[レポート]ハンズオン: AWS Zero Trust Workshop Episode 1 – AWS Security Roadshow Japan 2021

[レポート]ハンズオン: AWS Zero Trust Workshop Episode 1 – AWS Security Roadshow Japan 2021

#AWS Security Roadshow Japan
#AWS Security Roadshow Japan 2021
#AWS
#セキュリティ
繁松昂大

繁松昂大

facebook logohatena logotwitter logo
Clock Icon2021.11.12

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは!
AWS事業本部コンサルティング部の繁松です!

本日はAWS Security Roadshow Japan 2021で行われたハンズオン[AWS Zero Trust Workshop Episode 1]の参加レポートです。

AWS Zero Trust Workshop Episode 1とは?

イベントページの概要には下記のようにあります。

このワークショップでは、ゼロトラストの原則と、AWS がそれらをワークロードに最適な方法で実装する方法について説明します。 具体的にはサービスからサービスへのワークロードのゼロトラストアーキテクチャについて学びます。 Amazon API Gateway や AWS PrivateLink などのサービスを利用して、AWS Lambda や Amazon DynamoDB などの AWS サービスにアクセスするためのゼロトラスト保護を実装します。 また、Amazon GuardDuty を使用して、動作のモニタリングが、運用上のゼロトラストアプローチの重要な要素である方法を確認します。

実際にマネジメントコンソールを触ったり、Event Engineサイトを使いながら学ぶことができるイベントです

実際にマネジメントコンソールを触わりながら学ぶことができるイベントでした。
今回のハンズオンに参加していない場合でも、以下に公開されているので同じ内容を学ぶことができます。(英語のみです)
https://zerotrust-service2service.workshop.aws/
(某映画の冒頭を思い出します。)
ハンズオンと同じ環境をCloudFormationで作成し学ぶことができます。
(手順にもありますが、最後にリソースの削除を忘れないように!)

参加してみた

当日は以下の内容を3時間かけて進めて行きました。

当日の流れ

1. Zero Trust on AWS

2. ワークショップのシナリオ

3. ワークショップのアーキテクチャ

4. マネジメントコンソールへのアクセス

5. ワークショップの進め方

6. ふりかえり

Zero Trustの7つの原則

1. 「セッション」開始時だけでなく、コマンド実行の都度、挙動を認証・認可する。

2. サービス間の通信に一貫性をもたせ、ベストプラクティスを踏襲する。通信相手が別のサービスまたはヒューマンインターフェースであっても同様。

3. すべての通信チャネルでネットワークを暗号化し、スケーラブルなエンドポイントに接続する。

4. リソース間の無駄な経路を排除する。

5. 必要に応じ、ゲートウェイを使ってコンポーネント間の通信を管理する。

6. ユーザーのアクセス時に、最適レベルのセキュリティを強制する。

7. すべてのアセットを一意識別し、デバイス自体に適切な許可を付与したうえで、監視と保守により警戒レベルを維持する。

ワークショップの課題

ワークショップ用のコンソールにアクセスし、説明を聞いた後は、
以下の課題を解決していく流れになっています。

Expected Caller-Unknown API - 無許可または予定外のAPIを呼び出しているServiceAのEC2インスタンス。

Unwanted Caller #1 - 同一AWSアカウントの別のサブネット上にあるが、承認されたCIDRの範囲外。API Gatewayの同一VPCエンドポイントへのルートを持っている。

Unwanted Caller #2 - 正規のサービスと同じサブネット上にあるが、APIキーを使ってIAM認証情報なしでAPIを呼び出している。

Unwanted Caller #3 - 正規のサービスと同じサブネット上にあり、IAM認証情報を使ってAPIを呼び出している。ただしこのIAMロールは、ServiceBのAPIコールでの使用が許可されていない。

Unwanted Caller #4 - 別のVPC上にあり、API GatewayのVPCエンドポイントを独自に保有している。

まとめ

AWS Zero Trust Workshop Episode 1に参加して、Zero Trustについてや、普段考えているセキュリティからより踏み込んだ内容を学ぶことができました。
また、ハンズオンでは、課題毎に解説もあり、とてもわかりやすい内容になっていました。
今後の業務にも生かしていけたらと思います。

興味がある人は1~2時間で終わるのでこちらのワークショップ実施してみるのも良いかと思います。
『「続編」が出るかもしれませんので、お見逃しなく。』との記載もあったので、Episode2楽しみにしています!

以上、参加レポートでした!

Share this article

facebook logohatena logotwitter logo

関連記事

[レポート]ハンズオン: AWS GameDay Online – Security Edition – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

[レポート]ハンズオン: AWS GameDay Online – Security Edition – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

User avatar
あしざわ
2021.11.12
[レポート]AWS 環境で重要データを保護するセキュリティモデル:データ境界 (Data Perimeter) を学ぶ – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

[レポート]AWS 環境で重要データを保護するセキュリティモデル:データ境界 (Data Perimeter) を学ぶ – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

User avatar
臼田佳祐
2021.11.12
[レポート] ソニーミュージックグループのセキュリティの取り組み ~SMEJ Guardrail~ – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

[レポート] ソニーミュージックグループのセキュリティの取り組み ~SMEJ Guardrail~ – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

User avatar
yhana
2021.11.12
[レポート]600 アカウントのセキュリティを見る – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

[レポート]600 アカウントのセキュリティを見る – AWS Security Roadshow Japan 2021 #awscloud #AWSSecurityRoadshow

User avatar
臼田佳祐
2021.11.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.