Confidential 34 Trend Micro Cloud One Workload Securityの運用代行 Trend Micro Cloud Oneのご利用料はAWS Market Place からAWS利用料とまとめて毎月のお支払いが可能です。通常、割引提供がないところ、Sunny Pay加入いただいた場合、5%割引をご提供いたします。 ※利用料について、正式情報は以下サイトよりご確認をお願いいたします。 https://aws.amazon.com/marketplace/pp/prodview-g232pyu6l55l4 Micro-Med EC2 インスタンス, WorkSpace, Other Cloud 1 vCPU/1時間あたり $0.011 / unit 約1,000円/月/インスタンス Large EC2 インスタンス, Other Cloud 2 vCPU/1時間あたり $0.032 / unit 約3,000円/月/インスタンス XL以上のEC2インスタンス , Other Cloud 4+ vCPU/1時間あたり $0.047 / unit 約4,500円/月/インスタンス

Slide 35

Slide 35 text

Slide 36

Slide 36 text

Copyright © IDS Corporation. All rights reserved. 36 Confidential 36 1100 ご利用実績プロジェクト以上 2011年のサービス開始から、のべ1100以上のシステムでAWS をご利用頂いています。 5 AWS利用料％引きビジネスサポートも無料になり、当社サービスの利用だけで、最大15％安くAWSをご利用いただけます。お得なだれでも AWSインフラ保険安心万が一を保証します万が一AWSに障害が発生した際の損害保険が無料付帯されます。 AWS責任共有モデルのAWS責任部分を補償します。本セキュリティ運用サービスの加入には、「AWS請求代行（リセール）サービス Sunny Pay」が必要です。

Slide 37

Slide 37 text

Copyright © IDS Corporation. All rights reserved. 37 Confidential • 支援実績500社以上のが AWS活用におけるリセール（請求代行）からアプリケーション構築、AWS構築支援、運用保守まで総合的に支援します。 • 新規のAWSアカウント作成はもちろんすでにお使いのAWSアカウントもアカウントの移管なしでそのままご利用いただけます。 AWSをご利用の方はぜひご相談ください AWS アドバンストティアサービスパートナーの認定を継続維持 AWS事業の全エンジニアが AWS認定資格を取得しています