AWS環境のセキュリティどうやってチェックしてる？

Transcript

1. AWS環境のセキュリティ どうやってチェックしてる︖ 2022/08/18 セキュリティエンジニア勉強会 〜社内のセキュリティ環境ってどうしてる︕︖知⾒・課題を共有〜 ハッシュタグ: #テックストリート

2. 2 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター APN Ambassador

   ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon Detective みんなのAWS (技術評論社)

3. 3 セッションテーマ クラウドセキュリティの 恩恵を最⼤限受け ポジティブに取り組もう

4. 4 対象者 • AWSのセキュリティ対策はまだガッツリ取り組 めていない情シスとかセキュリティエンジニア • AWS触っている⼈ • 触っていない⼈ •

   社内セキュリティの⼈ • セキュリティに興味がある⼈ • だいたいAWSの初級から中級くらい

5. 5 持ち帰ってもらう事 • とにかく最強のAWS基礎セキュリティベストプ ラクティスを使う • 全員巻き込んでポジティブにセキュリティを強 化する • 中級以降からAWSの知識は必須

6. 6 アジェンダ 1. AWSセキュリティどこからやるの︖ 2. AWS Security Hubを使ったセキュリティチェッ ク 3.

   クラウドセキュリティのメリットを最⼤限享受する には

7. 7 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.jp /articles/aws-security-all- in-one-2021/

8. 8 合わせて読みたい セキュアアカウ ントの仕組みの 説明とコツはこ ちらにあります https://dev.classmet hod.jp/articles/2204 08-training-webinar- aws-security-

   management/

9. 9 1. AWSセキュリティ どこからやるの︖

10. 10 クラウド特有の セットアップをしていく

11. 11 最初にやること抜粋 • IAMユーザーを作ってルートユーザーをMFAで封印 • 必要なサービス有効化 • CloudTrail • Config

    • GuardDuty • Security Hub • IAM Access Analyzer • Detective • Well-Architectedフレームワーク読む

12. 12 合わせて読みたい やることはこ こにまとまっ ています https://dev.clas smethod.jp/arti cles/aws- baseline- setting-202206/

13. 13 IAM • Identity and Access Management • AWSにおけるアクセス制御の基本であり極意 •

    セキュリティの原則に従い利⽤ • 個別のIDを発⾏する • 最⼩権限 • MFA設定 • アクセスキーの利⽤は注意 • すべてのAWS利⽤者が理解する必要がある

14. 14 合わせて読みたい IAM再⼊⾨ やや古いがよくまと まっている https://dev.classmethod.jp/ar ticles/cm-advent-calendar- 2015-getting-started-again- aws-iam/

15. 15 合わせて読みたい すべての開発者はgit- secretsを導⼊する 意図せずアクセス キーをGitにコミット することを防⽌でき る https://dev.classmethod.jp/artic les/startup-git-secrets/

16. 16 CloudTrail • CloudTrailはAWS上の操作であるAPIを記録する • 誰がいつ何をどうしたか、全て記録される • いつログインしたか • 誰がサーバーを作成したか

    • いつ削除したか • ログはS3に保存しておく

17. 17 合わせて読みたい 最初にCloudTrailを 有効化する 全リージョンで⼀括 の設定が可能で必須 https://dev.classmethod.jp /articles/aws-cloudtrail- all-regions-on/

18. 18 Config • 各種AWSリソースの変更を記録・管理する • 時系列に変更を辿れる • セキュリティグループがいつ作られたか • いつどのように変更されたか

    • 関連性を辿れる • どのEC2と紐付いているか • どのVPCと紐付いているか • 問題ある設定を是正する

19. 19 合わせて読みたい AWS Configも最初 に有効化する リージョン毎の設定 なので全リージョン 回す グローバルリソース 記録は１つでいい

    https://dev.classmethod. jp/articles/aws-config- start/

20. 20 Well-Architectedフレームワーク 5つの柱に基づいたベストプラクティスを 理解できる

21. 21 合わせて読みたい 初めて読む⼈はこのブ ログから読むとよく理 解できる 熟練者もこのブログで 早引きできる つまり全員使うと良い ブログ https://dev.classmetho

    d.jp/articles/aws-well- architected-guide/

22. 22 AWSを利⽤する⼤前提 すべてのAWS利⽤者は AWSの基本的なセキュリティを 理解する必要がある

23. 23 とはいえ いっぱいあってやっぱり⼤変では︖

24. 24 2. AWS Security Hubを使った セキュリティチェック

25. 25 AWSの良さ マネージドサービスで楽できる

26. 26 マネージドサービスとは︖ • インフラを気にせず機能を利⽤できる • やりたいことに注⼒できる

27. 27 AWS Security Hub セキュリティチェック

28. 28 合わせて読みたい セキュリティチェックの 概念から様々な⼿法のメ リットデメリットなどま とまっています https://dev.classmethod.jp/art icles/2020-strongest-aws- securitycheck-practice/

29. 29 セキュリティチェック⽅法 • Security Hubはセキュリティチェック運⽤の理想形 • 直感的なスコア表⽰ • 無効化・例外の設定管理 •

    AWSが最新のベストプラクティスを適⽤ • 「AWS の基本的なセキュリティのベストプラクティスコント ロール(AWS Foundational Security Best Practices)」の ルールが優秀 • 現状38リソースタイプ・190種類のチェック • 更新頻度が⾼い(リリースから約2年半で31回更新) • ⾃動修復ソリューション • マルチアカウント・マルチリージョンの集約

30. 30 AWS Security Hubのセキュリティチェック 直感的な スコア表 ⽰で達成 度がわか りやすい

31. 31 対応リソースタイプ •ACM •APIGateway •AutoScaling •CloudFormation •CloudFront •CloudTrail •CodeBuild •Config

    •DMS •DynamoDB •EC2 •ECR •ECS •EFS •EKS •ElasticBeanstalk •ELB •ELBv2 •EMR •ES •GuardDuty •IAM •Kinesis •KMS •Lambda •Network Firewall •NetworkFirewall •OpenSearch •RDS •PCI •Redshift •S3 •SageMaker •SecretsManager •SNS •SQS •SSM •WAF 38種類︕

32. 32 Security Hubの運⽤ポイント • 全AWSアカウント全リージョンで有効化 • 東京リージョンに集約 • 「AWSの基本的なセキュリティのベストプラクティス」 を適⽤する

    • ⾒つかる問題を解決する • 新しい問題が出たら通知する • みんなが⾒える場所に通知してみんなで直す • スコアが⾒えるのでみんなで達成しやすい

33. 33 合わせて読みたい Security Hubの解 説とどんな⾵に運⽤ したらいいかをまと めています https://dev.classmethod. jp/articles/aws-security- operation-with-

    securityhub-2021/

34. 34 ⾃動修復ソリューション マルチアカ ウント連携 した修復の 仕組みを展 開できる

35. 35 3. クラウドセキュリティの メリットを最⼤限享受するには

36. 36 AWSセキュリティの考え⽅ AWSに関わる全ての⼈が セキュリティ担当者 全員でセキュリティの課題に取り組む

37. 37 AWS Security Hubのセキュリティチェック このスコアを良くし ていくのは開発者を 中⼼に取り組む AWSアカウント単 位で修正してもらう 通知はみんなの⾒え

    るところで⾏う 同じ違反を防ぐ事が できる

38. 38 周りの巻き込み⽅ セキュリティスコアの 全体通知

39. 39 セキュリティスコアはAPIで取得できない ので無理やり取 得してみた https://dev.class method.jp/article s/get-control- finding- summary-by- boto3/

40. 40 セキュリティスコアランキングを掲載 スコアが低い順じゃなくて、⾼い順Top10とかポジ ティブなランキングにする

41. 41 100%達成を盛⼤に祝う ベースラインが100%の場合は達成した時に盛⼤に祝 う

42. 42 合わせて読みたい AWS上級者となっ て会社全体のセ キュリティを向上 する仕組みづくり をするヒントはこ ちら参照 https://dev.classme thod.jp/articles/dev

    io-2022-how2make- strongest-aws- secure-accounts/

43. 43 クラウド利⽤が広範囲になってきたら CCoEなどクラウドを推進する 組織づくりを頑張る

44. 44 CCoEの例

45. 45 合わせて読みたい CCoEの1つの実装例 ⽴ち上げ過程やどの ような⽅針で推進し たか解説されていま す https://dev.classmethod.j p/articles/shionogi- devshow/

46. 46 合わせて読みたい クラウド推進する 組織に必要なこと が書いてある 責任者も担当者も 必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

47. 47 合わせて読みたい セキュアなAWS設 定と実運⽤の例 デフォルトでセキュ リティを強化した AWSアカウント発 ⾏も無償でしてます (宣伝) https://dev.classmethod.

    jp/articles/aws-security- operation-bestpractice- on-secure-account/

48. 48 セキュアアカウントの構成

49. 49 まとめ

50. 50 まとめ • 基本のセットアップをやる • Security Hubをポチッと有効化してAWS 基礎セキュリティのベストプラクティスを 超絶活⽤する •

    全員で取り組める仕組みを作り巻き込む

51. 51