[レポート][SEC309]IAM Access Analyzerの詳細 #SEC309 #reinvent

2019.12.07

こんにちは。芳賀です。 AWS re:Invent 2019で「IAM Access Analyzerの詳細」のお話を聞いてきたのでレポートします。

SEC309 - [NEW LAUNCH!] Dive Deep into IAM Access Analyzer

Speaker

  • Andrew Gacek - Senior Applied Scientist, Amazon Web Services
  • Ujjwal Pugalia - Sr. Product Manager, Amazon Web Services
  • Aaron Fagan - Principal Cloud Security Engineer, Millennium Management
  • Mark Horta - Head of Cloud Engineering, Millennium Management
  • Additional Information

概要

AWS Identity and Access Management Access Analyzer is a new capability for security teams and administrators to validate that resource policies only provide the intended public and cross-account access. IAM Access Analyzer uses automated reasoning, which applies logic and mathematical inference to inspect resource policies. We will demonstrate how to use IAM Access Analyzer to identify resource policies that don’t comply with your organization's security requirements and then proactively protect resources from unintended access. Learn how Millennium Management uses IAM Access Analyzer across their company to analyze policies associated with Amazon S3 buckets, AWS KMS keys, and more.

日本語訳

AWS IAM Access Analyzerは、セキュリティチームと管理者でリソースポリシーが意図したパブリックおよびクロスアカウントアクセスのみを提供することを検証するための新しい機能です。IAM Access Analyzerは自動推論を使用します。これは、ロジックと数学的推論を適用してリソースポリシーを検査します。IAM Access Analyzerを使用して、組織のセキュリティ要件に準拠していないリソースポリシーを特定、意図しないアクセスからリソースを保護する方法を提示します。 Millennium Managementが全社的にIAM Access Analyzerを使用してAmazon S3Bucket、AWS KMSキーなどに関連するポリシーの分析する方法を学びます。

レポート

IAM Access Analyzer

  • AWS Automated Reasoning Groupに属するサービスです
  • Provable Securityもその一つ。
  • AWSのリソースには他のアカウントへシェアすることができるサービスが幾つもあります。

アカウントの外部へ公開されているもの

  • とある本番アカウントのリソース
    • WebサイトのアカウントからはS3のコンテンツへのアクセス権
    • 監査権限のアカウントからはS3とCloudWotchへのアクセス権
    • 別な本番アカウントからの対象アカウントへのIAMのアクセス権
    • ↑のアクセス権は意図していないのでNG

IAM Access Analyzerの主な機能

  • アクセスを継続的に分析します。
    • 自分のアカウントのパブリックアクセスやクロスアクセス
  • 最高レベルのセキュリティ保証。
    • 自動推論を使って全てのアクセスパスを探索
  • 幅広いアクセスを修正します。
    • セキュリティの要件にもとづき、検知結果を解決/アーカイブする
  • もちろん無料です。

IAM Access Analyzerの利点

  • 素早い分析能力
  • 継続的にリソースへの変更を検査する
  • 自動推論で最高レベルのセキュリティを実現

Where are my findings!

  • リソース単位のポリシーへ診断をします
    • IAM Roles
    • S3 Buckes
    • Lambda Functions
    • KMS Keys
    • SQS Queues
  • 調査した結果から誰が何にアクセスできるか
  • もし誤った設定を行った場合でも検知できるようになります
  • 検知した内容をEvent-Bridgeに連携することができます
  • AWS Organizationレベルでの対応もリリースされます。(Coming soon!)

whrer else can I see my findings

  • CLI/SDK/CloudWatch Eventsとの連携もできます

we want more

  • IAM Access Analyzeでさらにできること
    • 結果をS3へ保管
    • AWS Security Hubへ連携

The journey the secure(demo)

  • IAMコンソールでクリック一つで有効化が可能です。
  • 結果の画面でAWSリソース単位に表示されます
  • 問題があるリソースポリシーへここからアクセスできます。
    • 例えば、S3の問題であれば、S3のリソースポリシーのコンソールへ遷移する
  • 問題だと指摘されたリソースも人が判断して Active とすることができます

ポリシーの検査・確認

  • ポリシーを確認する方法として、レビュー/テスト/パターンマッチ/ログ解析を実施すると思います。
  • Zelkovaで検査することもできる
    • ただ、fancy math

Millennium Management社のIAM Access Analyzer事例

  • Millenniumの紹介
    • 1989創業
    • 2,900の従業員とアメリカ、欧州、アジアにオフィスがあります
  • Millenniumでは複数のアカウントをAWS Organizationで管理しています
  • 監視にはGurdDutyやInspectorなどを活用
  • IAM でのリソース作成や変更の検査にはZelkovaを利用していた
  • IAM Access Analyzerの結果をもとに通知をおこなうCAP-Vを作った
  • リンカーンの言葉
    • Give me six houurs to chop down a tree and I will spend the first four sharpening the axe.

CAP-V:Cross-Account Permissions Valudator

  • 名前の通り、クロスアカウントでリソースの公開状態をチェックするツールです。
  • IAM Acess Analyzerの結果からアラートをあげる
  • 独自のチェックルールで結果に内容から許可済みかアラートかの判断をおこなう。
  • 可能であれば是正し、是正後のバリデーションをおこない、改善されたかNGかの再判定をおこなう
  • IAM Access Analyzerのローンチテストに携わってきました

感想

セキュリティの分野でも収集している情報をもとに自動推論で問題がある箇所をお知らせするサービスが増えてきましたね。このサービスもIAMのコンソールでクリック一つで、とても簡単にリソースポリシーを確認することができるので、お勧めしたいです。クロスアカウントでのアクセス権も確認ができるので、ポリシーのチェックを手作業でおこなっていた人の作業を軽減できると思います。