Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
組織的なクラウド統制のはじめの一歩 後編
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
nyankotaro
May 28, 2024
Technology
1.3k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
組織的なクラウド統制のはじめの一歩 後編
nyankotaro
May 28, 2024
More Decks by nyankotaro
See All by nyankotaro
DevOps Agentで始めるAWS運用 〜フロンティアエージェントが変える運用の現場〜
nyankotaro
1
530
イノベーショントークから見るクラウド運用の未来を振り返ってみた
nyankotaro
0
1.1k
組織的AWS活用のススメ
nyankotaro
0
730
Classmethod Cloud Guidebookの裏側
nyankotaro
0
1.1k
CDKを使って爆速でナレッジサイトを公開した話
nyankotaro
1
2.7k
AWSのクラウド統制サービスの紹介
nyankotaro
0
1.4k
CLI構築のススメ
nyankotaro
1
1.2k
Other Decks in Technology
See All in Technology
AIをフル活用してオンコール機能のプロトタイプを2日で作った話 / Building an AI-Powered On-Call Prototype in Just Two Days
nari_ex
0
140
“詰む”前に仕組みを作れ 〜技術の波に溺れないためのキャッチアップ術〜
takasyou
7
4k
2026-06-23 知らないままで大丈夫?開発品質・効率向上が期待できるIBM Bob便利機能6選
yutanonaka
0
130
AI 不只幫你寫 Code: 當專案從 300 暴增到 1500, 我們如何撐住 DevOps
appleboy
0
260
組織における AI-DLC 実践
askul
0
130
5分でわかる Amazon Connect_20260608
hwangbyeonghun
0
120
Oracle Cloud Infrastructure:2026年6月度サービス・アップデート
oracle4engineer
PRO
1
360
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
yoshimi0227
0
920
40代で“やっとエンジニアになれた”――閉じた学びを開き、空の青さを知る / 20260628 Naoki Takahashi
shift_evolve
PRO
4
920
從觀望到全公司落地:AI Agentic Coding 導入實戰 — 流程整合與安全治理
appleboy
0
120
いまさら聞けない「仕様駆動開発入門」 〜AI活用時代の開発プロセスを考える〜
findy_eventslides
2
230
クレデンシャル流出 ― 攻撃 3 時間 vs 復旧 10 時間。この非対称性にどう備えるか
kazzpapa3
3
590
Featured
See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
254
22k
Money Talks: Using Revenue to Get Sh*t Done
nikkihalliwell
0
260
The B2B funnel & how to create a winning content strategy
katarinadahlin
PRO
1
400
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
310
Color Theory Basics | Prateek | Gurzu
gurzu
0
370
Optimizing for Happiness
mojombo
378
71k
Building an army of robots
kneath
306
46k
Leadership Guide Workshop - DevTernity 2021
reverentgeek
1
310
The Power of CSS Pseudo Elements
geoffreycrofte
82
6.3k
Rails Girls Zürich Keynote
gr2m
96
14k
Transcript
組織的なクラウド統制のはじめの⼀歩 〜 後編 〜 2024.5.9 AWS事業本部 コンサルティング部 花澤 雄紀、⾼⼭ 晃太朗
1
2 本日話す内容と話さない内容 話す内容 話さない内容 クラウド統制に役立つAWSサービスの紹介 各サービスの具体的な設定内容
3 アカウント管理
4 アカウント管理 AWSの推奨はマルチアカウント戦略 複数のワークロードが存在する環境の場合、 https://aws.amazon.com/jp/blogs/news/best-practices-for-organizational-units-with-aws-organizations/
5 Organizations AWS Organizations AWS Organizationsは、複数のAWSアカウントを一元管理することができるサービス Organizational unit(OU)の単位で組織設計することができる Organizationsを利用することで他のAWSサービスで組織機能が利用できる Service
control policy(SCP)でOU/アカウント単位でアクセス制御
6 Organizations 〜OU〜 Classmethod Cloud Guidebookでサンプル例 OU設計の一例 Security OU :
CloudTrail,Configのログ集約 Security Hub,GuardDutyの集約管理 Infrastructure OU : 共通インフラの構築 Workload OU : 個別システムの構築 Organizational unit(OU)は、AWS Organizations内のアカウントのグループで、類似した役 割や目的を持つアカウントを組織化するために使用されます。 OU設計はAWS Organizationsを利用する上でキモになる部分 組織に合わせたOU設計の検討が必要ですが、ベストプラクティスは存在します
7 Organizations 〜SCP〜 Service Control Policy(SCP)は、組織内のOUやアカウントにアタッチすることが できる機能で、そのアカウントまたはOU内のすべてのアカウントのアクセス許可を 管理できます。 SCP Phase
2: アイデンティティ とアクセス管理
8 Organizations 〜SCP〜 SCPでよく制御するポリシー例 利用料の高いサービス(Shield Advance,高額EC2など)の利用禁止 特定リージョンの利用禁止 etc... 特定サービスの無効化/設定変更を禁止
9 Organizations 〜連携サービス〜 GuardDuty Inspector Organizationsを利用することで他のAWSサービスで組織機能 が利用できる Detective etc... https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_integrate_services_list.html
Security Hub
10 ユーザー管理
11 ユーザー管理 マルチアカウントでAWS環境へアクセスするユーザ ここでいうユーザ管理は、
12 マルチアカウントでのユーザ管理3選
13 AWS IAM Identity Center Organizationsと連携して、ユーザー毎のアクセス権限を一元管理する機能 ログイン画面例 ユースケース : Organizations利用環境でAWSアカウントのアクセス権限を集中管理したい
Phase 2: アイデンティティ とアクセス管理
14 AWS IAM Identity Center 既存IDプロバイダーが存在する場合は、IDストアに利用することも可能 ユースケース : Entra IDでユーザの集中管理をしたい
ログイン画面例 https://dev.classmethod.jp/articles/federate-azure-ad-and-aws-iam-identity-center/
15 AWS IAM Identity Center 既存IDプロバイダーが存在する場合は、IDストアに利用することも可能 ユースケース : Entra IDでユーザの集中管理をしたい
ログイン画面例
16 AWS IAM Identity Center 既存IDプロバイダーが存在する場合は、IDストアに利用することも可能 ユースケース : Entra IDでユーザの集中管理をしたい
ログイン画面例 「マイアプリ」からIAM Identity Centerポータルへジャンプする
17 IAMユーザーからスイッチロール IAMユーザー管理用アカウント(Jumpアカウント)を用意して 各アカウントへスイッチロールする方法 ユースケース : Organizations利用できない環境でAWSアカウントのアクセス権限を集中管理したい
18 (MFAは必ず設定しよう!) Phase 1: アイデンティティ とアクセス管理 https://dev.classmethod.jp/articles/forced_mfa/ IAM Identity Centerを利用している環境ではデフォルトでユーザのMFA登録が
必須になるよう設定されている(2023/11/16以降に作成した環境) IAMユーザを利用している環境ではポリシーを設定することでMFA利用を強制す ることが可能 ※デフォルトMFA必須状態じゃない! 参考 : Bcryptの数字6文字は“一瞬”で解読 2024年度Hive Systemsパスワード強度調査より https://www.hivesystems.com/blog/are-your-passwords-in-the-green クラウドサービスにおけるユーザー/パスワード認証は危険
19 既存IDプロバイダーからIAM SAML https://pages.awscloud.com/rs/112-TZM-766/images/20200722_AWSBlackbelt_aws_sso.pdf 既存IDプロバイダー(Azure AD, Oktaなど)がある場合に、 既存IDプロバイダーの認証情報を使って各アカウントへアクセスする方法 ユースケース :
Organizations利用できない環境で既存IDプロバイダーを利用してAWSにアクセスしたい
20 ログ管理/監査
21 AWS CloudTrail AWS CloudTrail ユーザー、ロール、またはAWSのサービスによって実行されたアクションを記録 デフォルト90日間記録、90日を超えるログを記録する場合は証跡を作成する Organizationsと連携して「組織の証跡」を作成できる Phase 1:
脅威検出
22 AWS CloudTrail どのユーザーが、どんなイベントを、いつ実行しているのか確認できる ※デフォルトログではデータイベント/Insightsイベントは記録されません。 ・ データイベント : S3オブジェクトAPI(PutObject, DeleteObject...)、Lambda
実行API(Invoke)、DynamoDBオブジェクトAPI(PutItem, DeleteItem...) ・ Insightsイベント : 管理イベントのAPIコールボ リュームの計測値が、通常 のパターンから外れた場合 に⽣成
23 AWS CloudTrail コンソールで確認できるのは90日間まで。 90日以上保存したい場合は「証跡」を作成して、保存する必要がある データ/Insightsイベントはここを有効して記録
24 AWS CloudTrail マルチアカウント環境で統制を効かせる場合は、Organizationsと連携して 「組織の証跡」を作成できる
25 AWS Config AWS Config AWSのリソースの構成変更履歴を収集、管理、評価するサービス デフォルト無効化のため、有効化する必要あり Organizationsと連携して「Aggregator」を作成できる Phase 2:
セキュリティ保証
26 AWS Config AWSのリソースの構成変更履歴を収集、管理、評価するサービス 評価(Configルール) 収集/管理(リソースタイムライン) マネージドルール : AWSが提供するConfigルール カスタムルール
: ユーザが独自に作成するConfigルール https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/managed-rules-by-aws-config.html
27 AWS Config デフォルト無効化のため、有効化する必要あり ポイント : グローバルリソースを含める設定は1リージョンにする 複数リージョンのConfigでグローバルリソースを収集すると記録が重複し無駄なコストが発生する https://dev.classmethod.jp/articles/config-global-resources-one-region/
28 AWS Config Organizationsと連携して「Aggregator」を作成できる
29 監査ログ集約のアカウント構成例 監査/ログアーカイブのリソースを 削除できないSCPを適用
30 この構成を自前で実装は大変...
31 Control Tower
32 Control Tower AWS Control Tower Control Tower は Organizations
を前提として利用するサービス SCP、AWS Config、AWS CloudTrailなどを用いてAWSのベストプラクティ スに基づいたルールを設定し、Control Towerマネージドに各アカウントの 統制を制御する Phase 2: インフラ保護
33 Control Tower https://classmethod.jp/articles/aws-control-tower/ Control Towerのアーキテクチャと統制内容 セキュリティ統制 Control Towerが用意するコントロール(ガードレール) で予防的/発見的コントロールを適用を徹底できる
ログの一元管理 CloudTrail/Configのログを自動有効、集約する SCPによるSecurity OUへの改ざんを保護 可用性の高いS3にログを保存 ユーザの集約管理 IAM Identity Centerによる事前設定された グループの提供とアクセスの集約管理
34 セキュリティ管理
35 Amazon GuardDuty Amazon GuardDuty 継続的にモニタリングし、悪意のあるアクティビティを検出するサービス Phase 1: インシデント対応
36 Amazon GuardDuty 継続的にモニタリングし、悪意のあるアクティビティを検出 オプション保護 デフォルトではEC2/IAMのイベント検出 - C&Cサーバとの通信 - EC2インスタンスの認証情報の外部アカウント利用の検出
- S3 Protection - EKS Protection - ランタイムモニタリング - Malware Protection - RDS Protection - Lambda保護
37 Amazon GuardDuty 組織的な展開 保護プランごとに有効化を選択可能 リージョンごとに有効化設定が必要
38 IAM Access Analyzer Phase 1: アイデンティティ とアクセス管理 AWS IAM
Access Analyzer アナライザーはポリシー内容を評価して外部エンティティからリソースアク セス経路が検知された場合にそれをFindingという単位で検出する 外部から利用可能なAWSリソースを検知・一覧化(外部アクセスアナライザー) 無料でIAM、S3など15サービスの外部から利用な状況を検出可能 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-resources.html 未使用の許可権限やIAMリソースの検出(未使用アクセスアナライザー) オプション料金で非アクティブなIAMロール、未使用のアクセス許可、ユー ザーパスワード、ユーザーアクセスキーを検出可能
39 IAM Access Analyzer 組織的な展開 信頼ゾーンを組織単位に定義して設定可能 リージョンごとに有効化設定が必要 https://dev.classmethod.jp/articles/create-archive-rules-in-multi-regions/ 外部アクセスアナライザーのIAMリソース 検知は全リージョンで記録される
メインリージョン以外のIAM検知をアーカイブすること で運用負荷を軽減
40 AWS Security Hub AWS Security Hub セキュリティサービスを中央集権的に管理することもできる 基準に従ってセキュリティチェックするサービス Phase
1: セキュリティ保証
41 AWS Security Hub 基準に従ってセキュリティチェックする機能 6つのセキュリティ基準が提供されている(2024/5/9時点) 前提条件としてAWS Configを有効化する必要がある 「AWS基礎セキュリティのベストプラクティス」が網羅的にチェックしており とりあえず有効しておくのがオススメ
検出結果の対応方法は随時ブログ化中 https://dev.classmethod.jp/referencecat/securityhub-fsbp-remediation/
42 AWS Security Hub セキュリティサービスを中央集権的に管理するサービス 統合機能でAWSサービス/3rdパーティ製品を中央集権的に管理できる GuardDutyを取り込んだ例 統合したサービスはSecurity Hub経由して通知ができる https://dev.classmethod.jp/articles/guardduty-notification-via-securityhub/
43 https://dev.classmethod.jp/articles/learn-from-past-cases-of-using-aws-security-services/
44 AWS Security Hub 組織的な展開 Auto-enable accounts Auto-enable default standards
Security Hubのみ有効化する設定 Security Hubおよびセキュリティ基準 を有効化する設定 - AWS基礎セキュリティのベストプラクティス - CIS v1.2.0 リージョンごとに有効化設定が必要
45 AWS Security Hub 組織的な展開 re:Invent 2023でリリースされた機能 従来オプションより柔軟に設定ができ るため組織的な展開をする場合は中央 設定を推奨
46 AWS Security Hub 組織的な展開(中央設定) ポリシーでOU/アカウント毎に設定可能 リージョンにまたがる設定が一括可能 ポリシーでは個別に以下の項目設定可能 - セキュリティ基準
- 無効化コントロール - コントロールのパラメータカスタマイズ
47 (アドバンスド) 自動化
48 アカウントを作成するたびにクラウド統制の 設定をするのはつらい...
49 CloudFormation StackSets AWS CloudFormation StackSets CloudFormation自体はAWSリソースをコードで管理し、展開するサービス CloudFormation StackSetsは複数アカウント/複数リージョンに展開するサ ービス
Organizaitonsと連携することでアカウントがOUに追加されたことをトリガ ーに自動でリソースをデプロイすることが可能 Phase 3: 効率化
50 CloudFormation StackSets Control Towerも実態としてCloudFormation StackSetsが動いている
51 Control Tower カスタマイズ Account Factory Customization(AFC) Customizations for AWS
Control Tower(CfCT) AWS Control Tower Account Factory for Terraform(AFT) CloudFormationテンプレートをベースにアカウント作成時にリソースを自 動的にデプロイし、ランディングゾーンをカスタマイズする方法 Terraformテンプレートをベースにアカウント作成時にリソースを自動的 にデプロイし、ランディングゾーンをカスタマイズする方法 Service Catalogをベースにアカウント作成時にリソースを自動的にデプロ イし、ランディングゾーンをカスタマイズする方法 pros : CloudFormationをベースにControl Towerの柔軟なカスタマイズが可能 cons : CfCT環境の学習/維持コストが発生する pros : TerraformをベースにControl Towerの柔軟なカスタマイズが可能 cons : AFT環境の学習/維持コストが発生する pros : カスタマイズ方法として最もマネージドな方法で環境維持コストが少ない cons : 一部制約が発生する(CT未対応リージョンへのデプロイはできない等)
52 クラウド統制に役立つAWSサービス使って 組織的なクラウド統制のはじめの一歩を 踏み出そう!
53