Dome9~IAMSaftyで考えるIAMベストプラクティス1クラスメソッド株式会社アライアンス統括部サイード ラティファ栄美里
View Slide
自己紹介・名前サイード ラティファ栄美里(さいちゃん)・所属クラスメソッド株式会社(2021年10月~)アライアンス統括部・本日登壇デビュー・ブログ
3アジェンダ1,Dome9概要◦ Dome9って?◦ 主な機能2,IAMベストプラクティスの実現◦ ベストプラクティス実現の大変さ◦ IAM Safetyの概要◦ STSとの比較3,デモ
4Dome9の概要
5Dome9概要IaaSの設定情報を可視化し人為的ミスの回避とコンプライアンス遵守を支援するサービスです
6CSPMって?Cloud Security PostureManagement(クラウドセキュリティ動態管理)CSPM
7セキュリティインシデントの原因クラウドにおけるセキュリティインシデントの原因のほとんどは人為的設定ミス2020年時点で95%を占め、2025年には99%を占めると予想される※Gartner社 2018年報告書
8Dome9でできること
9IAMベストプラクティスの実現
10IAMのベストプラクティス● AWS アカウント ルートユーザーのアクセスキーをロックする● ロールを使用してアクセス許可を委任する● 最小限の特権を認める。● AWS 管理ポリシーを使用したアクセス許可の使用開始● ポリシーの検証● インラインポリシーではなくカスタマー管理ポリシーを使用する● アクセスレベルを使用して、IAM のアクセス許可を確認する● ユーザーのために強度の高いパスワードポリシーを設定する。● MFA の有効化● Amazon EC2 インスタンスで実行するアプリケーションに対し、ロールを使用する● アクセスキーを共有しない● 認証情報を定期的にローテーションする。● 不要な認証情報の削除● 追加セキュリティに対するポリシー条件を使用する。● AWS アカウントのアクティビティのモニタリング
11IAMのベストプラクティス多い。多すぎる
12IAMのベストプラクティス1アカウントでも管理は大変複数アカウントにもなれば相当な時間と労力が必要
13IAMのベストプラクティスDome9を使いましょう
14IAMのベストプラクティス「最小の特権を認める」・必要な権限の洗い出しが難しい。・結局管理者権限を持つユーザーが増えてしまう。・権限を持つユーザーが増える=リスクが高まるIAMユーザーに今だけ権限を付与したい。IAM Safetyの特権付与を使って解決
15IAM Safetyの機能・管理者の承認なしに、アカウント設定を 変更しないように制御・ユーザー削除やポリシー削除を禁止し、 ロールバックで改ざん防止・権限の一時的な昇格を簡単に
16IAM Safety特権付与の利点・ワンクリックで簡単に・時間制で特権の付与が可能・自動的に権限をもとに戻す・権限昇格を管理者が管理・誰がいつまで権限昇格しているか一目でわかる・スマホアプリからの昇格も可能
17スイッチロールしくみRole①このロールになりたい!③スイッチロール②一時クレデンシャル発行許可
18IAM Safety 権限一次付与のしくみ IAM グループ(Administer) IAMグループ(IAM Safety) 禁止ポリシー 許可ポリシー一時的にAdministerへ追加され、昇格終了後グループから削除された後に、IAMSafetyグループに追加される
19やってみますデモ
最後に(軽くまとめ)ベストプラクティスの実現は難しい・できることはどんどん自動化して人為的ミスを 防ぎましょう。IAM Safetyを使うメリット・難しい設定は不要・同一アカウントのままで権限だけ変えられる・管理者が権限の付与を完全に管理・誰が権限昇格してるか一目瞭然IAM Safetyを上手に使って最小特権の原則を実現できる!
21