aws-multiaccount-notify

1. AWS マルチアカウントの
セキュリティ通知集約

2. 自己紹介
名前：富松 広太（とみまつ こうた）
所属：justInCase Technologies
（part time参加、このイベントきっかけで知り合えました）
Blog：https://cloud-aws-gcp.hateblo.jp/
twitter：@kotamemento
2020~21 APN Ambassador、ALL AWS Certifications Engineer

3. 会社紹介 & 背景
・取引先に大手保険会社様が多い
・セキュリティ基準 の遵守が求められる

4. 全体像

5. 1. 可能な限りManagedに身を任せる
Organizations
Control Tower
Security Hub
GuardDuty
Config
SSO
2. 足りない部分のみリソース追加
Security Hub standardの不要なcheckを無効化
check不要なリソースを管理
Config結果をSecurity Hubにimport
SSO用のchrome extensionを開発
全体像

6. Control Tower

7. Control Tower
1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
通常アカウント
管理アカウント

8. 1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
trail集約
Control Tower

9. 1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
config集約
Control Tower

10. 1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
configのrule違反を集約
Control Tower

11. 1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
configのrule違反を集約
Control Tower
マルチアカウント環境のベースを構築してくれる（多少の縛りはあるが）

12. configのrule違反を集約
Control Tower

13. Security Hub
GuardDuty

14. Security Hub GuardDuty + Organizations
1. auditアカウントに権限委譲
(rootアカウントから管理権限を委譲)
2. auditアカウントから
各Applicationアカウントの
securityhub , guarddutyを有効化
（Organizationの連携機能あり）
3. auditアカウントに結果集約

15. Security Hubが有効化されると
Security Hub
デフォルトでAWS bestpracticeとCISのstandardが有効化される

16. Security standardsとは
1.1 —「ルート」アカウントの使用を避ける
1.2 — コンソールパスワードを持つすべてのIAM ユーザーに対して多要素認証(MFA) が有効になっていることを確認します
1.3 — 90 日間以上使用されていない認証情報は無効にします。
1.4 — アクセスキーは90 日ごとに更新します。
1.5 — IAM パスワードポリシーには少なくとも1 つの大文字が必要です
1.6 — IAM パスワードポリシーには少なくとも1 つの小文字が必要です
1.7 — IAM パスワードポリシーには少なくとも1 つの記号が必要です
・・・・・・・
[IAM.1] IAM ポリシーでは、完全な「
*」管理権限を許可しないでください
[IAM.2] IAM ユーザーにはIAM ポリシーをアタッチしないでください
[IAM.3] IAM ユーザーのアクセスキーは90 日ごとに更新する必要があります
[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません
[IAM.5] コンソールパスワードを持つすべてのIAM ユーザーに対してMFA を有効にする
必要があります
[IAM.6] ルートユーザーに対してハードウェアMFA を有効にする必要があります
・・・・・・・
AWS bestpractice
CIS standard
Config Ruleのまとまりが適応され、結果がSecurity Hubに集約される

17. Security Hub での追加作業(1)
AWS bestpractice
CIS standard
113個
(1)check数が多い
(2)重複checkが存在する
113個
43個
困りごと
個々のaccount, regionで無効化設定する必要がある
アカウント追加ごとに実施するのが面倒

18. 1. 可能な限りManagedに身を任せる
Organizations
Control Tower
Security Hub
GuardDuty
Config
SSO
2. 足りない部分のみリソース追加
Security Hub standardの不要なcheckを無効化
check不要なリソースを管理
Config結果をSecurity Hubにimport
SSO用のchrome extensionを開発
全体像

19. Security Hub での追加作業(1)
accountId
region
switch role
無効化
auditアカウントから指定のアカウントのsecurityhubを無効化する処理を作成
region毎に無効化するコントロールが異なるためregionを区別
security standardsの個別のルールを無効化

20. Security Hub での追加作業(2)
例：アクセスキーを90 日ごとに更新
リソースレベルで例外を設定したいケースがある
特定リソースだけ例外としたい
困りごと

21. 1. 可能な限りManagedに身を任せる
Organizations
Control Tower
Security Hub
GuardDuty
Config
SSO
2. 足りない部分のみリソース追加
Security Hub standardの不要なcheckを無効化
check不要なリソースを管理
Config結果をSecurity Hubにimport
SSO用のchrome extensionを開発
全体像

22. Security Hub での追加作業(2)
例：アクセスキーを 90 日ごとに更新
リソースレベルで例外を設定したいケースがある
workflow statusを
「suppressed」（抑制）とする

23. Security Hub での追加作業(2)
Security Hubのeventが変化
event
…...
"Compliance": {
"Status": "FAILED"
},
"Workflow": {
"Status": "SUPPRESSED"
},
…...
checkの結果
人間が記録した結果
workflow statusを「suppressed」（抑制）とすると

24. Security Hub での追加作業(2)
Security Hubのeventが変化
event
…...
"Compliance": {
"Status": "FAILED"
},
"Workflow": {
"Status": "SUPPRESSED"
},
…...
checkの結果
人間が記録した結果
workflow statusを「suppressed」（抑制）とすると
通知ルールから
SUPPRESSEDを除外

25. Config Rule

26. Config Rule + Organizations
Securityhub standardsではカバーできない検査ルールを追加
Organizationsと連携し、子アカウントにルールを一括適応できる

27. Config Rule + Organizations
1. auditアカウントに権限委譲
2. auditアカウントから
各アカウントの
config ruleを有効化
（Organizationの連携機能あり）
3. control towerで作成された
snsの仕組みで
auditアカウントに結果集約
Securityhub standardsではカバーできない検査ルールを追加

28. Config Ruleでの追加作業
(1)security hub standardとconfig ruleでばらけて分かりにくい
(2)security hubのようにリソースレベルで通知管理したい
困りごと
対応
Security Hubに統合する(config結果をsecurityhubにimportする)
AWSブログに一式展開してくれるcfnがあった
（一部変更する必要はあり）

29. 1. 可能な限りManagedに身を任せる
Organizations
Control Tower
Security Hub
GuardDuty
Config
SSO
2. 足りない部分のみリソース追加
Security Hub standardの不要なcheckを無効化
check不要なリソースを管理
Config結果をSecurity Hubにimport
SSO用のchrome extensionを開発
全体像

30. Config Ruleでの追加作業
config結果をsecurityhubにimport

31. Config Ruleでの追加作業 (+αで修正したところ)
ResourceIdが
分かりにくいことがある
ResourceNameがある時は
そちらを表示

32. Config Ruleでの追加作業
config結果をsecurityhubと一緒に管理

33. 追い風のupdateが
Security Hub結果をRegion間で集約する機能がサポートされるように

34. リージョン間のイベントを集約
別リージョン
security hub

35. 全体像
全ての通知をSecurity Hub( -> slack)へ

36. SSO
(導入しました)

37. 作業中のアカウントが分かりくい
SSOで困ったこと

38. chrome拡張を開発
色指定 & Account Aliasを表示

39. 1. 可能な限りManagedに身を任せる
Organizations
Control Tower
Security Hub
GuardDuty
Config
SSO
2. 足りない部分のみリソース追加
Security Hub standardの不要なcheckを無効化
check不要なリソースを管理
Config結果をSecurity Hubにimport
SSO用のchrome extensionを開発
まとめ

40. (1)AWS Control Towerのcloudformationを読み解いたので誰かに褒めてほしい
https://cloud-aws-gcp.hateblo.jp/entry/control_tower_cloudformation
(2)AWS Config ルールの評価結果を Security Hub にインポートする方法
https://aws.amazon.com/jp/blogs/news/how-to-import-aws-config-rules-evaluations-findings-security-hub/
(3)securityhubのリージョン間集約
https://aws.amazon.com/jp/about-aws/whats-new/2021/10/aws-security-hub-cross-region-security-posture/
(4)AWS SSOとgoogle workspacesを連携
https://cloud-aws-gcp.hateblo.jp/entry/2020/07/15/003830
(5)aws-peacock(chrome拡張)
https://chrome.google.com/webstore/detail/aws-peacock-management-co/bknjjajglapfhbdcfgmhgkgfomkkaidj
(6)Organizationsとの連携サービス
https://fu3ak1.hatenablog.com/
(7)Health情報を集約する
https://www.slideshare.net/kotatomimatsu/aws-health-organizations-notifications
(8)justincase採用ページ
https://justincase.jp/careers
参考リンク

41. さいごに
エンジニア採用中です