$30 off During Our Annual Pro Sale. View Details »

20230829_ccoe_seminar_session_3

h-ashisan
September 24, 2023

 20230829_ccoe_seminar_session_3

h-ashisan

September 24, 2023
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. 2 自己紹介 • 名前: 芦沢広昭 / あしざわひろあき • 所属・ロール: AWS事業本部コンサルティング部

    ソリューションアーキテクト • 業務: AWS技術支援・コンサルティング • 好きなAWSサービス: • 趣味:筋トレ(目指せBIG3 350kg) AWS Security Lake AWS Control Tower 2023 Japan AWS All Certifications Engineers
  2. 11 マルチアカウント環境に変更すると... • セキュリティ境界の明確化と権限移譲 ◦ アカウント自体がIAMの境界、細かいIAM管理が不要に ◦ 本番以外で強いIAM権限を与えて、開発スピードが向上 • 請求の単位

    ◦ アカウント(環境) = 請求の単位となる ◦ 細かいコスト配分タグの運用が不要に • リソース制限 ◦ 環境毎にリソース制限が完全に分離される
  3. 12 新しい組織の課題 マルチアカウント環境にすると出てくる新しい課題 • アカウントがたくさんあって全体を把握できていない ◦ 皆が自由にアカウントを払い出している • アカウントの種類に応じてセキュリティレベルを制御したい ◦

    本番ワークロードとその他で分けたい • 複数アカウントのIAMの運用負荷が高い、ログインが手間 ◦ アカウントの数だけへ発生するIAM運用作業 • アカウントの初期設定にかかる運用作業が手間 ◦ アカウントの初期セットアップ作業に時間がかかっている
  4. 13 新しい組織の課題 → 対策 課題に対する対策 • アカウントがたくさんあって全体を把握できていない ◦ → AWS

    Organizationsの利用 • アカウントの種類に応じてセキュリティレベルを制御したい ◦ → 予防的・発見的ガードレールの利用 • 複数アカウントのIAMの運用負荷が高い、ログインが手間 ◦ → SSO(Single Sign On)の実装 • アカウントの初期設定にかかる運用作業が手間 ◦ → アカウントベースラインの実装
  5. 14 対策の具体例 • AWS Organizationsを利用したアカウント管理 ◦ 組織内のアカウントを一括管理できる ◦ 組織単位(OU)を利用したアカウントのグルーピングも可能 •

    ガードレールによる運用を阻害しないセキュリティ対策 ◦ 予防的ガードレール(SCP) ▪ 組織レベルのアクセス制御や危険な操作の制限 ◦ 発見的ガードレール(AWS Config, AWS Security Hub) ▪ セキュリティに問題があるリソースの設定レベルの検出 • IAM Identity CenterによるSSOの実装 ◦ アクセス許可設定をセットしたアカウントへのSSOが可能に ◦ ActiveDirectory、Okta等のIdPと連携できる • AWS Service Catalogを利用したアカウントベースラインの作成 ◦ アカウント作成時に事前定義したCloudFormation StackSetsを デプロイ、リソースを自動作成できる
  6. 24 設定されるリソース一覧 • AWS Organizations ◦ Security OU ▪ Audit

    アカウント (+ Configアグリゲーター) ▪ Log Archive アカウント (+ ログ集約用S3バケット) ◦ Sandbox OU • CloudTrail ◦ 組織のアカウント全体を対象に有効化 • Account Factory(Service Catalog) • IAM Identity Center など
  7. 25 その他設定されるControl Tower独自の機能 • Control Towerのガードレール(コントロール) ◦ 必須コントロール (デフォルト有効化) ◦

    強く推奨されるコントロール(オプション) ◦ 選択的コントロール(オプション) • リージョン拒否コントロール(SCP) ◦ Control Towerが管理するリージョン以外の操作を全面的に禁止するSCP ◦ デフォルトでは無効化されている
  8. 29 Control Tower有効化前に事前に考慮すべき点 • 運用イメージとControl Towerがマッチするか? ◦ Control Towerの仕様に合わせた運用ができるか? ▪

    例) CT側でマネージドで作成される範囲について、細かい設定のチューニン グができない ▪ 例) 大阪リージョンを利用する場合に機能に制約が発生する • 既存のリソースをControl Towerで利用するか? ◦ セキュリティ監査目的のアカウント ▪ Auditアカウント、Log Archiveアカウント ◦ IAM Identity Centerディレクトリ ▪ 既存のものがあれば • 既存リソースを利用しない場合、事前の入念な設計は不要 ◦ 基本的に後から設定変更可能です ◦ ホームリージョンの設定は後から変更できないため注意 ▪ 原則、組織内で最も頻繁に使うリージョン(東京)でOK
  9. 30 Control Tower有効化後、+αでやること • ガードレールの方針を決める ◦ ゆるく統制する ▪ 必須コントロールのみ +

    Security Hub ◦ 強く統制する ▪ Control Towerのコントロールを可能な限り設定 ▪ Security Hub + カスタムConfigルールによる追加の実装 • 追加の検出的ガードレールの実装 ◦ AWS Security Hub、Amazon GuardDutyの有効化・通知設定 ◦ Control Towerの追加コントロール(強く推奨/選択的)の実装 • 追加のOU設計 ◦ 本番ワークロードを動作させるOUが必要
  10. 31 ざっくり説明 ・AWS Security Hub AWS環境内のリソースに関する セキュリティベストプラクティスのチェックを 行い、アラートを集約するCSPMサービス。 例) S3のパブリック公開をアラート検出

    ・Amazon GuardDuty AWSアカウント内のセキュリティログを分 析・処理して、AWS環境上の脅威検出を可 能にするセキュリティモニタリングサービ ス。 例) IAMアクセスキーの不正利用の検出
  11. 32 Security Hub、GuardDutyの設計の勘所 • 両サービス共通 ◦ Organizations統合機能を利用して各アカウントに自動展開 ◦ 各アカウントのControl Towerの管理リージョンすべてで有効化

    ◦ サービスの委任管理者の設定 ▪ 例) Audit(監査)アカウントに管理者権限を委任 • AWS Security Hub ◦ 「AWS基礎セキュリティベストプラクティス」を有効化 ◦ 特定のリージョンに検出結果を集約 ◦ 検出時にメール、Slack、Teamsなどにアラートを通知する • Amazon GuardDuty ◦ 検出結果をSecurity Hubに集約
  12. 41 まとめ: 設計の勘所 • はじめにControl Towerを有効化しましょう ◦ まずはここから始めましょう • 追加のセキュリティ設定として以下を実施します

    ◦ ガードレールの設計方針を決める(ゆるい制限 or 強い制限) ◦ Security Hub、GuardDutyを有効化し、通知の設定を行う ◦ 全体のOU設計を検討し、実装する • 設計・実装にあたり様々なナレッジを参考にする ◦ Classmethod CloudGuidebook(CCG) ◦ AWSドキュメント ◦ DevelopersIOブログ
  13. 43