Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Dome9_IAMSaftyで考えるIAMベストプラクティス.pdf

 Dome9_IAMSaftyで考えるIAMベストプラクティス.pdf

さいちゃん

March 11, 2022
Tweet

More Decks by さいちゃん

Other Decks in Technology

Transcript

  1. Dome9~IAMSaftyで考える
    IAMベストプラクティス
    1
    クラスメソッド株式会社
    アライアンス統括部
    サイード ラティファ栄美里

    View Slide

  2. 自己紹介
    ・名前
    サイード ラティファ栄美里(さいちゃん)
    ・所属
    クラスメソッド株式会社(2021年10月~)
    アライアンス統括部
    ・本日登壇デビュー
    ・ブログ
     

    View Slide

  3. 3
    アジェンダ
    1,Dome9概要
    ◦ Dome9って?
    ◦ 主な機能
    2,IAMベストプラクティスの実現
    ◦ ベストプラクティス実現の大変さ
    ◦ IAM Safetyの概要
    ◦ STSとの比較
    3,デモ

    View Slide

  4. 4
    Dome9の概要

    View Slide

  5. 5
    Dome9概要
    IaaSの設定情報を可視化し人為的ミスの回避とコ
    ンプライアンス遵守を支援するサービスです

    View Slide

  6. 6
    CSPMって?
    Cloud Security PostureManagement
    (クラウドセキュリティ動態管理)
    CSPM

    View Slide

  7. 7
    セキュリティインシデントの原因
    クラウドにおけるセキュリティインシデントの原
    因のほとんどは人為的設定ミス
    2020年時点で95%を占め、
    2025年には99%を占めると予想される
    ※Gartner社 2018年報告書

    View Slide

  8. 8
    Dome9でできること

    View Slide

  9. 9
    IAMベストプラクティスの実現

    View Slide

  10. 10
    IAMのベストプラクティス
    ● AWS アカウント ルートユーザーのアクセスキーをロックする
    ● ロールを使用してアクセス許可を委任する
    ● 最小限の特権を認める。
    ● AWS 管理ポリシーを使用したアクセス許可の使用開始
    ● ポリシーの検証
    ● インラインポリシーではなくカスタマー管理ポリシーを使用する
    ● アクセスレベルを使用して、IAM のアクセス許可を確認する
    ● ユーザーのために強度の高いパスワードポリシーを設定する。
    ● MFA の有効化
    ● Amazon EC2 インスタンスで実行するアプリケーションに対し、ロールを使用する
    ● アクセスキーを共有しない
    ● 認証情報を定期的にローテーションする。
    ● 不要な認証情報の削除
    ● 追加セキュリティに対するポリシー条件を使用する。
    ● AWS アカウントのアクティビティのモニタリング

    View Slide

  11. 11
    IAMのベストプラクティス
    多い。多すぎる

    View Slide

  12. 12
    IAMのベストプラクティス
    1アカウントでも管理は大変
    複数アカウントにもなれば
    相当な時間と労力が必要

    View Slide

  13. 13
    IAMのベストプラクティス
    Dome9を使いましょう

    View Slide

  14. 14
    IAMのベストプラクティス
    「最小の特権を認める」
    ・必要な権限の洗い出しが難しい。
    ・結局管理者権限を持つユーザーが増えてしまう。
    ・権限を持つユーザーが増える=リスクが高まる
    IAMユーザーに今だけ権限を付与したい。
    IAM Safetyの特権付与を使って解決

    View Slide

  15. 15
    IAM Safetyの機能
    ・管理者の承認なしに、アカウント設定を
     変更しないように制御
    ・ユーザー削除やポリシー削除を禁止し、
     ロールバックで改ざん防止
    ・権限の一時的な昇格を簡単に

    View Slide

  16. 16
    IAM Safety特権付与の利点
    ・ワンクリックで簡単に
    ・時間制で特権の付与が可能
    ・自動的に権限をもとに戻す
    ・権限昇格を管理者が管理
    ・誰がいつまで権限昇格しているか一目でわかる
    ・スマホアプリからの昇格も可能

    View Slide

  17. 17
    スイッチロールしくみ
    Role
    ①このロールに
    なりたい!
    ③スイッチロール
    ②一時クレデンシャル
    発行許可

    View Slide

  18. 18
    IAM Safety 権限一次付与のしくみ
     IAM グループ(Administer)
     IAMグループ(IAM Safety)
     禁止
    ポリシー
     許可
    ポリシー
    一時的にAdministerへ追加され、昇格終
    了後グループから削除された後に、IAM
    Safetyグループに追加される

    View Slide

  19. 19
    やってみます
    デモ

    View Slide

  20. 最後に(軽くまとめ)
    ベストプラクティスの実現は難しい
    ・できることはどんどん自動化して人為的ミスを
     防ぎましょう。
    IAM Safetyを使うメリット
    ・難しい設定は不要
    ・同一アカウントのままで権限だけ変えられる
    ・管理者が権限の付与を完全に管理
    ・誰が権限昇格してるか一目瞭然
    IAM Safetyを上手に使って最小特権の原則を実現できる!

    View Slide

  21. 21

    View Slide