Submit Search
Upload
aws-multiaccount-notify
•
0 likes
•
801 views
K
kota tomimatsu
Follow
aws-multiaccount-notify
Read less
Read more
Internet
Report
Share
Report
Share
1 of 41
Download now
Download to read offline
Recommended
Jaws controltower
Jaws controltower
kota tomimatsu
aws health organizations notifications
aws health organizations notifications
kota tomimatsu
Organizations周りの機能
Organizations周りの機能
kota tomimatsu
AWS Organizations
AWS Organizations
Serverworks Co.,Ltd.
Introduction to New CloudWatch Agent
Introduction to New CloudWatch Agent
Noritaka Sekiyama
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
Amazon Web Services Japan
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
morisshi
Amazon Inspectorについて
Amazon Inspectorについて
Amazon Web Services Japan
Recommended
Jaws controltower
Jaws controltower
kota tomimatsu
aws health organizations notifications
aws health organizations notifications
kota tomimatsu
Organizations周りの機能
Organizations周りの機能
kota tomimatsu
AWS Organizations
AWS Organizations
Serverworks Co.,Ltd.
Introduction to New CloudWatch Agent
Introduction to New CloudWatch Agent
Noritaka Sekiyama
AWS Black Belt Online Seminar 2017 AWS WAF
AWS Black Belt Online Seminar 2017 AWS WAF
Amazon Web Services Japan
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
morisshi
Amazon Inspectorについて
Amazon Inspectorについて
Amazon Web Services Japan
Security Night #1 AWSのセキュリティアプローチとTLS
Security Night #1 AWSのセキュリティアプローチとTLS
hkiriyam
AWS運用における最適パターンの徹底活用
AWS運用における最適パターンの徹底活用
JustSystems Corporation
Security Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
Amazon guard duty_security_recap
Amazon guard duty_security_recap
Tomoaki Sakatoku
AWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービス
Ai Hayakawa
Aws向け監視ソリューション比較
Aws向け監視ソリューション比較
Naoya Hashimoto
Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
aws blackbelt amazon elasticsearch service
aws blackbelt amazon elasticsearch service
Amazon Web Services Japan
AWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
20150901 ops jaws_araya_v2
20150901 ops jaws_araya_v2
Mitsuru Araya
AWS Black Belt Techシリーズ AWS Management Console
AWS Black Belt Techシリーズ AWS Management Console
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
運用視点でのAWSサポート利用Tips
運用視点でのAWSサポート利用Tips
Noritaka Sekiyama
Sophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみた
morisshi
AWSが誕生するまでの秘話
AWSが誕生するまでの秘話
Yasuhiro Horiuchi
Security re:Cap 2017
Security re:Cap 2017
Kwiil Kang
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
Amazon Web Services Japan
aws-Organizations-aroud
aws-Organizations-aroud
kota tomimatsu
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
Typhon 666
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
junichi anno
Security hub workshop
Security hub workshop
Ryuhei Shibata
More Related Content
What's hot
Security Night #1 AWSのセキュリティアプローチとTLS
Security Night #1 AWSのセキュリティアプローチとTLS
hkiriyam
AWS運用における最適パターンの徹底活用
AWS運用における最適パターンの徹底活用
JustSystems Corporation
Security Operations and Automation on AWS
Security Operations and Automation on AWS
Noritaka Sekiyama
Amazon guard duty_security_recap
Amazon guard duty_security_recap
Tomoaki Sakatoku
AWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービス
Ai Hayakawa
Aws向け監視ソリューション比較
Aws向け監視ソリューション比較
Naoya Hashimoto
Reinforce2021 recap session2
Reinforce2021 recap session2
Shogo Matsumoto
aws blackbelt amazon elasticsearch service
aws blackbelt amazon elasticsearch service
Amazon Web Services Japan
AWS WAF Security Automation
AWS WAF Security Automation
Hayato Kiriyama
20150901 ops jaws_araya_v2
20150901 ops jaws_araya_v2
Mitsuru Araya
AWS Black Belt Techシリーズ AWS Management Console
AWS Black Belt Techシリーズ AWS Management Console
Amazon Web Services Japan
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
Amazon Web Services Japan
運用視点でのAWSサポート利用Tips
運用視点でのAWSサポート利用Tips
Noritaka Sekiyama
Sophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみた
morisshi
AWSが誕生するまでの秘話
AWSが誕生するまでの秘話
Yasuhiro Horiuchi
Security re:Cap 2017
Security re:Cap 2017
Kwiil Kang
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
Hayato Kiriyama
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
Amazon Web Services Japan
aws-Organizations-aroud
aws-Organizations-aroud
kota tomimatsu
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
Typhon 666
What's hot
(20)
Security Night #1 AWSのセキュリティアプローチとTLS
Security Night #1 AWSのセキュリティアプローチとTLS
AWS運用における最適パターンの徹底活用
AWS運用における最適パターンの徹底活用
Security Operations and Automation on AWS
Security Operations and Automation on AWS
Amazon guard duty_security_recap
Amazon guard duty_security_recap
AWS re:Inforce reCap 注目のサービス
AWS re:Inforce reCap 注目のサービス
Aws向け監視ソリューション比較
Aws向け監視ソリューション比較
Reinforce2021 recap session2
Reinforce2021 recap session2
aws blackbelt amazon elasticsearch service
aws blackbelt amazon elasticsearch service
AWS WAF Security Automation
AWS WAF Security Automation
20150901 ops jaws_araya_v2
20150901 ops jaws_araya_v2
AWS Black Belt Techシリーズ AWS Management Console
AWS Black Belt Techシリーズ AWS Management Console
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
20190220 AWS Black Belt Online Seminar Amazon S3 / Glacier
運用視点でのAWSサポート利用Tips
運用視点でのAWSサポート利用Tips
Sophos UTM 9のAutoscalingを試してみた
Sophos UTM 9のAutoscalingを試してみた
AWSが誕生するまでの秘話
AWSが誕生するまでの秘話
Security re:Cap 2017
Security re:Cap 2017
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Security Automation in TrendMicro DIRECTION 2016
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
AWS Black Belt Online Seminar AWSサービスを利用したアプリケーション開発を始めよう
aws-Organizations-aroud
aws-Organizations-aroud
20211111 Security-JAWS Introduction
20211111 Security-JAWS Introduction
Similar to aws-multiaccount-notify
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
junichi anno
Security hub workshop
Security hub workshop
Ryuhei Shibata
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
junichi anno
Azure DevOpsとセキュリティ
Azure DevOpsとセキュリティ
Kazushi Kamegawa
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214
Hayato Kiriyama
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
Hayato Kiriyama
はじめてのAWS CLI
はじめてのAWS CLI
Nobuhiro Nakayama
AWSについて @ JAWS-UG 沖縄 CMS祭り!
AWSについて @ JAWS-UG 沖縄 CMS祭り!
Yasuhiro Horiuchi
JAWS-UG中央線東海支部ハンズオン
JAWS-UG中央線東海支部ハンズオン
真吾 吉田
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
Yusuke Kodama
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
junkoy66
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
Amazon Web Services Japan
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
Typhon 666
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
Hinemos
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
Takeshi Fukuhara
20120528 aws meister-reloaded-awssd-kforjava-public
20120528 aws meister-reloaded-awssd-kforjava-public
Amazon Web Services Japan
S07 Azure バックアップを利用したオンプレミス Windows Server のバックアップ
S07 Azure バックアップを利用したオンプレミス Windows Server のバックアップ
Microsoft Azure Japan
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
SORACOM, INC
Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)
Nobuhiro Nakayama
Serverless Application Security on AWS
Serverless Application Security on AWS
Amazon Web Services Japan
Similar to aws-multiaccount-notify
(20)
Microsoft Azure のセキュリティ
Microsoft Azure のセキュリティ
Security hub workshop
Security hub workshop
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
Azure DevOpsとセキュリティ
Azure DevOpsとセキュリティ
SecurityJAWS AWS Security Services Update 20200214
SecurityJAWS AWS Security Services Update 20200214
AWS_reInforce_2022_reCap_Ja.pdf
AWS_reInforce_2022_reCap_Ja.pdf
はじめてのAWS CLI
はじめてのAWS CLI
AWSについて @ JAWS-UG 沖縄 CMS祭り!
AWSについて @ JAWS-UG 沖縄 CMS祭り!
JAWS-UG中央線東海支部ハンズオン
JAWS-UG中央線東海支部ハンズオン
Azure Active Directory 利用開始への第一歩
Azure Active Directory 利用開始への第一歩
20140924イグレックcioセミナーpublic
20140924イグレックcioセミナーpublic
20170725 black belt_monitoring_on_aws
20170725 black belt_monitoring_on_aws
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
AWS監視ソフトウェアの決定版 Hinemosが実現するAWS統合監視の全て
Azure Monitor Logで実現するモダンな管理手法
Azure Monitor Logで実現するモダンな管理手法
20120528 aws meister-reloaded-awssd-kforjava-public
20120528 aws meister-reloaded-awssd-kforjava-public
S07 Azure バックアップを利用したオンプレミス Windows Server のバックアップ
S07 Azure バックアップを利用したオンプレミス Windows Server のバックアップ
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
IAM & Consolidated Billing -ほぼ週刊AWSマイスターシリーズ第4回
Well Architected Tool 使い方セミナー(コスト最適化編)
Well Architected Tool 使い方セミナー(コスト最適化編)
Serverless Application Security on AWS
Serverless Application Security on AWS
More from kota tomimatsu
jaws aws-nuke
jaws aws-nuke
kota tomimatsu
Aws github-actions-with-role
Aws github-actions-with-role
kota tomimatsu
jaws securityhub
jaws securityhub
kota tomimatsu
Cloudnative online-2021-stepfunction
Cloudnative online-2021-stepfunction
kota tomimatsu
Aws organization multi_accounts
Aws organization multi_accounts
kota tomimatsu
aws kms poiints
aws kms poiints
kota tomimatsu
Cloudfront cli tips
Cloudfront cli tips
kota tomimatsu
ElasticCloud
ElasticCloud
kota tomimatsu
AWS Client vpn pattern
AWS Client vpn pattern
kota tomimatsu
ClientVPNとPrivateca
ClientVPNとPrivateca
kota tomimatsu
AWS Client VPN
AWS Client VPN
kota tomimatsu
More from kota tomimatsu
(11)
jaws aws-nuke
jaws aws-nuke
Aws github-actions-with-role
Aws github-actions-with-role
jaws securityhub
jaws securityhub
Cloudnative online-2021-stepfunction
Cloudnative online-2021-stepfunction
Aws organization multi_accounts
Aws organization multi_accounts
aws kms poiints
aws kms poiints
Cloudfront cli tips
Cloudfront cli tips
ElasticCloud
ElasticCloud
AWS Client vpn pattern
AWS Client vpn pattern
ClientVPNとPrivateca
ClientVPNとPrivateca
AWS Client VPN
AWS Client VPN
aws-multiaccount-notify
1.
AWS マルチアカウントの セキュリティ通知集約
2.
自己紹介 名前:富松 広太(とみまつ こうた) 所属:justInCase Technologies (part
time参加、このイベントきっかけで知り合えました) Blog:https://cloud-aws-gcp.hateblo.jp/ twitter:@kotamemento 2020~21 APN Ambassador、ALL AWS Certifications Engineer
3.
会社紹介 & 背景 ・取引先に大手保険会社様が多い ・セキュリティ基準
の遵守が求められる
4.
全体像
5.
1. 可能な限りManagedに身を任せる Organizations Control Tower Security
Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 全体像
6.
Control Tower
7.
Control Tower 1. Log
ArchiveとAudit Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると 通常アカウント 管理アカウント
8.
1. Log ArchiveとAudit
Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると trail集約 Control Tower
9.
1. Log ArchiveとAudit
Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると config集約 Control Tower
10.
1. Log ArchiveとAudit
Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると configのrule違反を集約 Control Tower
11.
1. Log ArchiveとAudit
Accountを作成 2. cloudtrail 3. config(recorder,delivery) 4. config(event集約) 有効化すると configのrule違反を集約 Control Tower マルチアカウント環境のベースを構築してくれる(多少の縛りはあるが)
12.
configのrule違反を集約 Control Tower
13.
Security Hub GuardDuty
14.
Security Hub GuardDuty
+ Organizations 1. auditアカウントに権限委譲 (rootアカウントから管理権限を委譲) 2. auditアカウントから 各Applicationアカウントの securityhub , guarddutyを有効化 (Organizationの連携機能あり) 3. auditアカウントに結果集約
15.
Security Hubが有効化されると Security Hub デフォルトでAWS
bestpracticeとCISのstandardが有効化される
16.
Security standardsとは 1.1 —「ルート」アカウントの使用を避ける 1.2
— コンソールパスワードを持つすべてのIAM ユーザーに対して多要素認証(MFA) が有効になっていることを確認します 1.3 — 90 日間以上使用されていない認証情報は無効にします。 1.4 — アクセスキーは90 日ごとに更新します。 1.5 — IAM パスワードポリシーには少なくとも1 つの大文字が必要です 1.6 — IAM パスワードポリシーには少なくとも1 つの小文字が必要です 1.7 — IAM パスワードポリシーには少なくとも1 つの記号が必要です ・・・・・・・ [IAM.1] IAM ポリシーでは、完全な「 *」管理権限を許可しないでください [IAM.2] IAM ユーザーにはIAM ポリシーをアタッチしないでください [IAM.3] IAM ユーザーのアクセスキーは90 日ごとに更新する必要があります [IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません [IAM.5] コンソールパスワードを持つすべてのIAM ユーザーに対してMFA を有効にする 必要があります [IAM.6] ルートユーザーに対してハードウェアMFA を有効にする必要があります ・・・・・・・ AWS bestpractice CIS standard Config Ruleのまとまりが適応され、結果がSecurity Hubに集約される
17.
Security Hub での追加作業(1) AWS
bestpractice CIS standard 113個 (1)check数が多い (2)重複checkが存在する 113個 43個 困りごと 個々のaccount, regionで無効化設定する必要がある アカウント追加ごとに実施するのが面倒
18.
1. 可能な限りManagedに身を任せる Organizations Control Tower Security
Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 全体像
19.
Security Hub での追加作業(1) accountId region switch
role 無効化 auditアカウントから指定のアカウントのsecurityhubを無効化する処理を作成 region毎に無効化するコントロールが異なるためregionを区別 security standardsの個別のルールを無効化
20.
Security Hub での追加作業(2) 例:アクセスキーを90
日ごとに更新 リソースレベルで例外を設定したいケースがある 特定リソースだけ例外としたい 困りごと
21.
1. 可能な限りManagedに身を任せる Organizations Control Tower Security
Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 全体像
22.
Security Hub での追加作業(2) 例:アクセスキーを
90 日ごとに更新 リソースレベルで例外を設定したいケースがある workflow statusを 「suppressed」(抑制)とする
23.
Security Hub での追加作業(2) Security
Hubのeventが変化 event …... "Compliance": { "Status": "FAILED" }, "Workflow": { "Status": "SUPPRESSED" }, …... checkの結果 人間が記録した結果 workflow statusを「suppressed」(抑制)とすると
24.
Security Hub での追加作業(2) Security
Hubのeventが変化 event …... "Compliance": { "Status": "FAILED" }, "Workflow": { "Status": "SUPPRESSED" }, …... checkの結果 人間が記録した結果 workflow statusを「suppressed」(抑制)とすると 通知ルールから SUPPRESSEDを除外
25.
Config Rule
26.
Config Rule +
Organizations Securityhub standardsではカバーできない検査ルールを追加 Organizationsと連携し、子アカウントにルールを一括適応できる
27.
Config Rule +
Organizations 1. auditアカウントに権限委譲 2. auditアカウントから 各アカウントの config ruleを有効化 (Organizationの連携機能あり) 3. control towerで作成された snsの仕組みで auditアカウントに結果集約 Securityhub standardsではカバーできない検査ルールを追加
28.
Config Ruleでの追加作業 (1)security hub
standardとconfig ruleでばらけて分かりにくい (2)security hubのようにリソースレベルで通知管理したい 困りごと 対応 Security Hubに統合する(config結果をsecurityhubにimportする) AWSブログに一式展開してくれるcfnがあった (一部変更する必要はあり)
29.
1. 可能な限りManagedに身を任せる Organizations Control Tower Security
Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 全体像
30.
Config Ruleでの追加作業 config結果をsecurityhubにimport
31.
Config Ruleでの追加作業 (+αで修正したところ) ResourceIdが 分かりにくいことがある ResourceNameがある時は そちらを表示
32.
Config Ruleでの追加作業 config結果をsecurityhubと一緒に管理
33.
追い風のupdateが Security Hub結果をRegion間で集約する機能がサポートされるように
34.
リージョン間のイベントを集約 別リージョン security hub
35.
全体像 全ての通知をSecurity Hub( ->
slack)へ
36.
SSO (導入しました)
37.
作業中のアカウントが分かりくい SSOで困ったこと
38.
chrome拡張を開発 色指定 & Account
Aliasを表示
39.
1. 可能な限りManagedに身を任せる Organizations Control Tower Security
Hub GuardDuty Config SSO 2. 足りない部分のみリソース追加 Security Hub standardの不要なcheckを無効化 check不要なリソースを管理 Config結果をSecurity Hubにimport SSO用のchrome extensionを開発 まとめ
40.
(1)AWS Control Towerのcloudformationを読み解いたので誰かに褒めてほしい https://cloud-aws-gcp.hateblo.jp/entry/control_tower_cloudformation (2)AWS
Config ルールの評価結果を Security Hub にインポートする方法 https://aws.amazon.com/jp/blogs/news/how-to-import-aws-config-rules-evaluations-findings-security-hub/ (3)securityhubのリージョン間集約 https://aws.amazon.com/jp/about-aws/whats-new/2021/10/aws-security-hub-cross-region-security-posture/ (4)AWS SSOとgoogle workspacesを連携 https://cloud-aws-gcp.hateblo.jp/entry/2020/07/15/003830 (5)aws-peacock(chrome拡張) https://chrome.google.com/webstore/detail/aws-peacock-management-co/bknjjajglapfhbdcfgmhgkgfomkkaidj (6)Organizationsとの連携サービス https://fu3ak1.hatenablog.com/ (7)Health情報を集約する https://www.slideshare.net/kotatomimatsu/aws-health-organizations-notifications (8)justincase採用ページ https://justincase.jp/careers 参考リンク
41.
さいごに エンジニア採用中です
Download now