Successfully reported this slideshow.

aws-multiaccount-notify

0

Share

Loading in …3
×
1 of 41
1 of 41

More Related Content

Related Books

Free with a 14 day trial from Scribd

See all

Related Audiobooks

Free with a 14 day trial from Scribd

See all

aws-multiaccount-notify

  1. 1. AWS マルチアカウントの セキュリティ通知集約
  2. 2. 自己紹介 名前:富松 広太(とみまつ こうた) 所属:justInCase Technologies (part time参加、このイベントきっかけで知り合えました) Blog:https://cloud-aws-gcp.hateblo.jp/ twitter:@kotamemento 2020~21 APN Ambassador、ALL AWS Certifications Engineer
  3. 3. 会社紹介 & 背景 ・取引先に大手保険会社様が多い ・セキュリティ基準 の遵守が求められる
  4. 4. 全体像
  5. 5. 1. 可能な限りManagedに身を任せる Organizations Control Tower Security Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 全体像
  6. 6. Control Tower
  7. 7. Control Tower 1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると 通常アカウント 管理アカウント
  8. 8. 1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると trail集約 Control Tower
  9. 9. 1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると config集約 Control Tower
  10. 10. 1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると configのrule違反を集約 Control Tower
  11. 11. 1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると configのrule違反を集約 Control Tower マルチアカウント環境のベースを構築してくれる(多少の縛りはあるが)
  12. 12. configのrule違反を集約 Control Tower
  13. 13. Security Hub GuardDuty
  14. 14. Security Hub GuardDuty + Organizations 1. auditアカウントに権限委譲 (rootアカウントから管理権限を委譲) 2. auditアカウントから  各Applicationアカウントの  securityhub , guarddutyを有効化 (Organizationの連携機能あり) 3. auditアカウントに結果集約
  15. 15. Security Hubが有効化されると Security Hub デフォルトでAWS bestpracticeとCISのstandardが有効化される
  16. 16. Security standardsとは 1.1 —「ルート」アカウントの使用を避ける 1.2 — コンソールパスワードを持つすべてのIAM ユーザーに対して多要素認証(MFA) が有効になっていることを確認します 1.3 — 90 日間以上使用されていない認証情報は無効にします。 1.4 — アクセスキーは90 日ごとに更新します。 1.5 — IAM パスワードポリシーには少なくとも1 つの大文字が必要です 1.6 — IAM パスワードポリシーには少なくとも1 つの小文字が必要です 1.7 — IAM パスワードポリシーには少なくとも1 つの記号が必要です ・・・・・・・ [IAM.1] IAM ポリシーでは、完全な「 *」管理権限を許可しないでください [IAM.2] IAM ユーザーにはIAM ポリシーをアタッチしないでください [IAM.3] IAM ユーザーのアクセスキーは90 日ごとに更新する必要があります [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません [IAM.5] コンソールパスワードを持つすべてのIAM ユーザーに対してMFA を有効にする 必要があります [IAM.6] ルートユーザーに対してハードウェアMFA を有効にする必要があります ・・・・・・・ AWS bestpractice CIS standard Config Ruleのまとまりが適応され、結果がSecurity Hubに集約される
  17. 17. Security Hub での追加作業(1) AWS bestpractice CIS standard 113個 (1)check数が多い (2)重複checkが存在する 113個 43個 困りごと 個々のaccount, regionで無効化設定する必要がある アカウント追加ごとに実施するのが面倒
  18. 18. 1. 可能な限りManagedに身を任せる Organizations Control Tower Security Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 全体像
  19. 19. Security Hub での追加作業(1) accountId region switch role 無効化 auditアカウントから指定のアカウントのsecurityhubを無効化する処理を作成 region毎に無効化するコントロールが異なるためregionを区別 security standardsの個別のルールを無効化
  20. 20. Security Hub での追加作業(2) 例:アクセスキーを90 日ごとに更新 リソースレベルで例外を設定したいケースがある 特定リソースだけ例外としたい 困りごと
  21. 21. 1. 可能な限りManagedに身を任せる Organizations Control Tower Security Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 全体像
  22. 22. Security Hub での追加作業(2) 例:アクセスキーを 90 日ごとに更新 リソースレベルで例外を設定したいケースがある workflow statusを 「suppressed」(抑制)とする
  23. 23. Security Hub での追加作業(2) Security Hubのeventが変化 event …... "Compliance": { "Status": "FAILED" }, "Workflow": { "Status": "SUPPRESSED" }, …... checkの結果 人間が記録した結果 workflow statusを「suppressed」(抑制)とすると
  24. 24. Security Hub での追加作業(2) Security Hubのeventが変化 event …... "Compliance": { "Status": "FAILED" }, "Workflow": { "Status": "SUPPRESSED" }, …... checkの結果 人間が記録した結果 workflow statusを「suppressed」(抑制)とすると 通知ルールから SUPPRESSEDを除外
  25. 25. Config Rule
  26. 26. Config Rule + Organizations Securityhub standardsではカバーできない検査ルールを追加 Organizationsと連携し、子アカウントにルールを一括適応できる
  27. 27. Config Rule + Organizations 1. auditアカウントに権限委譲 2. auditアカウントから  各アカウントの  config ruleを有効化 (Organizationの連携機能あり) 3. control towerで作成された snsの仕組みで auditアカウントに結果集約 Securityhub standardsではカバーできない検査ルールを追加
  28. 28. Config Ruleでの追加作業 (1)security hub standardとconfig ruleでばらけて分かりにくい (2)security hubのようにリソースレベルで通知管理したい 困りごと 対応  Security Hubに統合する(config結果をsecurityhubにimportする) AWSブログに一式展開してくれるcfnがあった (一部変更する必要はあり)
  29. 29. 1. 可能な限りManagedに身を任せる Organizations Control Tower Security Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 全体像
  30. 30. Config Ruleでの追加作業 config結果をsecurityhubにimport
  31. 31. Config Ruleでの追加作業 (+αで修正したところ) ResourceIdが 分かりにくいことがある ResourceNameがある時は そちらを表示
  32. 32. Config Ruleでの追加作業 config結果をsecurityhubと一緒に管理
  33. 33. 追い風のupdateが Security Hub結果をRegion間で集約する機能がサポートされるように
  34. 34. リージョン間のイベントを集約 別リージョン security hub
  35. 35. 全体像 全ての通知をSecurity Hub( -> slack)へ
  36. 36. SSO (導入しました)
  37. 37. 作業中のアカウントが分かりくい SSOで困ったこと
  38. 38. chrome拡張を開発 色指定 & Account Aliasを表示
  39. 39. 1. 可能な限りManagedに身を任せる Organizations Control Tower Security Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 まとめ
  40. 40. (1)AWS Control Towerのcloudformationを読み解いたので誰かに褒めてほしい https://cloud-aws-gcp.hateblo.jp/entry/control_tower_cloudformation (2)AWS Config ルールの評価結果を Security Hub にインポートする方法 https://aws.amazon.com/jp/blogs/news/how-to-import-aws-config-rules-evaluations-findings-security-hub/ (3)securityhubのリージョン間集約 https://aws.amazon.com/jp/about-aws/whats-new/2021/10/aws-security-hub-cross-region-security-posture/ (4)AWS SSOとgoogle workspacesを連携 https://cloud-aws-gcp.hateblo.jp/entry/2020/07/15/003830 (5)aws-peacock(chrome拡張) https://chrome.google.com/webstore/detail/aws-peacock-management-co/bknjjajglapfhbdcfgmhgkgfomkkaidj (6)Organizationsとの連携サービス https://fu3ak1.hatenablog.com/ (7)Health情報を集約する https://www.slideshare.net/kotatomimatsu/aws-health-organizations-notifications (8)justincase採用ページ https://justincase.jp/careers 参考リンク
  41. 41. さいごに エンジニア採用中です

×