JAWS-UG初心者支部#12の資料

1. JAWSUG初心者支部#12
ベストプラクティスに学ぶセ
キュリティ関連サービス
2018/06/22
ビットバンク株式会社
吉田 裕貴

2. 自己紹介
名前：吉田 裕貴( Yuki Yoshida)
所属：ビットバンク株式会社（ bitbank,inc.)
インフラエンジニア
好きなサービス
Redshift
DynamoDB
AWS SSO
だいたいひとりでキャンプしている人。

3. AWS FinTech リファレンス・アーキテクチャー

4. summit2日目

5. リファレンスガイド
● 目が痛くなりそうなエクセルの PDF
● XX基準とかを満たすための要件とすべき
こと。AWSが既にやっていることを網羅的
に書いてくれている
● うへぇ・・・と思ったら FISCとかPCIDSSとか
言われたらめっさ役に立つ資料

6. FinTechリファレンステンプレート
● リファレンスガイドで書かれた内容と照らし
合わせる事ができる構成図と、その構成
図の環境を作成するClouｄFormationテ
ンプレート
● 作られるものの構成としてはイケイケのも
のではなくあくまでもベストプラクティス-教
科書的なよく聞く感じのものです
● FinTech関係ないなーと思ってる方も一度
確認しましょう。
● 中で作成されるリソースについていくつか
見ていきます

7. AWS Config
● 構成変更の通知、構成履歴を記録するサービス
● リソースの変更履歴、構成情報を管理
● 他のアカウントの情報を集約が可能
● ルールを用いて構成情報を評価が可能
● 独自にルールを定義可能（要コーディング）

8. Config Rules
テンプレートで定義されているルール
● check-for-unrestricted-ssh-access
● check-ec2-for-required-tag
● check-for-unrestricted-ports
● check-for-ami-compliance
○ Custom rule for evaluating pre-approved AMI use
● check-whether-cloudtrail-is-enabled
○ Custom rule for evaluating CloudTrail configuration compliance
デフォルトで定義されているルール以外にも Lambdaを使って評価を実装可能
awslabs/aws-config-rules でいろいろとルールが公開されているので参考に

9. Amazon GuardDuty
● マネージド型の脅威検出サービス
● 難しいことを考えず有効化すれば動くだけは動きます
● CloudWatch Eventsと連携してアラートを通知したりできる
○ https://docs.aws.amazon.com/ja_jp/guardduty/latest/ug/guardduty_finding-t
ypes.html#crypto3
○ 自動でいろいろ評価してくれる
テンプレートでも有効化がされています。

10. CloudTrail
● マネジメントコンソール、コマンドラインなど APIの呼び出しを記録
● S3へ保存
● SNSで新しい証跡が保存されたことを通知することも可能
難点
● ちょっと調査しようと思って見れるものではない（人間が読めるものではない）
● 取るのは簡単だが利用しようとするとそれなりに加工しなければいけない
第一段階としてはとにかく収集していることなので、何はともあれ有効化する。
もちろんテンプレートでも有効化されている

11. KMS
● 暗号鍵の作成、管理ができる
● AWSに保存するデータの暗号化が可能
● 低コストで使える
● CloudTrailで証跡が取れる
サービスによってはデフォルト鍵を指定するとオプションをつけるだけで
暗号化・復号化が可能
こんな感じでいろいろなサービスがあるので使いましょう

12. ところで
５月３１日 AWS アカウントの認証管理
こんなセッションがありました。

13. IAM
● AWS Identity and Access Management (IAM)
● ユーザー/Rollなどリソースが使うものと、人が使うものがある
● Rootは封印しよう
● MFA使ってますか
● アカウントが複数あったらどうしますか？

14. ユーザー管理について
● １アカウントの場合
○ IAM USERを使用する
● 複数アカウントの場合
○ 個別にIAM USERを払い出すのか？
■ 人の出入りが激しかったらどうするか
■ 管理はちゃんと出来ているか？
■ 棚卸しをしなければ・・・
■ つらみ
セッションの中でも、スイッチロール・ADFS・SSOなどいろいろ紹介してい
ます

15. AWS SSO
私のイチオシ
● アカウントが少なければスイッチロールでも良いが、メンテナンスが面倒
● ADFSはAWS SSOがあるのでむしろ選ぶ理由がない
● AWS SSOを使いましょう

16. ログイン画面の例
ユーザーごとに見えるアカウント・権限や連携アプリケー
ションを制御できる
ログイン時にOTP認証を追加することが可能
Organizations配下のアカウントなら何でもござれ！

17. 一時的なクレデンシャルの払い出し
● ６０分間有効なクレデンシャルを自動で払い
出しが可能
● 事前に指定したロールに基づいて払い出さ
れるので調査用のRedaOnlyなどを簡単に
使用できる
● ユーザーとクレデンシャルがIAMに残らなく
てすむ！

18. 構成例
● ユーザーはActiveDirectoryで
管理する
● ActiveDirectoryのユーザー/グ
ループに対してAWS SSOでポリ
シーを当てる
● MFAを利用する場合自分たちで
RADIUS認証サーバを用意しな
ければならない
● 現在はまだ米国リージョンしか使
えない
● MFAの部分は自前、Duo、
OneLoginといろいろ試したけど
OneLoginにしました。

19. AWS SSOの設定画面例
組織に組み込んだアカウントへの制御が簡単にできる！
ぜひ使いましょう

20. Organizationsのマスターアカウントへは

21. AWS SSOを使って
IAM ユーザーなど滅ぼしてしまえ！！！

22. こくち
27日弊社でAWSのLT大会やります！
connpassで募集しています！

23. WE’RE HIRING!!