Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
AWSのクラウド統制サービスの紹介
Search
nyankotaro
April 17, 2023
Technology
1.4k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
AWSのクラウド統制サービスの紹介
nyankotaro
April 17, 2023
More Decks by nyankotaro
See All by nyankotaro
DevOps Agentで始めるAWS運用 〜フロンティアエージェントが変える運用の現場〜
nyankotaro
1
530
イノベーショントークから見るクラウド運用の未来を振り返ってみた
nyankotaro
0
1.1k
組織的AWS活用のススメ
nyankotaro
0
730
組織的なクラウド統制のはじめの一歩 後編
nyankotaro
0
1.3k
Classmethod Cloud Guidebookの裏側
nyankotaro
0
1.1k
CDKを使って爆速でナレッジサイトを公開した話
nyankotaro
1
2.7k
CLI構築のススメ
nyankotaro
1
1.2k
Other Decks in Technology
See All in Technology
ぼっちではじめた登壇が「51名」「241件」の発信に化けた
subroh0508
1
330
BPaaSで進むAIオペレーションの現在地 AI実装が効く領域とスケーラビリティの選定と実装
kentarofujii
0
210
事業会社における 機械学習・推薦システム技術の活用事例と必要な能力 / ml-recsys-in-layerx-wantedly-2026
yuya4
0
160
MySQL & MySQL HeatWave Report - June 2026
freshdaz
0
180
AIエージェントとPhysical AIが拓く製造業の変革(ハノーバーメッセリキャップ)
iotcomjpadmin
0
160
サイバーエージェントにおけるAI推進戦略と変革への取り組み
shotatsuge
0
590
コミットの「なぜ」を読む
ota1022
0
120
AIペネトレーションテスト・ セキュリティ検証「AgenticSec」紹介資料
laysakura
2
7.7k
秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント
seafay
PRO
1
500
AIは、人間らしい仕事の夢を見るか?─ AI時代のtoB/toEプロダクトを再設計する
techtekt
PRO
0
150
FPGAの開発コンペでZephyrを使ってみた
iotengineer22
0
210
水を運ぶ人としてのリーダーシップ
izumii19
4
1k
Featured
See All Featured
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
450
Test your architecture with Archunit
thirion
1
2.3k
Bootstrapping a Software Product
garrettdimon
PRO
307
120k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
370
Measuring & Analyzing Core Web Vitals
bluesmoon
9
870
Rails Girls Zürich Keynote
gr2m
96
14k
SEOcharity - Dark patterns in SEO and UX: How to avoid them and build a more ethical web
sarafernandez
0
210
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
200
The Illustrated Children's Guide to Kubernetes
chrisshort
51
52k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
Ruling the World: When Life Gets Gamed
codingconduct
0
260
How To Speak Unicorn (iThemes Webinar)
marktimemedia
1
490
Transcript
組織的なクラウド統制のはじめの⼀歩 〜AWS のクラウド統制サービスの紹介〜 2023.4.5 AWS事業本部 コンサルティング部 yhana、たかやま 1
2 本日話す内容と話さない内容 話す内容 話さない内容 CCoEに役立つAWSサービスの紹介 各サービスの具体的な設定内容
3 アカウント管理
4 アカウント管理 AWSの推奨はマルチアカウント戦略 複数のワークロードが存在する環境の場合、 https://aws.amazon.com/jp/blogs/news/best-practices-for-organizational-units-with-aws-organizations/
5 アカウント管理 そもそもなぜ複数アカウントの管理が必要なのか? 要件の異なるプロジェクト要望への対応 柔軟なセキュリティ制御 請求の簡素化
6 Organiza(ons AWS Organizations AWS Organizationsは、複数のAWSアカウントを一元管理することができるサービス Organizational unit(OU)の単位で組織設計することができる Organizationsを利用することで他のAWSサービスで組織機能が利用できる Service
control policy(SCP)でOU/アカウント単位でアクセス制御
7 Organizations 〜OU〜 Classmethod Cloud Guidebookでサンプル例 OU設計の一例 Security OU :
CloudTrail,ConJgのログ集約 Security Hub,GuardDutyのイベント集約 Infrastructure OU : 共通インフラの構築 Workload OU : 個別システムの構築 Organizational unit(OU)は、AWS Organizations内のアカウントのグループで、類似した役 割や目的を持つアカウントを組織化するために使用されます。 OU設計はAWS Organizationsを利用する上でキモになる部分 組織に合わせたOU設計の検討が必要ですが、ベストプラクティスは存在します
8 Organiza(ons 〜SCP〜 Service Control Policy(SCP)は、組織内のOUやアカウントにアタッチすること ができる機能で、そのアカウントまたはOU内のすべてのアカウントのアクセス許可を 管理できます。 SCP
9 Organizations 〜SCP〜 SCPでよく制御するポリシー例 利用料の高いサービス(Shield Advance,高額EC2など)の利用禁止 特定リージョンの利用禁止 etc... 特定サービスの無効化/設定変更を禁止
11 Organizations 〜連携サービス〜 Security Hub GuardDuty Organizationsを利用することで他のAWSサービスで組織機 能が利用できる Detective etc...
https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html
12 ユーザー管理
13 ユーザー管理 マルチアカウントでAWS環境へアクセスするユーザ ここでいうユーザ管理は、
14 各アカウントにIAMユーザー作成する マルチアカウント管理におけるユーザ管理のアンチパターン ユーザー管理
15 ユーザー管理 アンチパターンの理由 IAMユーザーは個人に紐付くサービスであり、運用が複雑化する パスワード管理が困難になる 権限管理が困難になる
16 マルチアカウントでのユーザ管理3選
17 AWS IAM Identity Center Organizationsと連携して、ユーザー毎のアクセス権限を一元管理する機能 ログイン画面例 ユースケース : Organizations利用環境でAWSアカウントのアクセス権限を集中管理したい
(既存IDプロバイダーが存在する場合は、IDストアに利用することも可能)
18 IAMユーザーからスイッチロール IAMユーザー管理用アカウント(Jumpアカウント)を用意して 各アカウントへスイッチロールする方法 ユースケース : Organizations利用できない環境でAWSアカウントのアクセス権限を集中管理したい
19 既存IDプロバイダーからIAM SAML https://pages.awscloud.com/rs/112-TZM-766/images/20200722_AWSBlackbelt_aws_sso.pdf 既存IDプロバイダー(Azure AD, Oktaなど)がある場合に、 既存IDプロバイダーの認証情報を使って各アカウントへアクセスする方法 ユースケース :
Organizations利用できない環境で既存IDプロバイダーを利用してAWSにアクセスしたい
20 ログ管理
21 ログ分類の例 システムログ : 上記以外で、システムの動作が記録されたログ 監査ログ : 環境やシステムに対する操作履歴が記録されたログ (操作者、操作内容を含む) 業務ログ
: アプリケーションによる業務処理や取引結果が記録されたログ (処理内容、処理ID等を含む)
22 どこまでCCoEが統制を効かせるか🤔
23 監査ログをCCoEが統制し、 それ以外を各システム管理者が管理というのがよくあるパターン
24 監査ログにもとめられること 完全性: 監査ログが改ざんされていないことを保証 可用性: 利用者が必要なときに安全にアクセスできる 機密性: 限られた人だけが情報に接触できるように制限 保存期間: 法的要件、規制要件、企業ポリシーに基づいた保存
25 AWS上の監査に役立つサービス
26 AWS CloudTrail AWS CloudTrail ユーザー、ロール、またはAWSのサービスによって実行されたアクションを記録 デフォルト90日間記録、90日を超えるログを記録する場合は証跡を作成する Organizationsと連携して「組織の証跡」を作成できる
27 AWS CloudTrail どのユーザーが、どんなイベントを、いつ実行しているのか確認できる ※デフォルトログではデータイベント/Insightsイベントは記録されません。 ・ データイベント : S3オブジェクトAPI(PutObject, DeleteObject...)、Lambda
実行API(Invoke)、DynamoDBオブジェクトAPI(PutItem, DeleteItem...) ・ Insightsイベント : 管理イベントのAPIコールボ リュームの計測値が、通常 のパターンから外れた場合 に⽣成
28 AWS CloudTrail コンソールで確認できるのは90日間まで。 90日以上保存したい場合は「証跡」を作成して、保存する必要がある データ/Insightsイベントはここを有効して記録
29 AWS CloudTrail マルチアカウント環境で統制を効かせる場合は、Organizationsと連携して「組織 の証跡」を作成できる
30 AWS Config AWS Config AWSのリソースの構成変更履歴を収集、管理、評価するサービス デフォルト無効化のため、有効化する必要あり Organizationsと連携して「Aggregator」を作成できる
31 AWS Config AWSのリソースの構成変更履歴を収集、管理、評価するサービス 評価(Configルール) 収集/管理(リソースタイムライン) マネージドルール : AWSが提供するConJgルール カスタムルール
: ユーザが独自に作成するConfigルール https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/manag ed-rules-by-aws-config.html
32 AWS Config デフォルト無効化のため、有効化する必要あり ポイント : グローバルリソースを含める設定は1リージョンにする 複数リージョンのConfigでグローバルリソースを収集すると記録が重複し無駄なコストが発生する https://dev.classmethod.jp/articles/config-global-resources-one-region/
33 AWS Config Organizationsと連携して「Aggregator」を作成できる
34 ログ集約のアカウント構成例 監査/ログアーカイブのリソー スを 削除できないSCPを適用
35 フォレンジック環境 ログ保管ができたらSIEMを使いできるフォレンジック環境の用意する SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch-service Sumo
Logic
36 セキュリティ管理
37 Amazon GuardDuty Amazon GuardDuty 継続的にモニタリングし、悪意のあるアクティビティを検出するサービス
38 Amazon GuardDuty 継続的にモニタリングし、悪意のあるアクティビティを検出 オプション保護 デフォルトではEC2/IAMのイベント検出 - C&Cサーバとの通信 - EC2インスタンスの認証情報の外部アカウント利用の検出
- S3 Protection(デフォルト有効) - EKS Protection(デフォルト有効) - Malware Protection - RDS Protection
39 AWS Security Hub AWS Security Hub セキュリティサービスを中央集権的に管理することもできる 基準に従ってセキュリティチェックするサービス
40 AWS Security Hub 基準に従ってセキュリティチェックする機能 5つのセキュリティ基準が提供されている(2023/4/5時点) 前提条件としてAWS Configを有効化する必要がある 「AWS基礎セキュリティのベストプラクティス」が網羅的にチェックしており とりあえず有効しておくのがオススメ
検出結果の対応方法は随時ブログ化中 https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/
41 AWS Security Hub セキュリティサービスを中央集権的に管理するサービス 統合機能でAWSサービス/3rdパーティ製品を中央集権的に管理できる GuardDutyを取り込んだ例 統合したサービスはSecurity Hub経由して通知ができる https://dev.classmethod.jp/articles/guardduty-notification-via-securityhub/
42 https://dev.classmethod.jp/articles/learn-from-past-cases-of-using-aws-security-services/
43 Amazon Detective Amazon Detective AWSリソースからログや監査ログなど自動収集し、セキュリティインシデントを 分析できるサービス ※SIEMとの違い サポートしているデータソースは限られており、 設計特性上GuardDuty起点での調査にフォーカスをあてている
- CloudTrailログ - VPCフローログ - GuardDuty - EKS監査ログ(オプション)
44 Amazon Detec(ve Detectiveによるセキュリティインシデント分析 https://dev.classmethod.jp/articles/akiba-aws-online-04-detective/
45 Control Tower
46 Control Tower AWS Control Tower Control Tower は Organizations
を前提として利用するサービス SCP、AWS Config、AWS CloudTrailなどを用いてAWSのベストプラク ティスに基づいたルールを設定し、Control Towerマネージドに各アカウン トの統制を制御する
47 Control Tower https://classmethod.jp/articles/aws-control-tower/ Control Towerのアーキテクチャと統制内容 セキュリティ統制 Control Towerが用意するコントロール(ガードレール) で予防的/発見的コントロールを適用を徹底できる
ログの一元管理 CloudTrail/Configのログを自動有効、集約する 完全性/可用性/機密性の確保 SCPによるSecurity OUへの改ざんを保護 可用性の高いS3にログを保存 IAM Identiy Centerによるアクセスの集約管理
48 マネージドである反面、企業ポリシーに適合 しないことも
49 組織管理プラン Organizations管理、Control Towerの適用で お悩みの方のご相談お待ちしています
50 Classmethod Cloud Guidebook
AWS利用ガイドラインのサンプル提供 51
52 AWS Security Hubガイド
53