Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
【Jr.Champions勉強会】BLEAで始めるAWS環境構築
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
Kazushi
November 05, 2024
Technology
82
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
【Jr.Champions勉強会】BLEAで始めるAWS環境構築
Kazushi
November 05, 2024
More Decks by Kazushi
See All by Kazushi
emotivEのAI&LLM活用事例
kazushi_ohata
0
120
【若手エンジニア応援LT会】ソフトウェアを学んできた私がインフラエンジニアを目指した理由
kazushi_ohata
0
490
【若手エンジニア応援LT会】CodePipelineのV1とV2の違いを調べてみた件
kazushi_ohata
0
670
【若手エンジニア応援LT会】AWS ACMで証明書の自動更新を設定してみた
kazushi_ohata
1
510
【若手エンジニア応援LT会】AWS Security Hubの活用に苦労した話
kazushi_ohata
1
710
【若手エンジニア応援LT会】AWSで繋がり、共に成長! ~コミュニティ活動と新人教育への挑戦~
kazushi_ohata
0
1.2k
Other Decks in Technology
See All in Technology
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.6k
あなたの知らないPDFのアクセシビリティ
lycorptech_jp
PRO
0
220
Flow 不死:AI 時代 DevOps 的不變本質
cheng_wei_chen
2
370
水を運ぶ人としてのリーダーシップ
izumii19
2
310
Agile and AI Redmine Japan 2026
hiranabe
3
360
2026年6月23日 Syncable Tech + Start Python Club にて
hamukazu
0
140
インシデントレスポンス演習 I / Incident Response Exercise I
ks91
PRO
0
100
AWS Security Agent といっしょに脅威モデリングをやってみよう
amarelo_n24
1
190
徹底討論!ECS vs EKS!
daitak
3
1.1k
データレイクの「見えない問題」を可視化する
sansantech
PRO
1
130
“詰む”前に仕組みを作れ 〜技術の波に溺れないためのキャッチアップ術〜
takasyou
5
1.6k
GitHub Copilot 最新アップデート – 「一歩先」の実践活用術
moulongzhang
5
1.5k
Featured
See All Featured
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
310
Mobile First: as difficult as doing things right
swwweet
225
10k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
inesmontani
PRO
3
2.3k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
エンジニアに許された特別な時間の終わり
watany
107
250k
Product Roadmaps are Hard
iamctodd
PRO
55
12k
Practical Orchestrator
shlominoach
191
11k
Chasing Engaging Ingredients in Design
codingconduct
0
220
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
52
6k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
508
140k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
360
Skip the Path - Find Your Career Trail
mkilby
1
150
Transcript
1 ©AR Advanced Technology All Right Reserved. BLEAで始めるAWS環境構築 Jr.champions勉強会 2024年11月05日
ARアドバンストテクノロジ株式会社 大畑一志
2 自己紹介 大畑 一志(おおはた かずし) ARアドバンストテクノロジ株式会社 2022年新卒入社 部署:Agile&クラウドネイティブサービス第3部 職種:クラウドエンジニア 趣味:ポケモンカード・漫才
2024 Japan AWS Jr. Champions 表彰
3 ©AR Advanced Technology All Right Reserved. アジェンダ AWS環境構築の課題 BLEAとは
構成 実装と評価 終わりに(質疑応答
4 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ CloudTrail証跡・・・
SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・
5 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ rootユーザMFA登録・・・
SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・ やること多すぎ しかも標準化できてない
6 ©AR Advanced Technology All Right Reserved. 課題に対するAWSパートナーの動向 クラスメソッド株式会社 セキュアアカウントサービス
請求代行サービスとセットのプランを提示 TIS株式会社 セキュリティプリセット 各種セキュリティベンチマーク準拠率を担保
7 ©AR Advanced Technology All Right Reserved. BLEA知ってますか? ブレア
8 ©AR Advanced Technology All Right Reserved. BLEA(Baseline Environment on
AWS)とは BLEAとは? Baseline Environment on AWS (BLEA) は 単独の AWS アカウント、 または AWS Control Tower で管理されたマルチアカウント環境で、 セキュアなベースラインを確立するための リファレンス AWS CDK テンプレート群 典型的なシステムアーキテクチャを実現するエンドツーエンドの AWS CDK サンプルコードを提供 目的 •迅速な環境構築:AWSでの基盤を素早く構築 •セキュリティの標準化:セキュリティ要件を標準化してリスクを軽減 •AWSアーキテクチャの教育:AWSのベストプラクティスなアーキを知れる •CDKの習得:カスタマイズしやすいコードによって、CDKを習得
9 ©AR Advanced Technology All Right Reserved. BLEA(Baseline Environment on
AWS)とは Githubから入手可能
10 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図(スタンドアロン型)
11 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント を監視する基盤
12 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント をSlackに通知
13 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 標準的なユーザ権限 を用意
14 ©AR Advanced Technology All Right Reserved. 実装方法 Githubから ソースコード取得
AWS CDKにて cdk deploy を実行 AWS Cloud 完成! 要件によって コードを変更
15 ©AR Advanced Technology All Right Reserved. 実装方法
16 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:サマリ) 全件数
63 対象外件数 47 準拠件数 10 非準拠件数 6 BLEA実装において62.5%の準拠を達成可能 ※EC2,RDS等のシステム構築をしていない、運用方法を確立していないため対象外多め
17 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC04-
BP01 サービスとアプリケーションの ログ記録を設定する 準拠 SEC04- BP02 標準化された場所でログ、検出結果、メ トリクスをキャプチャする 準拠 SEC04- BP03 セキュリティアラートの関連付けと強化 準拠 SEC04- BP04 非準拠リソースの修正を開始する 準拠 SEC04(検出)においてはすべて準拠できている
18 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC02-
BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり
19 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果(セキュリティの柱:準拠抜粋) SEC02-
BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり あくまでセキュリティベースライン 案件特性に応じて変更を加える
20 ©AR Advanced Technology All Right Reserved. まとめ
21 ©AR Advanced Technology All Right Reserved. まとめ AWS環境構築時はやらなきゃいけないことがたくさん •
ログイン権限定義、CloudTrail証跡、GuardDutyなど・・・ BLEA(Baseline Environment on AWS) • 単独・マルチアカウント両方に対応したAWSCDKのテンプレート群 • AWSアーキテクチャやCDKの勉強にも使える あくまでベースライン • WAレビュー結果は、一部の要素は準拠できている • 案件特性に応じて変更すること
22 ©AR Advanced Technology All Right Reserved. ARアドバンストテクノロジ株式会社【略称:ARI】 〒150-0002 東京都渋谷区渋谷1-14-16
渋谷野村證券ビル8F TEL : 03-6450-6080 FAX : 03-6450-6088 URL : https://ari-jp.com
kazushi_ohata
oracle4engineer
lycorptech_jp
cheng_wei_chen
izumii19
hiranabe
hamukazu
ks91
amarelo_n24
daitak
sansantech
takasyou
moulongzhang
tamaranovitovic
swwweet
inesmontani
eileencodes
watany
iamctodd
shlominoach
codingconduct
reverentgeek
chriscoyier
greggifford
mkilby
