(SCPでユースカジノ 出金 銀行作ろう①)
投稿日: 2023/6/23
はじめに
こんにちは、園田です。
本記事は、「ユースカジノ 出金 銀行2;)」となります。
過去の記事はこちら
ユースカジノ 出金 銀行その1)
ユースカジノ クレジットカード
本ブログはAWSでマルチアカウント管理を行う際の設計を行う際に、「こんなことを制限したいよねー。ユースカジノ 出金 銀行ものになります。
そもそもユースカジノ 出金 銀行は、「ユーザ管理」と「利用者への制限」がメイントピックとなります。今回は「利用者への制限」を記載します。
ユースカジノ 出金 銀行(コントロール)とは
本来の意味はAWS Control Towerにて持つ機能の一部となりますが、本ブログでは「セキュリティリスクを冒すような操作は実行させないユースカジノ 出金 銀行ことを実現するための機能としてガードレールと呼称することとします。
なお、ユースカジノ 出金 銀行には
- 「予防的ユースカジノ 出金 銀行」(セキュリティリスクを冒すような操作は実行させない)
- 「発見的ユースカジノ 出金 銀行」(セキュリティリスクを冒すような設定が実施された場合に検知を実施する)
が存在しますが、今回の記事では「予防的ユースカジノ 出金 銀行」をメインとして扱います。
正直、「検知をして修正するより、実施させない方がいいよね。ユースカジノ 出金 銀行のは多くの管理者の方が考えれていることではないでしょうか。ブログの後半では、「発見的ガードレール」をどうやって「予防的ガードレール」に変更していくかについて記載したいと思います。
SCPで予防的ユースカジノ 出金 銀行考える
サービスコントロールポリシー (以下、SCPと記載)はOrganizationsのOUに設定するものとなり、基本的に「何を制限するか(ユースカジノ 出金 銀行操作をDenyするか)」を記載するものとなります。
(Organizationについては「ユースカジノ 出金 銀行」を参照ください)
SCPを考えるうえでポイントは「SCPで制御したものはrootおよびAdministrator権限より上位になるユースカジノ 出金 銀行事です。どういうことかというと、例えばセキュリティ強化のため、「CloudTrailを削除・停止をさせないユースカジノ 出金 銀行ことを制限したい場合、SCPにてDeleteTrail、StopLogging、UpdateTrailを禁止(Deny)することで、CloudTrailの削除、停止が実施できないようにすることが可能です。
CloudTrailの場合、問題にはならないかもしれませんが、例えばCloudTrailの命名規則を変えたいとなった場合、そのままの状態ではrootやAdministrator権限を持っている管理者の方でもCloudTrailの削除、停止、変更がユースカジノ 出金 銀行できません。
そのため、SCPを設定するユースカジノ 出金 銀行った場合、例外対応を実施したい場合、どのように運用をするのか(利用者から依頼があった際にどのように対応をするのか)を事前に定義しておく必要があります。
SCPを設定する際に決めておくこと
- ユースカジノ 出金 銀行制限をかけるのか
- 例外対応を誰がユースカジノ 出金 銀行のか
(制限をかけた操作については、事前にユースカジノ 出金 銀行できる例外ユーザを定義しておくなど) - 例外申請について
(利用者が禁止事項を例外的にユースカジノ 出金 銀行したい場合、どのように申請するか、また許可する条件など)
どのようなユースカジノ 出金 銀行設定するか
どのようなユースカジノ 出金 銀行設定すべきかよくわからないといった場合、対応策としては以下の2つがあります。
- 案1:想定されるリスクの洗い出しをユースカジノ 出金 銀行
- 案2:すでに定義された基準(ベストプラクティスなユースカジノ 出金 銀行ドキュメント)を選定し、対策を検討する。
案1については網羅性を持たせるためには適切なソース情報、および時間が必要となります。また、あらゆる手動でリスクを洗い出すのは現実的ではないかと思います。(検討をする担当者全員がセキュリティおよびAWSに明るいユースカジノ 出金 銀行訳でもないかと思います)。
ということで、現実的には案2の「すでに定義された基準(ベストプラクティスなどのドキュメント)を選定し、対策を検討する。ユースカジノ 出金 銀行形になるかと思います。
このベストプラクティスについては一般的には「AWS Well-Architected」、もしくは「IAMセキュリティベストプラクティス」になるかと思います。
ただ、どちらも具体的な制限事項が記載しているという訳ではありませんので、実際にユースカジノ 出金 銀行設定する際に利用するというやり方は難しいと思います。
という訳で、実際にリスクがある事象を検知するツールを元にユースカジノ 出金 銀行定義するという方法が考えられます。リスク検知のツールとしてはサードベンダーのツールを利用するという方法もありますが、今回はAWS Security Hubを利用して、ユースカジノ 出金 銀行作るという事をしてみましょう。
まずはSecurity Hubのサービス画面にて「セキュリティ基準」→「AWS 基礎セキュリティのベストプラクティス v1.0.0」を「有効化」しましょう。
「AWS 基礎セキュリティのベストプラクティス v1.0.0」についてはAWSのベストプラクティスの設定のベストプラクティスとなっており、AWS上ユースカジノ 出金 銀行すべきでない操作をユースカジノ 出金 銀行した際、検知できるルールとなっています。
Security Hubの画面
有効化をユースカジノ 出金 銀行後、「AWS 基礎セキュリティのベストプラクティス v1.0.0」に表示される「結果を表示する」をクリックください。本設定にて監視している設定についてのダウンロードできますので、「ダウンロード」をクリックください。
ダウンロード画面(ダウンロードをクリックするとチェック項目がダウンロードできます)
これでSecurity Hubでどのような操作をリスクがある操作としているかの確認をユースカジノ 出金 銀行ことが可能です。早速、中身を見ていきましょう。
Security Hubでのチェック項目
Security Hubでのチェック項目については以下のような形となっています。
実際にダウンロードしたファイルをcsv形式で開いた場合の例
上記の画像を見てもらえれば分かるかと思いますが、Security Hubには「重要度ユースカジノ 出金 銀行ものが存在します。重要度は「重要」、「高」、「中」、「低」となって、基本的には「重要」が最も危険度が高いと認識貰って間違いありません。
重要度の定義はこちら
- 重大
→ この問題は、さらに悪化しないように直ちに修復する必要があります。 - 高
→ この問題は短期的な優先事項として対処する必要があります。 - 中
→ この問題は、中期的な優先事項として対処する必要があります。 - 低
→ この問題には、独自のアクションは必要ありません。
参考
https://docs.aws.amazon.com/ja_jp/securityhub/latest/userguide/controls-findings-create-update.html
リスクがある行為については禁止する方が良いのはその通りですが、いきなり全てを検討するユースカジノ 出金 銀行のは現実的ではないため、まずは優先度が「重大」、「高」のものからチェックして、行為・設定を制限するのかユースカジノ 出金 銀行のを検討するのが現実的かと思います。
「重要」に関しては以下の通りとなります。本項目については予防的ユースカジノ 出金 銀行どのように設定するかについて、きちんと定義しておくべき項目と考えます。
なお、この設定項目については2023年6月度ものとなり、随時変更となる可能性があります。そのため、ユースカジノ 出金 銀行項目がチェックされるかについては定期的に確認する必要があります。
Security Hubでの「重要」のチェック項目
ではこれらの項目に対しSCPにて予防的ユースカジノ 出金 銀行実施できるか、実施する場合どのように定義すればよいのかを考えていきたいと思います。
ちょっと長くなってしまったのでいったんここで切らせていただきます。 次回、「ユースカジノ 出金 銀行3;)」でお会いしましょう。
カジノゲームは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。