Upgrade to PRO for Only $50/Year—Limited-Time Offer! 🔥

組織的なクラウド統制のはじめの一歩 後編

組織的なクラウド統制のはじめの一歩 後編

nyankotaro

May 28, 2024
Tweet

More Decks by nyankotaro

Other Decks in Technology

Transcript

  1. 6 Organizations 〜OU〜 Classmethod Cloud Guidebookでサンプル例 OU設計の一例 Security OU :

    CloudTrail,Configのログ集約 Security Hub,GuardDutyの集約管理 Infrastructure OU : 共通インフラの構築 Workload OU : 個別システムの構築 Organizational unit(OU)は、AWS Organizations内のアカウントのグループで、類似した役 割や目的を持つアカウントを組織化するために使用されます。 OU設計はAWS Organizationsを利用する上でキモになる部分 組織に合わせたOU設計の検討が必要ですが、ベストプラクティスは存在します
  2. 18 (MFAは必ず設定しよう!) Phase 1: アイデンティティ とアクセス管理 https://dev.classmethod.jp/articles/forced_mfa/ IAM Identity Centerを利用している環境ではデフォルトでユーザのMFA登録が

    必須になるよう設定されている(2023/11/16以降に作成した環境) IAMユーザを利用している環境ではポリシーを設定することでMFA利用を強制す ることが可能 ※デフォルトMFA必須状態じゃない! 参考 : Bcryptの数字6文字は“一瞬”で解読 2024年度Hive Systemsパスワード強度調査より https://www.hivesystems.com/blog/are-your-passwords-in-the-green クラウドサービスにおけるユーザー/パスワード認証は危険
  3. 22 AWS CloudTrail どのユーザーが、どんなイベントを、いつ実行しているのか確認できる ※デフォルトログではデータイベント/Insightsイベントは記録されません。 ・ データイベント : S3オブジェクトAPI(PutObject, DeleteObject...)、Lambda

    実行API(Invoke)、DynamoDBオブジェクトAPI(PutItem, DeleteItem...) ・ Insightsイベント : 管理イベントのAPIコールボ リュームの計測値が、通常 のパターンから外れた場合 に⽣成
  4. 32 Control Tower AWS Control Tower Control Tower は Organizations

    を前提として利用するサービス SCP、AWS Config、AWS CloudTrailなどを用いてAWSのベストプラクティ スに基づいたルールを設定し、Control Towerマネージドに各アカウントの 統制を制御する Phase 2: インフラ保護
  5. 33 Control Tower https://classmethod.jp/articles/aws-control-tower/ Control Towerのアーキテクチャと統制内容 セキュリティ統制 Control Towerが用意するコントロール(ガードレール) で予防的/発見的コントロールを適用を徹底できる

    ログの一元管理 CloudTrail/Configのログを自動有効、集約する SCPによるSecurity OUへの改ざんを保護 可用性の高いS3にログを保存 ユーザの集約管理 IAM Identity Centerによる事前設定された グループの提供とアクセスの集約管理
  6. 38 IAM Access Analyzer Phase 1: アイデンティティ とアクセス管理 AWS IAM

    Access Analyzer アナライザーはポリシー内容を評価して外部エンティティからリソースアク セス経路が検知された場合にそれをFindingという単位で検出する 外部から利用可能なAWSリソースを検知・一覧化(外部アクセスアナライザー) 無料でIAM、S3など15サービスの外部から利用な状況を検出可能 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/access-analyzer-resources.html 未使用の許可権限やIAMリソースの検出(未使用アクセスアナライザー) オプション料金で非アクティブなIAMロール、未使用のアクセス許可、ユー ザーパスワード、ユーザーアクセスキーを検出可能
  7. 44 AWS Security Hub 組織的な展開 Auto-enable accounts Auto-enable default standards

    Security Hubのみ有効化する設定 Security Hubおよびセキュリティ基準 を有効化する設定 - AWS基礎セキュリティのベストプラクティス - CIS v1.2.0 リージョンごとに有効化設定が必要
  8. 49 CloudFormation StackSets AWS CloudFormation StackSets CloudFormation自体はAWSリソースをコードで管理し、展開するサービス CloudFormation StackSetsは複数アカウント/複数リージョンに展開するサ ービス

    Organizaitonsと連携することでアカウントがOUに追加されたことをトリガ ーに自動でリソースをデプロイすることが可能 Phase 3: 効率化
  9. 51 Control Tower カスタマイズ Account Factory Customization(AFC) Customizations for AWS

    Control Tower(CfCT) AWS Control Tower Account Factory for Terraform(AFT) CloudFormationテンプレートをベースにアカウント作成時にリソースを自 動的にデプロイし、ランディングゾーンをカスタマイズする方法 Terraformテンプレートをベースにアカウント作成時にリソースを自動的 にデプロイし、ランディングゾーンをカスタマイズする方法 Service Catalogをベースにアカウント作成時にリソースを自動的にデプロ イし、ランディングゾーンをカスタマイズする方法 pros : CloudFormationをベースにControl Towerの柔軟なカスタマイズが可能 cons : CfCT環境の学習/維持コストが発生する pros : TerraformをベースにControl Towerの柔軟なカスタマイズが可能 cons : AFT環境の学習/維持コストが発生する pros : カスタマイズ方法として最もマネージドな方法で環境維持コストが少ない cons : 一部制約が発生する(CT未対応リージョンへのデプロイはできない等)
  10. 53