【Jr.Champions勉強会】BLEAで始めるAWS環境構築

Transcript

1. 1 ©AR Advanced Technology All Right Reserved. BLEAで始めるAWS環境構築 Jr.champions勉強会 2024年11月05日

   ARアドバンストテクノロジ株式会社 大畑一志

2. 2 自己紹介 大畑 一志（おおはた かずし） ARアドバンストテクノロジ株式会社 2022年新卒入社 部署：Agile&クラウドネイティブサービス第3部 職種：クラウドエンジニア 趣味：ポケモンカード・漫才

   2024 Japan AWS Jr. Champions 表彰

3. 3 ©AR Advanced Technology All Right Reserved. アジェンダ AWS環境構築の課題 BLEAとは

   構成 実装と評価 終わりに（質疑応答

4. 4 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ CloudTrail証跡・・・

   SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・

5. 5 ©AR Advanced Technology All Right Reserved. AWS環境構築の課題 GuardDuty有効化・・・ rootユーザMFA登録・・・

   SecurityHub有効化・・・ ログインユーザ設定・・・ セキュリティイベントの 通知設定・・・ ログの集約・・・ やること多すぎ しかも標準化できてない

6. 6 ©AR Advanced Technology All Right Reserved. 課題に対するAWSパートナーの動向 クラスメソッド株式会社 セキュアアカウントサービス

   請求代行サービスとセットのプランを提示 TIS株式会社 セキュリティプリセット 各種セキュリティベンチマーク準拠率を担保

7. 7 ©AR Advanced Technology All Right Reserved. BLEA知ってますか？ ブレア

8. 8 ©AR Advanced Technology All Right Reserved. BLEA（Baseline Environment on

   AWS）とは BLEAとは？ Baseline Environment on AWS (BLEA) は 単独の AWS アカウント、 または AWS Control Tower で管理されたマルチアカウント環境で、 セキュアなベースラインを確立するための リファレンス AWS CDK テンプレート群 典型的なシステムアーキテクチャを実現するエンドツーエンドの AWS CDK サンプルコードを提供 目的 •迅速な環境構築：AWSでの基盤を素早く構築 •セキュリティの標準化：セキュリティ要件を標準化してリスクを軽減 •AWSアーキテクチャの教育：AWSのベストプラクティスなアーキを知れる •CDKの習得：カスタマイズしやすいコードによって、CDKを習得

9. 9 ©AR Advanced Technology All Right Reserved. BLEA（Baseline Environment on

   AWS）とは Githubから入手可能

10. 10 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図（スタンドアロン型）

11. 11 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント を監視する基盤

12. 12 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 セキュリティイベント をSlackに通知

13. 13 ©AR Advanced Technology All Right Reserved. BLEAの利用後の構成図 標準的なユーザ権限 を用意

14. 14 ©AR Advanced Technology All Right Reserved. 実装方法 Githubから ソースコード取得

    AWS CDKにて cdk deploy を実行 AWS Cloud 完成！ 要件によって コードを変更

15. 15 ©AR Advanced Technology All Right Reserved. 実装方法

16. 16 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果（セキュリティの柱：サマリ） 全件数

    63 対象外件数 47 準拠件数 10 非準拠件数 6 BLEA実装において62.5%の準拠を達成可能 ※EC2,RDS等のシステム構築をしていない、運用方法を確立していないため対象外多め

17. 17 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果（セキュリティの柱：準拠抜粋） SEC04-

    BP01 サービスとアプリケーションの ログ記録を設定する 準拠 SEC04- BP02 標準化された場所でログ、検出結果、メ トリクスをキャプチャする 準拠 SEC04- BP03 セキュリティアラートの関連付けと強化 準拠 SEC04- BP04 非準拠リソースの修正を開始する 準拠 SEC04（検出）においてはすべて準拠できている

18. 18 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果（セキュリティの柱：準拠抜粋） SEC02-

    BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり

19. 19 ©AR Advanced Technology All Right Reserved. Well-Architected レビューの結果（セキュリティの柱：準拠抜粋） SEC02-

    BP01 強力なサインインメカニズムを使用する 非準拠 SEC02- BP04 一元化された ID プロバイダーに依存する 非準拠 SEC01- BP02 安全なアカウントの ルートユーザーとプロパティ 非準拠 SEC01- BP03 コントロール目標の特定と検証 非準拠 MFA登録やSAMLによる共通基盤からの認証など 別途対応が必要なものもあり あくまでセキュリティベースライン 案件特性に応じて変更を加える

20. 20 ©AR Advanced Technology All Right Reserved. まとめ

21. 21 ©AR Advanced Technology All Right Reserved. まとめ AWS環境構築時はやらなきゃいけないことがたくさん •

    ログイン権限定義、CloudTrail証跡、GuardDutyなど・・・ BLEA（Baseline Environment on AWS） • 単独・マルチアカウント両方に対応したAWSCDKのテンプレート群 • AWSアーキテクチャやCDKの勉強にも使える あくまでベースライン • WAレビュー結果は、一部の要素は準拠できている • 案件特性に応じて変更すること

22. 22 ©AR Advanced Technology All Right Reserved. ＡＲアドバンストテクノロジ株式会社【略称：ＡＲＩ】 〒150-0002 東京都渋谷区渋谷1-14-16

    渋谷野村證券ビル8F TEL : 03-6450-6080 FAX : 03-6450-6088 URL : https://ari-jp.com