aws-multiaccount-notify

aws-multiaccount-notify
AWS マルチアカウントのセキュリティ通知集約
自己紹介名前：富松広太（とみまつ　こうた）所属：justInCase Technologies （part time参加、このイベントきっかけで知り合えました） Blog：https://cloud-aws-gcp.hateblo.jp/ twitter：@kotamemento 2020~21 APN Ambassador、ALL AWS Certifications Engineer
会社紹介 & 背景・取引先に大手保険会社様が多い・セキュリティ基準の遵守が求められる
全体像
1. 可能な限りManagedに身を任せる Organizations Control Tower Security Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発全体像
Control Tower
Control Tower 1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると通常アカウント管理アカウント
1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると trail集約 Control Tower
1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると config集約 Control Tower
1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると configのrule違反を集約 Control Tower
1. Log ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると configのrule違反を集約 Control Tower マルチアカウント環境のベースを構築してくれる（多少の縛りはあるが）
configのrule違反を集約 Control Tower
Security Hub GuardDuty
Security Hub GuardDuty + Organizations 1. auditアカウントに権限委譲 (rootアカウントから管理権限を委譲) 2. auditアカウントから　各Applicationアカウントの　securityhub , guarddutyを有効化（Organizationの連携機能あり） 3. auditアカウントに結果集約
Security Hubが有効化されると Security Hub デフォルトでAWS bestpracticeとCISのstandardが有効化される
Security standardsとは 1.1 —「ルート」アカウントの使用を避ける 1.2 — コンソールパスワードを持つすべてのIAM ユーザーに対して多要素認証(MFA) が有効になっていることを確認します 1.3 — 90 日間以上使用されていない認証情報は無効にします。 1.4 — アクセスキーは90 日ごとに更新します。 1.5 — IAM パスワードポリシーには少なくとも1 つの大文字が必要です 1.6 — IAM パスワードポリシーには少なくとも1 つの小文字が必要です 1.7 — IAM パスワードポリシーには少なくとも1 つの記号が必要です・・・・・・・ [IAM.1] IAM ポリシーでは、完全な「 *」管理権限を許可しないでください [IAM.2] IAM ユーザーにはIAM ポリシーをアタッチしないでください [IAM.3] IAM ユーザーのアクセスキーは90 日ごとに更新する必要があります [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません [IAM.5] コンソールパスワードを持つすべてのIAM ユーザーに対してMFA を有効にする必要があります [IAM.6] ルートユーザーに対してハードウェアMFA を有効にする必要があります・・・・・・・ AWS bestpractice CIS standard Config Ruleのまとまりが適応され、結果がSecurity Hubに集約される
Security Hub での追加作業(1) AWS bestpractice CIS standard 113個 (1)check数が多い (2)重複checkが存在する 113個 43個困りごと個々のaccount, regionで無効化設定する必要があるアカウント追加ごとに実施するのが面倒
Security Hub での追加作業(1) accountId region switch role 無効化 auditアカウントから指定のアカウントのsecurityhubを無効化する処理を作成 region毎に無効化するコントロールが異なるためregionを区別 security standardsの個別のルールを無効化
Security Hub での追加作業(2) 例：アクセスキーを90 日ごとに更新リソースレベルで例外を設定したいケースがある特定リソースだけ例外としたい困りごと
Security Hub での追加作業(2) 例：アクセスキーを 90 日ごとに更新リソースレベルで例外を設定したいケースがある workflow statusを「suppressed」（抑制）とする
Security Hub での追加作業(2) Security Hubのeventが変化 event …... "Compliance": { "Status": "FAILED" }, "Workflow": { "Status": "SUPPRESSED" }, …... checkの結果人間が記録した結果 workflow statusを「suppressed」（抑制）とすると
Security Hub での追加作業(2) Security Hubのeventが変化 event …... "Compliance": { "Status": "FAILED" }, "Workflow": { "Status": "SUPPRESSED" }, …... checkの結果人間が記録した結果 workflow statusを「suppressed」（抑制）とすると通知ルールから SUPPRESSEDを除外
Config Rule
Config Rule + Organizations Securityhub standardsではカバーできない検査ルールを追加 Organizationsと連携し、子アカウントにルールを一括適応できる
Config Rule + Organizations 1. auditアカウントに権限委譲 2. auditアカウントから　各アカウントの　config ruleを有効化（Organizationの連携機能あり） 3. control towerで作成された snsの仕組みで auditアカウントに結果集約 Securityhub standardsではカバーできない検査ルールを追加
Config Ruleでの追加作業 (1)security hub standardとconfig ruleでばらけて分かりにくい (2)security hubのようにリソースレベルで通知管理したい困りごと対応　Security Hubに統合する(config結果をsecurityhubにimportする) AWSブログに一式展開してくれるcfnがあった（一部変更する必要はあり）
Config Ruleでの追加作業 config結果をsecurityhubにimport
Config Ruleでの追加作業 (+αで修正したところ) ResourceIdが分かりにくいことがある ResourceNameがある時はそちらを表示
Config Ruleでの追加作業 config結果をsecurityhubと一緒に管理
追い風のupdateが Security Hub結果をRegion間で集約する機能がサポートされるように
リージョン間のイベントを集約別リージョン security hub
全体像全ての通知をSecurity Hub( -> slack)へ
SSO (導入しました)
作業中のアカウントが分かりくい SSOで困ったこと
chrome拡張を開発色指定 & Account Aliasを表示
1. 可能な限りManagedに身を任せる Organizations Control Tower Security Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発まとめ
(1)AWS Control Towerのcloudformationを読み解いたので誰かに褒めてほしい https://cloud-aws-gcp.hateblo.jp/entry/control_tower_cloudformation (2)AWS Config ルールの評価結果を Security Hub にインポートする方法 https://aws.amazon.com/jp/blogs/news/how-to-import-aws-config-rules-evaluations-findings-security-hub/ (3)securityhubのリージョン間集約 https://aws.amazon.com/jp/about-aws/whats-new/2021/10/aws-security-hub-cross-region-security-posture/ (4)AWS SSOとgoogle workspacesを連携 https://cloud-aws-gcp.hateblo.jp/entry/2020/07/15/003830 (5)aws-peacock(chrome拡張) https://chrome.google.com/webstore/detail/aws-peacock-management-co/bknjjajglapfhbdcfgmhgkgfomkkaidj (6)Organizationsとの連携サービス https://fu3ak1.hatenablog.com/ (7)Health情報を集約する https://www.slideshare.net/kotatomimatsu/aws-health-organizations-notifications (8)justincase採用ページ https://justincase.jp/careers 参考リンク
さいごにエンジニア採用中です

aws-multiaccount-notify

Check these out next

aws-multiaccount-notify

Recommended

More Related Content

Slideshows for you(20)

Similar to aws-multiaccount-notify(20)

More from kota tomimatsu(11)

Recently uploaded(20)

aws-multiaccount-notify