$30 off During Our Annual Pro Sale. View Details »

アジリティと両立する AWS のガバナンスコントロール

アジリティと両立する AWS のガバナンスコントロール

Presented at AWS Startup Meetup 大阪 ReBoot
2024/07/29(月)
https://aws-startup-community.connpass.com/event/323403/

はまーん

July 29, 2024
Tweet

More Decks by はまーん

Other Decks in Technology

Transcript

  1. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. アジリティと両立する AWSのガバナンスコントロール Shinichi Hama(はまーん) アマゾン ウェブ サービス ジャパン合同会社 シニアソリューションアーキテクト
  2. © 2024, Amazon Web Services, Inc. or its affiliates. 2

    Shinichi Hama / はまーん (@track3jyo) Sr. Solutions Architect, Startup Amazon Web Services Japan --- • ⼤阪オフィス勤務(ほぼ家にいますが) • スタートアップ企業の⽀援 • 過去のスライド: https://speakerdeck.com/track3jyo • 趣味は「広く」あーきてくてぃんぐ
  3. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. AWS から⾒たガバナンス 3
  4. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. 4 Guardrails Strategy
  5. © 2024, Amazon Web Services, Inc. or its affiliates. 5

    Builder(⼿が動く開発者)に⾃由を与え、 承認なく適切な箇所で適切なツールを使えるようにする それによって柔軟・迅速にビジネス価値を実現できる
  6. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンス 6
  7. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. ガバナンスにまつわるタスク 7 • ロギング • リスクのある設定の防⽌、検出、修正 • アラート通知設定 • ユーザー管理 • セキュリティチェックシート • パッチ適⽤(脆弱性管理) • コスト最適化(予算アラートの設定など) • インフラのコード化、DevOps導⼊ • AWS アカウント管理 ...and more
  8. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンスの課題

    8 • 事業フェーズや組織構造に起因 • Product Market Fit 優先のため⼈的リソースを割けない • ガバナンスに責任を持つチームが存在しない • フルサイクルエンジニアやテックリードなど、ハイスキルなメンバーが⽚⼿間で対応している • 外部に起因 • SRE/インフラエンジニアを採⽤したくとも転職市場に⼈がおらず採⽤が難しい • 例) そもそも採⽤⾃体ができない。⼈材流出後の補填もうまくいかない • 例) 業務委託で構築だけお願いしているので、継続的にガバナンスを向上させにくい
  9. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップにおけるガバナンスの課題

    9 ⼈的リソースが限られるなかでどうやって多岐にわたるタスクを実施するか︖ • 巨⼈の肩に⽴つ : AWSの経験によるベストプラクティスを適切なタイミングで活⽤ • 最⼩限のセキュリティ対策 – AWS Startup Security Baseline (AWS SSB) • マルチアカウント管理 – AWS Control Tower/Landing Zone • リファレンスの活⽤ – AWS Well-Archtected Framework – AWS Security Reference Architecure (AWS SRA)
  10. © 2024, Amazon Web Services, Inc. or its affiliates. スタートアップのためのガバナンス向上ジャーニー

    10 サービス⽴ち上げ PMF AWS Startup Security Baseline (AWS SSB) サービス数の増加 エンジニアの増加 アクション マルチアカウント管理 AWS Control Tower/BLEA 導⼊ Infra as Code, CI/CD pipeline 整備 Observability 導⼊ IPO 最低限必要な設定 運⽤コストのかからないマネージドサービスの導⼊ 開発速度を向上させる基盤の構築 複雑化するアーキテクチャと組織構造には⾃動化で対応 Platform Engineering とも関連 もちろん、ここで⽰したタイミングより早くアクションできるとGood! 可能であれば、最初期からのマルチアカウント管理が推奨 リファレンス AWS Security Reference Architecture (AWS SRA) AWS Well-Architected Framework
  11. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. ガバナンス向上のためのアプローチ 11
  12. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Startup Security Baseline (AWS SSB) 12 • アジリティを低下させることなく AWS にセキュリティを構築するための 最⼩限で基礎的なベースライン – 初期のスタートアップを念頭に設計 – 単⼀の AWS アカウント環境で利⽤することを想定している⼀⽅、マルチアカウント アーキテクチャへにも移⾏しやすい – AWS Well-Architected Framework セキュリティの柱と⼀致 – 「アカウントの保護」「ワークロードの保護」から構成されている https://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/aws-startup-security-baseline/wkld-15.html
  13. © 2024, Amazon Web Services, Inc. or its affiliates. 13

    AWS SSB [Account編] ACCT02. rootユーザーの利⽤を制限する ACCT01. AWSアカウントの設定emailアドレスは個⼈の emailではなく組織のemailアドレスを設定する ACCT04. IAMグループを使⽤して権限を付与する ACCT03. AWSマネージメントへのアクセスを個々のIAM ユーザー毎に設定する ACCT05. ログイン時にMFAを要求する ACCT06. パスワードポリシーを強化する ACCT08. プライベート S3 バケットへのパブリックアクセ スを防ぐ ACCT07. CloudTrail ログを保護された S3 バケットに配 信する ACCT10. AWS Budgesを設定し⽀出を監視する ACCT09. 未使⽤のリソースを削除する(VPC、サブネット、 セキュリティグループ) ACCT11. Amazon GuardDuty を有効化し 通知設定をす る ACCT12. AWS Trusted Advisor を使⽤してリスクの⾼い 問題を監視して解決する
  14. © 2024, Amazon Web Services, Inc. or its affiliates. 14

    AWS SSB [ワークロード編] WKLD02. リソースベースのポリシーを使⽤する WKLD01. アクセス許可に IAM ロールを使⽤する WKLD04. アプリケーションシークレットを保護する WKLD03. エフェメラルシークレットまたはシークレット 管理サービスを使⽤する WKLD05. 公開されたシークレットを検出して修正する WKLD06. SSH または RDP の代わりに Systems Manager を使⽤する WKLD08. Amazon EBS ボリュームを暗号化する WKLD07. 選択した S3 バケットのデータイベントを記録 する WKLD10. プライベートリソースをプライベートサブネッ トにデプロイする WKLD09. Amazon RDS データベースを暗号化する WKLD11. セキュリティグループを使⽤してアクセスを制 限する WKLD12. VPC エンドポイントを使⽤して、サービスにア クセスする WKLD13. すべてのパブリックウェブエンドポイントに HTTPS を要求する WKLD14. パブリックエンドポイントにエッジプロテク ションサービスを使⽤する WKLD15. テンプレートを使⽤してセキュリティコント ロールをデプロイする
  15. © 2024, Amazon Web Services, Inc. or its affiliates. ©

    2024, Amazon Web Services, Inc. or its affiliates. とりあえず SSB やっとき!! 15
  16. © 2024, Amazon Web Services, Inc. or its affiliates. マルチアカウント管理

    16 • なぜマルチアカウント管理が必要か 請求の分離 セキュリティ境界 リソースの分離
  17. © 2024, Amazon Web Services, Inc. or its affiliates. マルチアカウント管理

    17 • シングルアカウント管理のデメリット • 「グレーな」境界 • 時間経過に伴って複雑で管理が⾯倒 • リソースのトラッキングが困難 • 責任の範囲が不明確 Everything
  18. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower 18 マネージド サービス 追加料⾦なし ベストプラクティス に基づく環境 マルチアカウント環境のセットアップを⾃動化するマネージドサービス 注意) AWS Control Tower を通じてセットアップするように設定されたサービスは費⽤が発⽣する可能性があります
  19. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower = コンフィグジェネレータ 19 AWS セキュリティサービス群にベストプラクティスに則った設定を投⼊し、 統制を利かせたマルチアカウント環境 (Landing Zone) を構成、運⽤するサービス User Landing Zone AWS Control Tower IAM Identity Center Service Catalog CloudFormation Organizations CloudTrail AWS Config etc アカウントを効率よく 管理する仕組み
  20. © 2024, Amazon Web Services, Inc. or its affiliates. AWS

    Control Tower でできること 20 • ①シングルサインオン • 複数のAWSアカウントへのログインを共通ログイン画⾯で提供 • ②ログ集約 • AWSの操作ログ(監査ログ)の⾃動収集と、専⽤アカウントへの集約 • ③ガードレール • リスクのある操作の予防(禁⽌)と監視(通知) • ④アカウント作成 • 新規AWSアカウントの⾃動セットアップ(連絡先、⽀払い情報設定や上記設定の適⽤) ※なお、既存のワークロードへの副作⽤はありません。
  21. © 2024, Amazon Web Services, Inc. or its affiliates. 22

    スタートアップの⽅から聞く声 Control Tower を使っているけど、正直アカウント発⾏の 仕組み以上には使えていないんだよなー。 ⼭ほどガードレールがあって、推奨と⾔われても⾃分達は 何を有効にしたらいいのかピンとこない・・・
  22. © 2024, Amazon Web Services, Inc. or its affiliates. 23

    Control Tower - 包括的なコントロール管理機能 - Ø コントロールにフレームワーク、統制⽬標、 サービスなどのメタデータが付与され、 管理者が⽤途に応じて選択して適⽤しやすく なった • 例1. SageMaker を使いたい → SageMaker を対象とするコントロールを確認&有効化 • 例2. PCI DSS を準拠したい → PCI DSS を対象とするコントロールを確認&有効化 Ø 362 のコントロールをプリセットで提供 (2023 年 2 ⽉現在) https://aws.amazon.com/jp/blogs/news/new-for-aws-control-tower-comprehensive-controls-management-preview/
  23. © 2024, Amazon Web Services, Inc. or its affiliates. まとめ

    24 • AWSのガバナンスはビジネスを成功に導く戦略的な取り組み • スタートアップにおける課題と、ガバナンス向上ジャーニーを確認 • AWS Startup Security Baseline で必要最⼩限のタスクからスタートできる • マルチアカウント管理(AWS Control Tower)の導⼊によりガバナンス強化と ⾃動化を両⽴し、アジリティを落とさない
  24. これから始めるコンテナワークロード © 2024, Amazon Web Services, Inc. or its affiliates.

    © 2024, Amazon Web Services, Inc. or its affiliates. Thank you! :track3jyo Shinichi Hama(はまーん)