published at JAWS-UG BGNR #12

1. Organization管理者から見た
運用管理の話
石井大河

2. 自己紹介
名前: 石井 大河 (イシイ タイガ)
所属; 某自動車メーカー システム部門
好きなサービス: Organizations
仕事:クラウドサービスの検証
趣味:クラウドサービスの検証

3. 話すこと
・AWSサミット2018で得た刺激
・初心者向けの話
・運用管理の話
話さないこと
・自社のAWS活用状況
・AWS資格保有者向けの話
・開発の話

4. 資料は後で公開するので
Twitterに集中してください！
@jawsug_bgnr
#jawsug
#jawsug_bgnr

5. 物足りなかったら...
専門支部へGO!

6. AWS Summit Tokyo 2018 運用系セッション
Tech系セッション
-AWSのオペレーション最適化の
勘所
-DevSecOps on AWS
-AWSによるセキュリティオート
メーションの実践
-AWSアカウントの認証管理
ユーザ系セッション
-「これ危ない設定じゃないでしょうか」
とヒアリングするための仕組み
/サイバーエージェントさん

7. サイバーエージェントさんの
セッション
・パブリッククラウド管理者は2名のみ
・自由と責任
-守るところは守る -制限とのバランスが難しい
・ヒアリングする仕組み
-イベントベース -スケジュールベース
・診断
-Trusted Advisor -CIS AWS Foundations Benchmark
https://developers.cyberagent.co.jp/blog/archives/16009/

8. 運用管理は奥が深い

9. Organizations
・マルチアカウント戦略
・アカウント発行作業
・落とし穴

10. Organizations マルチアカウント戦略
-機能分離(Master, Log, Shared Service...)
-プロジェクトごとの特性
-そもそも組織が大きいので
マルチアカウント/Organizationになる
AWS Landing Zone
マルチアカウント構成のテンプレート2018/6/14公開
https://aws.amazon.com/jp/answers/aws-landing-zone/

11. Organizations 運用管理
自由度を与えるならエンドユーザのIAMユーザはPowerUserでいい
-制約をつけたい箇所はSCP(サービスコントロールポリシー)でDenyできる
-CloudTrail, Config等ログ系に触らせたくない⇨SCPでDeny

12. Organizations メンバーアカウントを作るコマンド
aws organizations create-account
--email "hogehoge@example.com"
--account-name "test"
--role-name "OrganizationAccountAccessRole"
ポチポチしなくていいので楽

13. Organizations 落とし穴
マスターアカウントは変更できない
・利用が拡大してから組織を作り直すのはかなり手間
-新マスターアカウントを作成する
-旧Organizationから全メンバーアカウントを離脱させる
-新Organizationにメンバーアカウントを追加していく
⇨トータルではOrganizationsによってだいぶ運用が楽になっている
これなしでの運用は考えられない。

14. CloudTrail ≒必須項目
・ユーザーのアクションをロギングするサービス
・全アカウント、全リージョンで有効にする
・ロギングアカウントのS3Bucketに集約する
・集約したログはアラートやモニタリングに活用する

15. CloudTrail ログの活用
・CloudWatchLogsと連携
-アラート通知
-rootログインの検知、セキュリティグループの監視
・ElasticsearchServiceと連携
-KibanaでログフォーマットをCloudTrailにするだけで簡単に可視化
・AthenaとQuicksightでBIという手もある

16. Config
・リソースの構成変更のログを取得
←CloudTrailはユーザのアクションベースのログ
・アグリゲータを用いてマルチアカウントでの一元化が可能に (2018/04)

17. Config Rules
・Configの取得値をもとに、ルールを守っているかチェックする
・ルールごとにコストが増えていく
リージョン、アカウントごとにコストがかかる
⇨新米管理者としては、それでもマネージドにしたい

18. GuardDuty
・CloudTrail, VPCフローログ、 DNSログから、
・悪意のあるスキャン/インスタンス攻撃/アカウントへの攻撃を検知する。
ポートスキャン/ブルートフォース,暗号通貨マイニング/ログ無効化など
・通知したい
⇨CloudWatchEevnt, Lambdaを使ってwebhookを叩いて...
⇨面倒

19. GuardDuty Slack通知テンプレート
・GuardDutyの脅威検知結果をSlackに通知するCloudFormationテンプレート
https://github.com/aws-samples/amazon-guardduty-to-slack

20. GuardDuty 脅威検知の集約
・各アカウントのダッシュボードを見にいくのが面倒
⇨マスターアカウントにメンバーアカウントの検知結果を集約可能
*Organizationsのマスター/メンバーとは別の関係
・マスターアカウントからメンバーアカウントを招待して、
メンバーアカウント側で承認して...
⇨面倒 Jenkins化する...?

21. GuardDuty マルチアカウントスクリプト
・GuardDutyを有効化し、全てのメンバーアカウントで
招待を承認するpythonスクリプト
https://github.com/aws-samples/amazon-guardduty-multiaccount-scripts

22. Trusted Adivser
・管理者になったら最初に見るべきもの
・無料サポートではセキュリティの一部とサービス制限が対象
・ビジネスサポート以上では
コスト最適化、パフォーマンス、フォールトトレランスなど範囲が拡大

23. Trusted Advisor Tools
・使用率の低いEC2を止める
・バックアップのないEBSのスナップショットをとる
・晒されたアクセスキーを削除して、利用履歴を通知する
https://github.com/aws/Trusted-Advisor-Tools

24. CIS BenchMark
インターネット・セキュリティの
標準化団体CIS(Center for Internet Security)
が定めたセキュリティ関する設定の
ベストプラクティス

25. CIS BenchMark クイックスタート
・Configルール
・CloudWatchアラーム
・CloudWatchEventルール
などを設定するテンプレート

26. CIS BenchMark チェックリスト
・権限管理
・ログ
・監視
・ネットワーク
Total 52項目...

27. InsightWatch
CISベンチマーク準拠で診断できる！
無料!
https://insightwatch.io/
AWS InspectorのCISベンチマークはOSを対象としているため、
AWSアカウントを対象とした診断はカバーできていない

28. ちなみに...
運用管理を始めて2ヶ月
ミニマムでやるべきこと
・セキュリティ/運用の基準を知る Trusted Advisor, CIS Benchmark,
Well-Architected Framework
・ログを取る CloudTrail, Config...
・アカウント、権限管理を整理する Organizations, IAM, AD連携

29. 運用管理をもっと知りたい人は...OpsJAWSへ！
https://opsjaws.doorkeeper.jp/

30. さいごに
終わりなき運用管理の世界...
ぜひ一緒に勉強して行きましょう！