Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

201806 jawsug bgnr12

332 views

Published on

JAWS-UG初心者支部#12の資料

Published in: Technology
  • Be the first to comment

201806 jawsug bgnr12

  1. 1. JAWSUG初心者支部#12 ベストプラクティスに学ぶセ キュリティ関連サービス 2018/06/22 ビットバンク株式会社 吉田 裕貴
  2. 2. 自己紹介 名前:吉田 裕貴( Yuki Yoshida) 所属:ビットバンク株式会社( bitbank,inc.) インフラエンジニア 好きなサービス Redshift DynamoDB AWS SSO だいたいひとりでキャンプしている人。
  3. 3. AWS FinTech リファレンス・アーキテクチャー
  4. 4. summit2日目
  5. 5. リファレンスガイド ● 目が痛くなりそうなエクセルの PDF ● XX基準とかを満たすための要件とすべき こと。AWSが既にやっていることを網羅的 に書いてくれている ● うへぇ・・・と思ったら FISCとかPCIDSSとか 言われたらめっさ役に立つ資料
  6. 6. FinTechリファレンステンプレート ● リファレンスガイドで書かれた内容と照らし 合わせる事ができる構成図と、その構成 図の環境を作成するCloudFormationテ ンプレート ● 作られるものの構成としてはイケイケのも のではなくあくまでもベストプラクティス-教 科書的なよく聞く感じのものです ● FinTech関係ないなーと思ってる方も一度 確認しましょう。 ● 中で作成されるリソースについていくつか 見ていきます
  7. 7. AWS Config ● 構成変更の通知、構成履歴を記録するサービス ● リソースの変更履歴、構成情報を管理 ● 他のアカウントの情報を集約が可能 ● ルールを用いて構成情報を評価が可能 ● 独自にルールを定義可能(要コーディング)
  8. 8. Config Rules テンプレートで定義されているルール ● check-for-unrestricted-ssh-access ● check-ec2-for-required-tag ● check-for-unrestricted-ports ● check-for-ami-compliance ○ Custom rule for evaluating pre-approved AMI use ● check-whether-cloudtrail-is-enabled ○ Custom rule for evaluating CloudTrail configuration compliance デフォルトで定義されているルール以外にも Lambdaを使って評価を実装可能 awslabs/aws-config-rules でいろいろとルールが公開されているので参考に
  9. 9. Amazon GuardDuty ● マネージド型の脅威検出サービス ● 難しいことを考えず有効化すれば動くだけは動きます ● CloudWatch Eventsと連携してアラートを通知したりできる ○ https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-t ypes.html#crypto3 ○ 自動でいろいろ評価してくれる テンプレートでも有効化がされています。
  10. 10. CloudTrail ● マネジメントコンソール、コマンドラインなど APIの呼び出しを記録 ● S3へ保存 ● SNSで新しい証跡が保存されたことを通知することも可能 難点 ● ちょっと調査しようと思って見れるものではない(人間が読めるものではない) ● 取るのは簡単だが利用しようとするとそれなりに加工しなければいけない 第一段階としてはとにかく収集していることなので、何はともあれ有効化する。 もちろんテンプレートでも有効化されている
  11. 11. KMS ● 暗号鍵の作成、管理ができる ● AWSに保存するデータの暗号化が可能 ● 低コストで使える ● CloudTrailで証跡が取れる サービスによってはデフォルト鍵を指定するとオプションをつけるだけで 暗号化・復号化が可能 こんな感じでいろいろなサービスがあるので使いましょう
  12. 12. ところで 5月31日 AWS アカウントの認証管理 こんなセッションがありました。
  13. 13. IAM ● AWS Identity and Access Management (IAM) ● ユーザー/Rollなどリソースが使うものと、人が使うものがある ● Rootは封印しよう ● MFA使ってますか ● アカウントが複数あったらどうしますか?
  14. 14. ユーザー管理について ● 1アカウントの場合 ○ IAM USERを使用する ● 複数アカウントの場合 ○ 個別にIAM USERを払い出すのか? ■ 人の出入りが激しかったらどうするか ■ 管理はちゃんと出来ているか? ■ 棚卸しをしなければ・・・ ■ つらみ セッションの中でも、スイッチロール・ADFS・SSOなどいろいろ紹介してい ます
  15. 15. AWS SSO 私のイチオシ ● アカウントが少なければスイッチロールでも良いが、メンテナンスが面倒 ● ADFSはAWS SSOがあるのでむしろ選ぶ理由がない ● AWS SSOを使いましょう
  16. 16. ログイン画面の例 ユーザーごとに見えるアカウント・権限や連携アプリケー ションを制御できる ログイン時にOTP認証を追加することが可能 Organizations配下のアカウントなら何でもござれ!
  17. 17. 一時的なクレデンシャルの払い出し ● 60分間有効なクレデンシャルを自動で払い 出しが可能 ● 事前に指定したロールに基づいて払い出さ れるので調査用のRedaOnlyなどを簡単に 使用できる ● ユーザーとクレデンシャルがIAMに残らなく てすむ!
  18. 18. 構成例 ● ユーザーはActiveDirectoryで 管理する ● ActiveDirectoryのユーザー/グ ループに対してAWS SSOでポリ シーを当てる ● MFAを利用する場合自分たちで RADIUS認証サーバを用意しな ければならない ● 現在はまだ米国リージョンしか使 えない ● MFAの部分は自前、Duo、 OneLoginといろいろ試したけど OneLoginにしました。
  19. 19. AWS SSOの設定画面例 組織に組み込んだアカウントへの制御が簡単にできる! ぜひ使いましょう
  20. 20. Organizationsのマスターアカウントへは
  21. 21. AWS SSOを使って IAM ユーザーなど滅ぼしてしまえ!!!
  22. 22. こくち 27日弊社でAWSのLT大会やります! connpassで募集しています!
  23. 23. WE’RE HIRING!!

×