Downloaded 31 times
More Related Content
![[AWSマイスターシリーズ] Amazon Elastic Compute Cloud (EC2) Windows編](https://cdn.slidesharecdn.com/ss_thumbnails/20130529aws-meister-regenerate-ec2-windowspublic-130530094135-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
![[20220126] JAWS-UG 2022初頭までに葬ったAWSアンチパターン大紹介](https://cdn.slidesharecdn.com/ss_thumbnails/20220126-anti-220126190603-thumbnail.jpg?width=640&height=640&fit=bounds)
20211109 bleaの使い方(基本編)
- 1. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Amazon Web Services Japan Solutions Architect Yukitaka Ohmura Nov 9, 2021 Baseline Environment on AWS (BLEA) テンプレートの使いかた(基本編)
- 2. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 大村 幸敬 (おおむら ゆきたか) Manager, Solutions Architect • これからクラウドを使いはじめる エンタープライズ企業をサポート • Specialty: Cloud Operations & DevOps • Baseline Environment on AWS (BLEA) メンテナ https://github.com/aws-samples/baseline-environment-on-aws 好きなAWSのサービス: AWS CLI, AWS CDK, SSM Incident Manager 2
- 3. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Contents 1. AWS上のガバナンスの考え方 2. テンプレートによるガバナンス 3. BLEA 概説 4. 今後の展開 3 ご注意: この資料はBLEAの利用開始にフォーカスしており、その仕組みについて詳しくは解説していません。 詳細は、ブログ( https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ ) またはGitHubリポジトリ( https://github.com/aws-samples/baseline-environment-on-aws )でご確認ください。
- 4. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. AWS上のガバナンスの考え方
- 5. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. AWSはBuilderを支えるプラットフォーム - Self Service Platform - Biilderに自由を与え、適切な箇所で適切なツールを使えるようにする それによってビジネス価値を早期に実現できる
- 6. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Builderに必要なものは? Gatekeeper Guardrail V.S. ツールの利用を事前承認(Gatekeeper)すると管理業務がボトルネックになる。 各システムで自由に使わせる一方で、Builderを守るためガードレール(Guardrail)を用意する。 やってはいけない操作を未然に防ぐこと(予防的統制)、逸脱を検知すること(発見的統制)の2種類。 6
- 7. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. https://www.youtube.com/watch?v=3QJ-RA5R0Jk https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online 詳しくはこちらをご覧ください 8
- 8. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. テンプレートによるガバナンス 9
- 9. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. テンプレートによるガバナンスの考え方 • 許可されたサービスを使うのでなく • 集中管理で設定を強制するのでなく • 未然に防ぐより • 初期構築の自動化だけでなく • すべてを自分で作るのでなく アカウントの中で自由にサービスを使える環境を テンプレートによる同一設定の展開と分散管理を 逸脱の検知と迅速な修復を コードによる継続的なメンテナンスを AWSサービス拡充の柔軟な取り込みを 左の考えを認めつつも右の考えを重視することで クラウドの価値を最大限活かすガバナンスを実現することを目標とする 11
- 10. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS (BLEA) What is • AWSのセキュリティベストプラクティスを実装したサンプルテンプレート 特徴 • ベースラインのテンプレートを提供 ⇨ 最低限実施すべきガバナンスをAWSのセキュリティサービスで実現 ⇨ サンプル構成は SecurityHub CIS/AFSBP の High以上が出ないように構成済み • メンテナンスしやすい Cloud Development Kit (CDK) コード ⇨ CDKによる記述量の削減とエディタによる強力な開発サポート ⇨ カスタマイズしやすさを考慮した平易かつ解説の多いコード • シングルアカウント & マルチアカウント ⇨単体アカウントへの展開またはControlTower環境への展開に対応 12 https://github.com/aws-samples/baseline-environment-on-aws
- 11. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS の利用パターン マルチアカウント版 Governance Base for Standalone Guest Guest System シングルアカウント版 (Standalone) Governance Base for Control Tower Guest Guest System Guest Account Guest Account Baseline Environment on AWS で提供 Account AWS ControlTower Guest Account Guest Account Management Account ※“Guest system” はマルチアカウント版も Standalone版も同じものが利用できます。
- 12. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS の利用方法 カスタマイズ ゲストシステムの サンプルテンプレート ガバナンスベースの テンプレート BLEA on GitHub ガバナンスベース ゲストシステム ゲストシステム CDK CDK CDK CDK CDK システムA システムB ガバナンスベース システムA 担当 システムB 担当 システム B 用 システム A 用 ガバナンス 担当 カスタマイズ カスタマイズ CDK CDK ※BLEAテンプレートはMIT-0ライセンスで公開した AWSのベストプラクティスのサンプル実装であり、 構築された環境の品質をAWSが保証するものではありません。 実際の構築・運用にあたって、 お客様でテンプレートのカスタマイズやテストの実施が必要です。 CDK CDK CDK Fork 自社用に カスタマイズした ベースライン
- 13. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. BLEA 概説(シングルアカウント版)
- 14. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. ガバナンスの全体像 - BLEA Standalone 版 管理タスク Management Account Audit Account LogArchive Account Shared Svc Account Guest Account 1 アカウント払い出し Manual-Organizations 2 アクセス制御 (Organizations Roles) 3 予防的統制 (MNL-IAM) 4 発見的統制(Config) TMPL-ConfigRules 5 ロギング TMPL-CloudTrail/Config 6 通知 (CT) (None) 7 発見的統制 (挙動) TMPL-SecurityHub TMPL-GuardDuty 8 セキュリティ分析 IAM-AccessAnalyzer 9 共有ネットワーク (None) 10 サーバ管理 MNL-SSM QuickSetup 11 通知 (Security)+Chat TMPL-Security Alarm 12 アクセス制御 (for Guest) TMPL-IAM 13 発見的統制 (for Guest) TMPL-ConfigRules 14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc. 15 ネットワーク (for Guest) TMPL-VPC 16 鍵管理 (for Guest) TMPL-KMS 17 通知 (Monitoring)+Chat TMPL-Monitor Alarm 18 リソース + バックアップ TMPL-EC2/Serverless etc. 19 デプロイメント TMPL-CI/CD - CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual - *: Not yet (2021/10/26) Governance Base for Standalone Guest Guest System 17 管理タスクの主体 管理される側
- 15. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Member Account Architecture - BLEA for Single-Account (Standalone) Management Account Guest Account Organizations IAM AccessAnalyzer ConfigRules (Guardrail) IAMRole (OrganizationAccountAccessRole) CDK template Operation Guide Guest System GuardDuty SecurityHub Systems Manager QuickSetup LogBucket CloudTrail IAMRole (for Guest) ConfigRules +Automation EventBridge +Chatbot 18
- 16. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. BLEA ゲストシステム例: Webアプリケーション (ECS+SSL) WebContents 2021/10/27 CloudFront CloudWatch Synthetics CloudWatch Alarms CloudWatch Dashboard SNS & Chatbot CloudWatch Logs VPC Flowlogs ALB AccessLogs etc. Secrets Manager ECR ECS Fargate Aurora PostgreSQL ALB WAF ACM Route53 HostedZone (既存を参照) VPC Endpoints
- 17. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Baseline Environment on AWS - Stack dependency Guardduty SecurityHub Trail Config ECSApp DBAuroraPg Guest System (sample) Application Stacks 2021/10/26 • Components without dependency can deploy individually Vpc Iam ConfigRule 20 Governance Base for Guest FrontendSimpleStack Monitoring Stacks DashboardStack CanaryStack KeyApp(KMS) WAF ECR Networking Stack MonitorAlarm Chatbot Refer EventBridge events Essential Services Security Services Stack SecurityAlarm Refer EventBridge events Chatbot Security Alart Stacks
- 18. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 通知(Security Alarm)の例 BLEA がデフォルトで通知する内容 注意が必要な操作 • セキュリティグループの変更 • NeworkACLの変更 • CloudTrailの変更 • IAM Policyの変更 • API認証エラー • アクセスキーの作成 • Rootユーザーによる操作 セキュリティサービスの通知 • ConfigRules – NON_COMPLIANT • AWS Health – すべての通知 • SecurityHub • 以下のCritical/Highを通知 • CIS Benchmark • AWS Security Foundational Best Practices • GuardDuty • AWSが推奨するSeverityを通知 21
- 19. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 通知(Monitor Alarm)の例 サンプルアプリケーションの通知実装(例) • ECS/Fargate Service 平均CPU使用率 • ECS/Fargate Service タスク数 • ALB レスポンスタイム • ALB HTTP 4XXエラー数 • ALB HTTP 5XXエラー数 • ALB HealthyHost数 • Aurora CPU使用率 • RDS イベント 22
- 20. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. BLEA 概説(マルチアカウント版)
- 21. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. ガバナンスの全体像 - BLEAマルチアカウント版 管理タスク Management Account Audit Account LogArchive Account Shared Svc Account* Guest Account 1 アカウント払い出し CT-Org (Created by CT) (Created by CT) (Created by CT) (Created by CT) 2 アクセス制御 CT-SSO/Admin + AD CT-Admin CT-Admin CT-Admin CT-Admin 3 予防的統制 CT-SCP CT-SCP CT-SCP CT-SCP CT-SCP 4 発見的統制(Config) CT-ConfigRules作成 CT-ConfigRules CT-ConfigRules CT-ConfigRules CT-ConfigRules 5 ロギング (CT-Log Bucket) CT-CloudTrail/Config CT-Log Bucket CT-CloudTrail/Config CT-CloudTrail/Config 6 通知 (CT) (CT-Audit Topic) CT-Audit Topic (To Audit Topic) (To Audit Topic) (To Audit Topic) 7 発見的統制 (挙動) MNL-SecurityHub MNL-GuardDuty Member-SecurityHub Member-GuardDuty 8 セキュリティ分析 MNL-IAM-AccessAnalyzer Member-IAMAccessAnalyzer 9 共有ネットワーク TMPL-VPC/DNS/VPCEP * (Use Shared Svc Account) 10 サーバ管理 MNL-SSM QuickSetup 11 通知 (Security)+Chat TMPL-Security Alarm 12 アクセス制御 (for Guest) TMPL-IAM 13 発見的統制 (for Guest) TMPL-ConfigRules 14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc. 15 ネットワーク (for Guest) TMPL-VPC 16 鍵管理 (for Guest) TMPL-KMS 17 通知 (Monitoring)+Chat TMPL-Monitor Alarm 18 リソース + バックアップ TMPL-EC2/Serverless etc. 19 デプロイメント TMPL-CI/CD - CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual - *: Not yet (2021/10/26) AWS ControlTower Governance Base for CT Guest Guest System 管理タスクの主体 管理される側
- 22. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Member Account Member Account Guest Account BLEA マルチアカウント版 – 利用サービス Management Account Audit Account Customization for ControlTower (CFCT) AWS Contrl Tower GuardDuty SecurityHub Config SCP Organizations IAM AccessAnalyzer Config IAMRole (CT) IAMRole (for Guest) Shared Service Account (Not included now) R53 zone TransitGW SharedNW Guest System Logging Account Audit Log Bucket Config Aggregator SNS AggregateSecurity Notifications GuardDuty SecurityHub Systems Manager QuickSetup Managed by Control Tower SSO CloudTrail CDK template Operation Guide ConfigRules +Automation EventBridge +Chatbot
- 23. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 今後の展開
- 24. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. BLEA 今後の展開 • BLEAは AWS Japan の SAが開発・メンテナンスしています • お客様からのフィードバックを元にユースケースの拡充やセキュリ ティサービスへの対応強化を行う予定です • BLEAやCDKを利用するための解説資料やHowTo、ワークショップ コンテンツなどを提供する予定です • GitHub に Issuesを投稿する、あるいは お近くの AWS の SA へ ご連絡ください
- 25. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. 参考URL • Baseline Environment on AWS • https://github.com/aws-samples/baseline-environment-on-aws • AWS環境にセキュアなベースラインを提供するテンプレート 「Baseline Environment on AWS」のご紹介 • https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ • CDK Workshop • https://cdkworkshop.com/ 46
- 26. © 2021, AmazonWeb Services, Inc. or its Affiliates. All rights reserved. Thank you!