Slide 1

Slide 1 text

AWS全体のセキュリティ管理と 快適なセキュリティ運⽤ 2022/04/08 AWSトレーニング・⼈材育成ウェビナー 今あなたが学ぶべきAWSセキュリティ

Slide 2

Slide 2 text

2 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター APN Ambassador ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon Detective みんなのAWS (技術評論社)

Slide 3

Slide 3 text

3 セッションテーマ AWSセキュリティを理解して 便利に運⽤しよう

Slide 4

Slide 4 text

4 対象者 • AWSを直接使う⼈ • AWSを使う仕組みを作る⼈ • AWSを使える⼈を育成する⼈ • だいたい全員

Slide 5

Slide 5 text

5 持ち帰ってもらう事 • AWSを直接使う⼈ • 絶対おさえておくAWSセキュリティ基礎 • AWSを使う仕組みを作る⼈ • 組織の仕組みに組み込むセキュリティ • AWSを使える⼈を育成する⼈ • AWS学習のお役⽴ちコンテンツ

Slide 6

Slide 6 text

6 アジェンダ 1. AWSセキュリティの基本 2. 便利なAWSセキュリティサービス 3. 組織で整備する仕組み

Slide 7

Slide 7 text

7 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

Slide 8

Slide 8 text

8 合わせて読みたい AWS Skill Builderで 無料のEラーニングが たくさんあるので活⽤ する https://dev.classmetho d.jp/articles/aws- skillbuilder/

Slide 9

Slide 9 text

9 1. AWSセキュリティの基本

Slide 10

Slide 10 text

10 AWS上で発⽣した事故から学ぶ • AWS利⽤でよく発⽣するインシデント • EC2でコインマイニング • S3の情報漏えい • どちらも権限管理(アクセス制御)の問題

Slide 11

Slide 11 text

11 AWSセキュリティの基本の1つ AWSにおける権限管理を理解する

Slide 12

Slide 12 text

12 AWSで実現できることは⾮常に広範囲 AWS の クラウドが選ばれる 10 の理由 | AWS https://aws.amazon.com/jp/aws-ten-reasons/

Slide 13

Slide 13 text

13 AWSの可能性は無限⼤ • 様々なアプローチにAWSが活⽤できる • ⾯倒なことはAWSに任せてビジネスに集中できる • 反⾯、何でも出来ることに気をつける必要がある • まず権限管理から始める

Slide 14

Slide 14 text

14 権限管理のポイント • IAM(Identity and Access Management) • AWS上のアクセス制御サービス • 最⼩権限の原則を意識して設定する • アクセスキー/シークレットアクセスキーを守る • S3 • オブジェクトストレージのサービス • 重要なデータが保存されている場所を認識する • データを直接公開しない • ブロックパブリックアクセスを有効化する

Slide 15

Slide 15 text

15 合わせて読みたい すべての開発者はgit- secretsを導⼊する 意図せずアクセス キーをGitにコミット することを防⽌でき る https://dev.classmethod.jp/artic les/startup-git-secrets/

Slide 16

Slide 16 text

16 合わせて読みたい ブロックパブリック アクセスの機能によ りすべてのS3バ ケットの誤った公開 を防⽌できる https://dev.classmeth od.jp/articles/s3- block-public-access/

Slide 17

Slide 17 text

17 実際のインシデントの事例 GitHubに乗ってから10分で悪⽤された No 時間 状況 1 00:00 お客様がPoweruser権限のアクセスキーをPublicなGitHubリポジ トリにPush 2 00:10 当該アクセスキーを利⽤した不正な操作が⾏われる 3 00:30 AWS様からの連絡を受け、弊社からお客様へアクセスキーが漏 洩した旨、および、対応⽅法をご連絡(電話、メール) 4 01:00 当該キー経由で作成されたリソースを全て削除 5 XX:XX IAMユーザーのアクセスキーをローテーション 5 XX:XX IAMユーザーのパスワードをローテーション

Slide 18

Slide 18 text

18 実際のインシデントの事例 実際にアクセス キーが漏洩した ときに何が起き たか記録したブ ログ https://dev.class method.jp/articl es/accesskey- leak/

Slide 19

Slide 19 text

19 AWSを利⽤する⼤前提 すべてのAWS利⽤者は AWSの基本的なセキュリティを 理解する必要がある

Slide 20

Slide 20 text

20 無料のデジタルトレーニングを活⽤する • すべてのAWS利⽤者に以下を受講してもらう • Introduction to AWS Identity and Access Management (IAM) (Japanese) (⽇本語吹き替え版) • 10分の簡単なIAMの概要 • https://explore.skillbuilder.aws/learn/course/external/view/elearning/5843/introduction-to- aws-identity-and-access-management-iam-japanese-ri-ben-yu-chuiki-tie-ban • AWS Foundations: Securing Your AWS Cloud (Japanese) (⽇本語吹き替え版) • 50分のAWSセキュリティの基本 • https://explore.skillbuilder.aws/learn/course/internal/view/elearning/1356/aws-foundations- securing-your-aws-cloud-japanese-ri-ben-yu-chuiki-tie-ban

Slide 21

Slide 21 text

21 合わせて読みたい 「AWS利⽤開始時に 最低限おさえておき たい10のこと」 最初に知るべきこと がまとまっている公 式の資料 https://pages.awscloud.com/eve nt_JAPAN_at-least-10- ondemand.html?trk=aws_event_ page

Slide 22

Slide 22 text

22 2. 便利なAWSセキュリティサービス

Slide 23

Slide 23 text

23 AWSの良さ マネージドサービスで楽できる

Slide 24

Slide 24 text

24 マネージドサービスとは︖ • インフラを気にせず機能を利⽤できる • やりたいことに注⼒できる

Slide 25

Slide 25 text

25 AWSセキュリティのマネージドサービス • 2つのサービス • AWS Security Hub • AWS環境の設定をセキュリティチェックする • 危険な設定に気づいて是正できる • Amazon GuardDuty • AWS上のログから脅威を検知 • セキュリティの問題をいち早く発⾒して通知 できる • どちらもポチッと有効化するだけ

Slide 26

Slide 26 text

26 AWSセキュリティのマネージドサービス • 使うのも簡単 • すぐ有効化 • ログ収集設定や管理が不要 • 運⽤も簡単 • 通知を受け取る • 書いてある内容とユーザーガイドをみて対処

Slide 27

Slide 27 text

27 AWS Security Hub セキュリティチェック

Slide 28

Slide 28 text

28 AWS Security Hubのセキュリティチェック 直感的な スコア表 ⽰で達成 度がわか りやすい

Slide 29

Slide 29 text

29 対応リソースタイプ • ACM • APIGateway • AutoScaling • CloudFront • CloudTrail • CodeBuild • Config • DMS • DynamoDB • EC2 • ECS • EFS • ElasticBeanstalk • ELB • ELBv2 • EMR • ES • GuardDuty • IAM • KMS • Lambda • RDS • Redshift • S3 • SageMaker • SecretsManager • SNS • SQS • SSM • WAF

Slide 30

Slide 30 text

30 Security Hubの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 東京リージョンに集約 • 「AWSの基本的なセキュリティのベストプラクティス」 を適⽤する • ⾒つかる問題を解決する • 新しい問題が出たら通知する • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい

Slide 31

Slide 31 text

31 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod. jp/articles/aws-security- operation-with- securityhub-2021/

Slide 32

Slide 32 text

32 ⾃動修復ソリューション マルチアカ ウント連携 した修復の 仕組みを展 開できる

Slide 33

Slide 33 text

33 Amazon GuardDuty 脅威検知

Slide 34

Slide 34 text

34 GuardDutyの検知内容(ほんの⼀部) • IAMタイプ • 不正ログイン • 漏洩したクレデンシャル利⽤ • CloudTrail無効化 • EC2タイプ • コインマイニング • C&Cサーバー接続 • SSHブルートフォース(受信 or 送信) • S3タイプ • 不⾃然なバケット公開(情報漏えい) • Torアクセス

Slide 35

Slide 35 text

35 対応⽅法 GuardDutyのユー ザーガイドに検知 結果毎の対応⽅法 がわかりやすく記 載されている https://docs.aws.amazon.co m/ja_jp/guardduty/latest/u g/guardduty_finding-types- active.html

Slide 36

Slide 36 text

36 初動対応計画 • 検知結果毎ざっくり3種類準備しておく • IAMタイプ • 認証情報を無効化する • EC2タイプ • EC2を隔離、保全、調査する • 調査は得意な会社に依頼できる準備でもいい • S3タイプ • アクセス権限を絞る

Slide 37

Slide 37 text

37 IAMタイプの初動対応例 • IAM Userならアクセスキーを無効化・削除 • IAM Roleならセッションの無効化をポチ • CloudTrailで何をされたか調査

Slide 38

Slide 38 text

38 EC2タイプの初動対応例 Security Groupを 変更して隔離 (in/out無し) AMIバックアップ取 得 サーバーやストレー ジ調査(できれば、 プロに任せたほうが いい)

Slide 39

Slide 39 text

39 S3タイプの初動対応例 パブリックアクセスブロックする

Slide 40

Slide 40 text

40 GuardDutyの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 通知設定をしてすぐに気付けるようにする • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい • 対応の準備をしておく • ⼿順の整理 • 誰に連絡するのか • 誰が判断するのか

Slide 41

Slide 41 text

41 合わせて読みたい GuardDutyの解説と どんな⾵に運⽤した らいいかをまとめて います https://dev.classmethod.jp/articl es/aws-security-operation-with- guardduty-2021/

Slide 42

Slide 42 text

42 無料のデジタルトレーニングを活⽤する • AWSセキュリティ仕組みづくりに役⽴つコース • AWS Security Fundamentals (Second Edition) (Japanese) • AWSセキュリティ管理の2時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/602/aws-security- fundamentals-second-edition-japanese • Getting Started with AWS Security, Identity, and Compliance (Japanese) • 権限管理や統制の3時間コース • https://explore.skillbuilder.aws/learn/course/external/view/elearning/953/getting-started- with-aws-security-identity-and-compliance-japanese

Slide 43

Slide 43 text

43 3.組織で整備する仕組み

Slide 44

Slide 44 text

44 AWSセキュリティの考え⽅ ⼿動の運⽤ではなく ⾃動化された仕組みで対応する

Slide 45

Slide 45 text

45 組織レベルの効率的なAWS管理 • 原則としてAWSアカウントは環境分離のためたくさ ん作られる • 1つのシステムで開発・検証・本番と3アカウント作成が ベストプラクティス • 増え続けるAWSアカウントに⾃動で対応 • セキュアな設定を適⽤ • セキュリティチェックを実施 • イベントを集約・⾃動対応

Slide 46

Slide 46 text

46 正しいAWSセキュリティの⽅針 • 何でも禁⽌する(ゲートを設ける)と俊敏性を損なう • 危なく無いようにガードレールを設けて、その中で ⾃由にしてもらうようにする

Slide 47

Slide 47 text

47 AWS Organizationsとは • 複数のAWSアカウント を束ねる仕組み • OUを定義して配下にア カウントをまとめられる • Service Control Policy(SCP)を利⽤して 強制的なアクセス制御が 可能

Slide 48

Slide 48 text

48 SCPを利⽤したガードレール • SCPの例 • 特定リージョン使⽤禁⽌ • CloudTrail無効化禁⽌ • GuardDuty無効化禁⽌ • S3バケット公開禁⽌ • タグのないリソース作成禁⽌ • https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/ orgs_manage_policies_scps_examples.html • 開発環境 / 本番環境 / 共⽤環境などで使い分ける

Slide 49

Slide 49 text

49 合わせて読みたい Organizationsについて 必要な知識や関連サービ スについて⼀通り説明あ り https://dev.classmethod.jp/articles/l ets-study-aws-organizations-basic/

Slide 50

Slide 50 text

50 AWS Organizations連携 • 様々なAWSサービスと連携して簡単に全体管理でき る • AWS SSO • CloudFormation StackSets • GuardDuty • Security Hub • Systems Manager • CloudTrail • Config • などなど

Slide 51

Slide 51 text

51 CloudFormation StackSets • Organizationsがなくてもリージョンやアカウント をまたがるCloudFormation展開が可能

Slide 52

Slide 52 text

52 合わせて読みたい 簡単に全体を⾃動化 https://dev.classmethod. jp/articles/cloudformati on-stacksets-sample- sns-topic/

Slide 53

Slide 53 text

53 合わせて読みたい AWS SummitでVisional 様が発表した内容 Terraformで全体へ展開 https://dev.classmethod.jp/articles/a ws-summit-online-2020-cus-06/

Slide 54

Slide 54 text

54 AWS SSO AWSアカウントの認証情報を集約できる シングルサインオンの仕組み

Slide 55

Slide 55 text

55 合わせて読みたい よく分かる(かもし れない)図解 https://dev.classmethod .jp/articles/aws-sso- wakewakame/

Slide 56

Slide 56 text

56 Jumpアカウント • AWS SSOを利⽤しなくてもSSOする⼿段はある • SAML連携 • JumpアカウントへのIAM User集約

Slide 57

Slide 57 text

57 AWS Control Tower AWSのベストプラ クティスに従った構 成でガードレールを 効かせる仕組み AWS Organizationsと 連携する

Slide 58

Slide 58 text

58 合わせて読みたい Control Towerの必要 性や背景、代替案などは 全部ここで説明していま す https://dev.classmethod.jp/ar ticles/jaws-days-2021- control-tower/

Slide 59

Slide 59 text

59 CCoEの例

Slide 60

Slide 60 text

60 合わせて読みたい CCoEの1つの実装例 ⽴ち上げ過程やどの ような⽅針で推進し たか解説されていま す https://dev.classmethod.j p/articles/shionogi- devshow/

Slide 61

Slide 61 text

61 合わせて読みたい クラウド推進する 組織に必要なこと が書いてある 責任者も担当者も 必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

Slide 62

Slide 62 text

62 合わせて読みたい セキュアなAWS設 定と実運⽤の例 デフォルトでセキュ リティを強化した AWSアカウント発 ⾏も無償でしてます (宣伝) https://dev.classmethod. jp/articles/aws-security- operation-bestpractice- on-secure-account/

Slide 63

Slide 63 text

63 セキュアアカウントの構成

Slide 64

Slide 64 text

64 まとめ

Slide 65

Slide 65 text

65 まとめ • 基本の権限管理は全員理解する • マネージドのセキュリティサービスを ポチッと有効化して運⽤する • 仕組みを作って全体をセキュアに保つ

Slide 66

Slide 66 text

66