[レポート] Revitalize your security with the AWS Security Reference Architecture #SEC203 #reinvent

組織的な AWS 活用におけるセキュリティ統制の検討に役立つガイダンスである、AWS Security Reference Architecture (AWS SRA) を紹介する re:Invent 2022 のセッションレポートです。
2022.12.02

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Youtube で公開されている re:Invent 2022 のセッションのレポートです。

AWS 規範的ガイダンスとして公開されている AWS Security Reference Architecture (AWS SRA) を紹介するセッションです。

セッション概要

タイトル

Revitalize your security with the AWS Security Reference Architecture (SEC203)

概要

As your team continually evolves its use of AWS services and features, it’s important to understand how AWS security services work together to improve your security posture. In this session, learn about the recently updated AWS Security Reference Architecture (AWS SRA), which provides prescriptive guidance for deploying the full complement of AWS security services in a multi-account environment. Discover different ways to use the AWS SRA, such as bootstrapping the implementation of your security architecture and defining your target security state. Explore AWS SRA customer case studies that illustrate methods for tailoring these recommendations to suit your organization’s environment and security needs.

レベル

200

登壇者

Sarah Currey
Security Practice Manager, Professional Services, AWS

Johnny Ray
Senior Security Engineer, Amazon Managed Services, AWS

セッションレポート

本セッションで紹介されているのは、AWS 模範的ガイダンスとして公開されている AWS のセキュリティリファレンスアーキテクチャです。企業の成長、規模拡大、革新に伴うセキュリティ対策を継続的に支援することを目的として、マルチアカウント環境におけるセキュリティ対策のガイダンスとして提供されています。

AWS Security Reference Architecture (AWS SRA) - AWS Prescriptive Guidance


AWS Security Reference Architecture (AWS SRA) の全体構成です。AWS Organizations の OU やアカウントの役割別のセキュリティ対策のリファレンスがあります。

引用元:The AWS Security Reference Architecture - AWS Prescriptive Guidance


実装するためのサンプルコードも公開されています。

aws-samples/aws-security-reference-architecture-examples


AWS には多くのセキュリティサービスがあり、なにもない状態から検討すると大変なので、こういったリファレンスアーキテクチャをベースにガバナンスを検討すると進めやすいと思います。

本セッションでは AWS SRA の目的を丁寧に紹介しており、顧客の事例も紹介されているため、セッションを見ることで AWS SRA への理解も深まると思いました。


セッションのアジェンダは次の通りです。

  • Common challenges (共通の課題)
  • Overview of AWS SRA (AWS SRA の概要)
  • Customer story (カスタマーストーリー)
  • High-level architecture (ハイレベルなアーキテクチャ)
  • Code repository (コードリポジトリ)
  • Actionable nexy steps (実現可能な次のステップ)


セッションのサマリ

  • Common challenges (共通の課題)
    • セキュリティアーキテクチャをどのように定義するか
    • 最新の最も良い方法は何か
    • どうやって実装するか
    • 組織的なガバナンスと責任の議論をどう進めるか
  • お城の防御に例えた AWS 環境のセキュリティ対策の話
  • Overview of AWS SRA (AWS SRA の概要)
    • AWS SRA の目的は企業の成長、規模拡大、革新に伴うセキュリティ対策を継続的に支援すること
      • セキュリティの全体的なガイダンスを提供
    • どうやって AWS SRA を使うのか(関連ページ:How to use the AWS SRA
      • 現在の確認(セキュリティの目的を満たしているか)と目標を定義
      • 実装済みのセキュリティ制御をレビュー
      • セキュリティアーキテクチャの実装
      • AWS 環境のセキュリティについて学習
      • クラウドセキュリティ全般の理解
      • セキュリティのための組織の責任のディスカッションを促進
  • Customer story (カスタマーストーリー)
    • 何百ものアカウントを持つお客様の話
    • アカウント毎に異なるチームがあり、各々が協議して対策されていた
      • 一元化された対策をどうやって行うのかが課題であった
      • AWS SRA がその役割を担った
      • AWS SRA を見て何から取り組むかを検討
  • 責任共有モデルや AWS Well-Architected Framwork との違いの説明
  • High-level architecture (ハイレベルなアーキテクチャ)

  • Actionable nexy steps (実現可能な次のステップ)
    • 本セッション後の 1週間 〜 6ヶ月後の宿題
    • 1週間以内にセキュリティアーキテクチャを評価
    • 3ヶ月以内に 1〜2 個のセキュリティの改善点を特定
    • 6ヶ月以内にステークホルダーにクラウドセキュリティの重要性を理解してもらう

さいごに

セキュリティ対策のリファレンスアーキテクチャがあることで検討が楽になると感じるセッションでした。AWS Security Reference Architecture (AWS SRA) を読んでセキュリティ対策の理解を深めたいと思います。

なお、re:Invent 2021 でも AWS SRA に関するセッションがあり、レポートがブログ化されているため合わせて見ていただくことで理解が深まると思います。