[レポート] AWS環境でのセキュリティインシデントの準備と対応方法 #SEC356 #reinvent

2019.12.04

ラスベガスからこんにちは、岩城です。

セッション「How to prepare for & respond to security incidents in your AWS environment」を聴講しましたのでレポートします。

概要

このセッションでは、AWS環境のセキュリティインシデントに対応するために準備するために必要なことを順を追って説明します。まずはベストプラクティスの計画から始め、保護および検出制御を提供するのに役立つ構成を検討し、最後に応答能力を改善する方法を示します。 AWS Organizations、AWS Identity and Access Management(IAM)、Amazon GuardDuty、AWS Security Hub、AWS Lambda、AWS WAF、AWS Systems Manager、AWS Key Management Service(AWS KMS)がどのように保護し、検出から応答するのに役立つかをご覧くださいそして回復します。

  • Session Type:Session
  • Topic:Security, Compliance, and Identity
  • Session Level:300 - Advanced

スピーカー

  • Paul Hawkins
    • Security Strategist, Amazon Web Services
  • Nathan Case
    • Senior Security Strategist, Amazon Web Services

※敬称略

レポート

Agenda

  • 大規模なガバナンス
  • セルフサービスで初日利用可能
  • ガバナンスを備えたプロビジョニング
  • Deep diveとデモ
    • ガードレール違反の移行、高度なネットワーク設定、セルフサービスの有効化、CI / CDパイプライン

ビルダーとセントラルクラウドのニーズのバランスをとる

  • ビルダー
    • アジリティを保つ
    • スピードとアジリティを備えたAWS
  • クラウド
    • ガバナンスを確立する
    • 集中管理で大規模に管理

AWS環境でのセキュリティインシデントの準備と対応方法

  • ガバナンス
    • Security
    • Compliance
    • Operations
    • Spend management
  • アジリティ
    • セルフサービスアクセス
    • 早く試す
    • 変化に迅速に対応
  • Control Towerを使用すると、上記ガバナンスとアジリティ両方に対応できる

セルフサービスでDay1を実現するControl Tower

Landing Zoneを設定

  • Landing Zoneを設定
  • ガードレールを確立
  • Identityとアクセスを一元化
  • 準拠アカウントのプロビジョニングを自動化
  • 上記を継続的に管理

マルチアカウントアーキテクチャ

  • ベースラインOrganizationsのセットアップ
  • コアOU
    • Control Towerのベースラインアカウントは変更不可
  • カスタムOU
    • プロビジョニングされたアカウント

推奨されるAWSマルチアカウントフレームワーク

Identityとアクセスを一元化

  • AWS SSOはIDのデフォルトのディレクトリを提供する
  • 事前設定済みのグループと権限セット
  • AWS管理対象MicrosoftADを使用して、管理対象またはオンプレのADと統合可能
  • OKTAと統合する方法

ガードレールを確立する

  • 予防
    • サービスコントロールポリシーを使用してポリシー違反を防ぐ
  • 検出
    • Config Rulesを使用してポリシー違反を検出する
  • ガードレール
    • 必須、強く推奨または選択
  • ガードレールはOraganization Unit(OU)とすべての子アカウント(新規および既存)に適用される

Guardrails examples

  • IAM
    • rootユーザーのMFAを有効にする
  • Data security
    • Amazon S3バケットへのパブリック読み取りアクセスを許可しない
    • Amazon RDSデータベースインスタンスへのパブリックアクセスを許可しない
  • Network
    • RDPを介したインターネット接続を許可しない
    • SSHを介したインターネット接続を許可しない
  • Audit logs
    • CloudTrailとConfigを有効にする
  • Monitoring
    • ポリシーの変更をログアーカイブに許可しない
  • Control Tower setup
    • Control TowerによってセットアップされたIAMロールへの変更を許可しない
  • Operations
    • EC2インスタンスに接続されていないEBSボリュームを禁止

準拠アカウントのプロビジョニングを自動化する

  • 標準化されたアカウントプロビジョニング
  • ガードレールの自動施行
  • 構成可能なネットワーク設定

安全なセルフサービスプロビジョニングを有効にする

  • 一般的に使用されるサービス(EMR、EC2など)にCloudFormationまたはTerraformを使用してベストプラクティステンプレートを作成する
  • ControlTowerマスターアカウントでAWSサービスカタログ作成する
  • Organizationsを介してすべてのControl Towerの管理アカウントに配布する

アジリティとコントロールを制御する

  • Monitor
    • リソースとワークロードを監視する
  • Act
    • リソースに対して操作上のアクションを実行する
  • Audit
    • リソース構成、ユーザーアクセスおよびポリシーの実施を関しする
  • Dashboard
    • マルチアカウント環境への継続的な可視性

どうするか

  • ガードレール違反の検出と軽減
  • 高度なネットワーク構成(トランジットゲートウェイ、DX、VPCピアリング)
  • セルフサービスプロビジョニングのためのサービスカタログプロダクトの配布
  • Control Towerで管理された環境でCI/CDパイプラインをセットアップ

ガードレール違反の検出と軽減

  • 1.Control Tower Administrator:カスタムOUとエンドユーザーを作成する
  • 2.End User:Control Towerでアカウントを作成する
  • 3.Control Tower Administrator:カスタムOUでガードレールを有効にする
  • 4.Control Tower Administrator:ガードレール違反を検出する
  • 5.End User:ガードレール違反を軽減する
  • 6.End User:構成とコンプライアンスの履歴を分析する
  • Reference(How to Detect and Mitigate Guardrail Violation with AWS Control Tower)

準拠アカウントのプロビジョニングを自動化する

  • 1.AWS SSOを使用してControl Towerにログインする
  • 2.カスタムOUを作成する
  • 3.ガードレールを有効にする

おわりに

Control Towerのこと、ガードレールという考え方について、再確認する良い機会でした。

本エントリがどなかたのお役に立てれば幸いです。