More Related Content
Similar to aws-multiaccount-notify (20)
More from kota tomimatsu (11)
aws-multiaccount-notify
- 7. Control Tower
1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
通常アカウント
管理アカウント
- 8. 1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
trail集約
Control Tower
- 9. 1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
config集約
Control Tower
- 10. 1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
configのrule違反を集約
Control Tower
- 11. 1. Log ArchiveとAudit Accountを作成
2. cloudtrail
3. config(recorder,delivery)
4. config(event集約)
有効化すると
configのrule違反を集約
Control Tower
マルチアカウント環境のベースを構築してくれる(多少の縛りはあるが)
- 14. Security Hub GuardDuty + Organizations
1. auditアカウントに権限委譲
(rootアカウントから管理権限を委譲)
2. auditアカウントから
各Applicationアカウントの
securityhub , guarddutyを有効化
(Organizationの連携機能あり)
3. auditアカウントに結果集約
- 16. Security standardsとは
1.1 —「ルート」アカウントの使用を避ける
1.2 — コンソールパスワードを持つすべてのIAM ユーザーに対して多要素認証(MFA) が有効になっていることを確認します
1.3 — 90 日間以上使用されていない認証情報は無効にします。
1.4 — アクセスキーは90 日ごとに更新します。
1.5 — IAM パスワードポリシーには少なくとも1 つの大文字が必要です
1.6 — IAM パスワードポリシーには少なくとも1 つの小文字が必要です
1.7 — IAM パスワードポリシーには少なくとも1 つの記号が必要です
・・・・・・・
[IAM.1] IAM ポリシーでは、完全な「
*」管理権限を許可しないでください
[IAM.2] IAM ユーザーにはIAM ポリシーをアタッチしないでください
[IAM.3] IAM ユーザーのアクセスキーは90 日ごとに更新する必要があります
[IAM.4] IAM ルートユーザーアクセスキーが存在してはいけません
[IAM.5] コンソールパスワードを持つすべてのIAM ユーザーに対してMFA を有効にする
必要があります
[IAM.6] ルートユーザーに対してハードウェアMFA を有効にする必要があります
・・・・・・・
AWS bestpractice
CIS standard
Config Ruleのまとまりが適応され、結果がSecurity Hubに集約される
- 17. Security Hub での追加作業(1)
AWS bestpractice
CIS standard
113個
(1)check数が多い
(2)重複checkが存在する
113個
43個
困りごと
個々のaccount, regionで無効化設定する必要がある
アカウント追加ごとに実施するのが面倒
- 23. Security Hub での追加作業(2)
Security Hubのeventが変化
event
…...
"Compliance": {
"Status": "FAILED"
},
"Workflow": {
"Status": "SUPPRESSED"
},
…...
checkの結果
人間が記録した結果
workflow statusを「suppressed」(抑制)とすると
- 24. Security Hub での追加作業(2)
Security Hubのeventが変化
event
…...
"Compliance": {
"Status": "FAILED"
},
"Workflow": {
"Status": "SUPPRESSED"
},
…...
checkの結果
人間が記録した結果
workflow statusを「suppressed」(抑制)とすると
通知ルールから
SUPPRESSEDを除外
- 26. Config Rule + Organizations
Securityhub standardsではカバーできない検査ルールを追加
Organizationsと連携し、子アカウントにルールを一括適応できる
- 27. Config Rule + Organizations
1. auditアカウントに権限委譲
2. auditアカウントから
各アカウントの
config ruleを有効化
(Organizationの連携機能あり)
3. control towerで作成された
snsの仕組みで
auditアカウントに結果集約
Securityhub standardsではカバーできない検査ルールを追加
- 28. Config Ruleでの追加作業
(1)security hub standardとconfig ruleでばらけて分かりにくい
(2)security hubのようにリソースレベルで通知管理したい
困りごと
対応
Security Hubに統合する(config結果をsecurityhubにimportする)
AWSブログに一式展開してくれるcfnがあった
(一部変更する必要はあり)
- 40. (1)AWS Control Towerのcloudformationを読み解いたので誰かに褒めてほしい
https://cloud-aws-gcp.hateblo.jp/entry/control_tower_cloudformation
(2)AWS Config ルールの評価結果を Security Hub にインポートする方法
https://aws.amazon.com/jp/blogs/news/how-to-import-aws-config-rules-evaluations-findings-security-hub/
(3)securityhubのリージョン間集約
https://aws.amazon.com/jp/about-aws/whats-new/2021/10/aws-security-hub-cross-region-security-posture/
(4)AWS SSOとgoogle workspacesを連携
https://cloud-aws-gcp.hateblo.jp/entry/2020/07/15/003830
(5)aws-peacock(chrome拡張)
https://chrome.google.com/webstore/detail/aws-peacock-management-co/bknjjajglapfhbdcfgmhgkgfomkkaidj
(6)Organizationsとの連携サービス
https://fu3ak1.hatenablog.com/
(7)Health情報を集約する
https://www.slideshare.net/kotatomimatsu/aws-health-organizations-notifications
(8)justincase採用ページ
https://justincase.jp/careers
参考リンク