[レポート]AWS クラウドオペレーションによる実践的なリスク管理 #GRC372 #AWSreInforce

こんにちは、臼田です。

みなさん、AWS環境のWell-Architectedレビューしてますか？(挨拶

今回はre:Inforce 2023で行われた以下のセッションのレポートです。

セッション概要

セッションタイトル: GRC372-R | Hands-on risk management with AWS Cloud Operations

セッション概要: Get hands-on experience with AWS services that can help your organization accelerate and simplify risk management. In this workshop, learn how to identify resources in a workload using AWS Service Catalog AppRegistry and running a Well-Architected Framework Review (WAFR) on your workload. Discover how to reduce the WAFR lifecycle using AWS Trusted Advisor integration with AWS Well-Architected Tool to automate risk discovery. Learn how to integrate findings with AWS Systems Manager OpsCenter or third-party ITSM tools like Jira and ServiceNow. In addition, explore how to implement AWS Config conformance packs to mitigate and continuously evaluate identified risks.

概要翻訳: 組織のリスク管理の加速と簡素化に役立つ AWS のサービスを実際に体験してください。 このワークショップでは、AWS Service Catalog AppRegistry を使用してワークロード内のリソースを特定し、ワークロード上で Well-Architected Framework Review (WAFR) を実行する方法を学びます。 AWS Trusted Advisor と AWS Well-Architected Tool の統合を使用して、リスク検出を自動化し、WAFR ライフサイクルを短縮する方法を説明します。 結果を AWS Systems Manager OpsCenter または Jira や ServiceNow などのサードパーティ ITSM ツールと統合する方法を学びます。 さらに、特定されたリスクを軽減し、継続的に評価するために AWS Config 適合パックを実装する方法を検討します。

内容

このハンズオンでは、用意されているアプリケーションに対してWell-Architectedのアセスメントを行いながら、AWS Well-Architected Toolを利用してその結果を記録し、実際の運用でこれを進捗管理するための手法として、AWS Systems Manager OpsCenterを使ったり、JiraなどのITSMツールと連携して課題管理をしたり、AWS Configのコンフォーマンスパックを利用して具体的なポリシーに準拠しない項目を検知して是正する内容があります。

私は途中から参加したのですが、基本的にはハンズオンのコンテンツが用意されていて、1人でも進められるようになっていたので問題なかったです。

ただ、どうやら「テーブル毎にディスカッションしようぜ」的な雰囲気が少しあったので、そのへんは少しハードルが高いやつかもです。

今回対象にするシステムはこんな感じです。

いやーいっぱいツッコミどころがありますね。

まずはこれに対してAWS Well-Architected Toolを利用してアセスメントを行っていきます。ハンズオン参加者の立場としては、アセスメントを行う立場でどうやらアプリケーションの構築を行っている人は別にいるようです。

その人からの質問の回答をみながら、ツール上でチェックを入れたりしてまずはツール自体の使い方を学びます。

最終的に一通りのWell-Architectedの柱について確認した後、マイルストーンを作成します。以下のようなレポートも取得できますよ。(でかい)

続いてこの内容をAWS Systems Manager OpsCenterで管理します。私はこの内容を聞いて、どうやってやるのかなー？と思ったのですが、ガッツリ作り込むようです。以下のようなアーキテクチャを採用していました。

各Lambdaのスクリプトなどが提供され、この環境を作ることができます。

これによって、Well-Architected Toolで集約した対応しなければならない内容を集約した画面で確認することができます。これは他のITSMツールとも連携できて、このハンズオンではJira / Miro / Service Nowとの連携方法について解説されていました。

最後にAWS Configのコンフォーマンスパックを利用した実際の項目の管理と修正です。

これはWell-Architected Toolとは完全に独立していますが、AWS Well-Architected フレームワークの「セキュリティの柱」に関する運用上のベストプラクティスなどのルールセットが存在しているため、これを利用して実際の項目を検知し、全体感を確認しながら修正していく事ができるよ、というものです。

ドキュメントを見ていただいたり、使っていただくとわかりますが、ここで出てくる項目はAWSが定義するチェック内容なので、実際のシステムでは必要に応じて取捨選択しながら使う感じになります。コンフォーマンスパックのテンプレートをベースにチューニングして使いましょう。

まとめ

GRC372-R | Hands-on risk management with AWS Cloud Operationsのハンズオンについてレポートしました。前半はWell-Architectedのアセスメントを行うので、このロールプレイを一緒にやりたい人と複数人でやるといい感じだと思います。

ワークショップ自体は私は初見のもので多分まだ公開されていないですが、興味があればどこかのイベントで探してチャレンジしてみてください。