初級から上級までセキュアなAWS環境の作り方

Transcript

1. 初級から上級まで セキュアなAWS環境の作り⽅ AWS Summit Tokyo 1

2. 2 こんにちは、⾅⽥です。 みなさん、 AWSのセキュリティ対策してますか︖(挨拶

3. 3 ⾃⼰紹介 ⾅⽥佳祐(うすだけいすけ) ・クラスメソッド株式会社 / AWS事業本部 シニアソリューションアーキテクト セキュリティチームリーダー AWS公認インストラクター 2021

   APN Ambassador 2022 APN AWS Top Engineers (Security) ・CISSP ・Security-JAWS運営 ・好きなサービス: Amazon GuardDuty AWS Security Hub Amazon Detective みんなのAWS (技術評論社) Amazon GuardDuty AWS Security Hub Amazon Detective

4. 4 アジェンダ 0. 軽い前置き 1. AWSアカウント単体をセキュアにする 2. 組織のAWS環境全体をセキュアにする 3. セキュアな環境を維持する

5. 5 0. 軽い前置き

6. 6 みなさんのAWS環境はセキュアですか︖ よくあるアマゾン ウェブ サービス(AWS)セキュリテ ィの⼼配 • ちゃんとベストプラクティスに沿っているかわから ない •

   AWS環境にどんなリソースがあるか把握していな い • 組織内でセキュリティ基準がバラバラ • そもそもセキュリティよくわからん いろんな状況があると思います

7. 7 すべてのAWS利⽤者を対象に AWS環境をセキュアにする情報を ババっと10分でまとめます

8. 8 合わせて読みたい セキュリティ対策 はだいたいここに 全部ある https://dev.classmethod.j p/articles/aws-security- all-in-one-2021/

9. 9 1. AWSアカウント単体を セキュアにする

10. 10 これがセキュアなAWSアカウント

11. 11 セキュアアカウントが参考になります セキュアなAWS設 定と実運⽤の例 真似していいよ︕ 無償で最初から設定 してます(宣伝) https://dev.classmethod. jp/articles/aws-security- operation-bestpractice-

    on-secure-account/

12. 12 AWS上の証跡管理 • AWS CloudTrail • すべての管理イベント • AWS Config

    • すべてのリソース記録 • グローバルリソース記録 • S3バケット • ログのライフサイクル3年 • SSE-KMSによる暗号化

13. 13 AWS上の証跡管理のコツ • AWS Configのグローバルリ ソース記録は東京リージョン のみ有効化する(全リージョン で⼊れると重複して記録され るため) •

    ライフサイクル3年は⾃社の ログ保持基準に照らし合わせ て調整する • WORMを設定すると強⼒

14. 14 デフォルトのAmazon S3公開防⽌ • AWSアカウントレベルのブロックパ ブリックアクセスを有効化 • ブロックパブリックアクセスはアカウン トレベルとバケットレベルがある •

    アカウントレベルを設定するとAWSア カウント全体で適⽤される • うっかり公開してしまうことを防げる

15. 15 デフォルトのAmazon S3公開防⽌のコツ • S3バケットに公開⽤のHTML / CSS / JavaScriptなどのWeb⽤や画像/ 動画などの静的コンテンツを配置す

    る場合でもCloudFrontのOrigin Access Control (OAC)を利⽤して 配信可能なので、ブロックパブリッ クアクセスを無効化しない

16. 16 Amazon EBSのデフォルト暗号化 • Amazon EC2の設定ページから 「EBS 暗号化」を有効にする • デフォルトの暗号化キーを利⽤する

17. 17 Amazon EBSのデフォルト暗号化のコツ • マルチテナントで様々なライフサイ クルのデータを扱う場合は、ライフ サイクルに合わせてKMSキーを作成 して個別に適⽤するといい(暗号化削 除を実施するため) •

    https://aws.amazon.com/jp/b logs/news/data_disposal/

18. 18 パスワードポリシー強化 • パスワードの最⼩⻑: 8⽂字 • 少なくとも1つの⼤⽂字が必要 • 少なくとも1つの⼩⽂字が必要 •

    少なくとも1つの数字が必要 • 少なくとも1つの英数字以外の⽂字が 必要 • ユーザーにパスワードの変更を許可

19. 19 パスワードポリシー強化のコツ • ⼀番理想はIAM Userがいないこと • Okta / OneLoginなどIdPの基盤を AWSに限らず全体で使⽤し、ID管理

    とアクセス制御を集約するとベスト • 次点として1つのAWSアカウントにだ けIAM Userを作るJumpアカウント ⽅式も検討する • Assume Roleしないと権限がないため、 万が⼀不正に利⽤されても何もできない

20. 20 デフォルトVPCの削除 • 明⽰的な意図に合わせてVPCリソー スを作成し、利⽤するためデフォルト VPCを削除 • 既存環境であれば削除は慎重に

21. 21 デフォルトVPCの削除のコツ • 特にデフォルトセキュリティグルー プが危険なので利⽤しない • 合わせて、利⽤しているVPCのデフ ォルトセキュリティグループにある インバウンドとアウトバウンドのル ール両⽅とも削除する

22. 22 セキュリティサービス有効化 + チューニング • 有効化 • Amazon GuardDuty •

    AWS Security hub • Amazon Detective • IAM Access Analyzer

23. 23 セキュリティサービスのコツ • 集約可能なら複数 AWSアカウント をまとめて集約す る • 運⽤に組み込む

24. 24 セキュリティアラート整形 + 通知設定 • Amazon GuardDuty / AWS Security

    Hub / IAM Access Analyzerからの通知を運⽤しや すい場所(チャットなど)に送る • ⾒やすく整形する

25. 25 セキュリティアラート整形 + 通知設定のコツ • 関係者が多い場所に通知してみ んなに⾒えるようにする • 関係者の当事者意識が上がり、通 知を減らし、セキュリティスコア

    を上げることがモチベーションに 繋がる

26. 26 整形例: ⽇本語をできる限り⼊れる

27. 27 2. 組織のAWS環境全体を セキュアにする

28. 28 マルチアカウント管理のマネージドサービス AWS Organizations • マルチアカウント管 理のサービス • 各AWSサービスと連 携して集約管理

    AWS Control Tower • AWS Organizations を活⽤したマルチアカ ウント管理のベストプ ラクティスを⾃動構成

29. 29 マルチアカウント管理の⽐較 AWS Organizations AWS Control Tower 管理機能 最⼩ ID集約・ログ集約・ガードレー

    ル・ベンディングマシーン・その他 ⾃由度 ⾃由 ある程度決められた構成 おまかせ度 全部⾃前 ベストプラクティスに沿っておまか せ 機能追加 設定は⾃前 マルチアカウント管理に必要な機能 が追加される、ポチッと適⽤可能 コスト $ $$

30. 30 AWS Control Towerの構成 • AWSのマルチア カウント管理ベス トプラクティスに 沿った構成が⾃動 で展開される

    • 全体の管理⽤に3 つのアカウントが ⽤意される

31. 31 AWS Organizationsを使う︖ • 使わなくてもマルチアカウント管理は可能 • でも使えば各AWSサービスの集約や集中管理が簡単にで きるしAWS Control Towerも使える

    • AWS IAM Identity Center(旧AWS SSO)でシングル サインオンを実現可能(使わなくてもサードパーティ連携 やJumpアカウント⽅式など、別の⼿法も検討はできる) • AWS CloudFormation StackSetsで全AWSアカウント に設定を展開しやすい(使わなくてもセットアップすれば できる) • 使えるなら使うほうがいい

32. 32 3. セキュアな環境を維持する

33. 33 セキュアな環境の維持に必要なもの • ⾃動化されたセキュリティ運⽤の仕組み • 組織全体の利⽤者に⾏き渡るセキュリティ教育 • 組織のセキュリティ対策の⼀環としてのAWSセキ ュリティ対策 •

    経営層のコミット • 組織全体へのガバナンス適⽤と運⽤をするチーム

34. 34 維持運⽤の要 CCoEを組織しAWS利⽤ガイドラインを策定する CCoE AWS利⽤ガイドライン

35. 35 CCoEの例

36. 36 合わせて読みたい CCoEの1つの実装 例 ⽴ち上げ過程やどの ような⽅針で推進し たか解説されていま す https://dev.classmethod. jp/articles/shionogi-

    devshow/

37. 37 合わせて読みたい クラウド推進する 組織に必要なこと が書いてある 責任者も担当者も 必読 https://dev.classmetho d.jp/articles/bookrevie w-ccoe-best-practice/

38. 38 ガイドライン作成はCCGが使える Classmethod Cloud Guidebook (CCG) ガイドラインサンプルなどアリ〼 例 例

39. 39 合わせて読みたい AWSアカウント ベースライン / AWS Security Hub ガイド /

    ガイドラインな ど 利⽤⽅法や内容 などはこちら https://dev.classmethod. jp/articles/how-to-use- ccg/

40. 40 まとめ

41. 41 セキュアなAWS環境の作り⽅とは • AWSアカウント単体と • マルチアカウント管理と • 組織づくりと運⽤を頑張る

42. 42