Upload File

develipers.io 2016 e-1 「aws configを使ったaws環境の見える化」

  • Home
  • Technology
  • Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
56
Developers.IO 2016 E-1 森永 大志 AWSソリューションアーキテクト Ⓒ Classmethod, Inc. 2016年02月20日 AWS Configを使った AWS環境の見える化 1 #cmdevio2016

Upload: morisshi

Post on 06-Apr-2017

1.441 views

Category:

Technology


3 download

Report

TRANSCRIPT

Page 1: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Developers.IO 2016

E-1

森永 大志 AWSソリューションアーキテクト

Ⓒ Classmethod, Inc.

2016年02月20日

AWS Configを使った AWS環境の見える化

1

#cmdevio2016

Page 2: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

自己紹介

2

Page 3: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

森永 大志 (@morimoritaitai) AWSソリューションアーキテクト ✤ 趣味 : ゲーム(全般) / 酒 / カメラ ✤ 興味 : DevOps / Security

AWS認定資格 Solutions Architect - Professional

Developer -Associate SysOps Administorator - Associate

https://twitter.com/morimoritaitai
Page 4: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

最近はもっぱら娘の写真を撮ってます。

Page 5: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

AWS Config

5

Page 6: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

AWS Configで出来ること• 構成情報のスナップショットの取得 • 構成情報、変更履歴の検索、閲覧 • 作成、変更、削除された際の通知 • AWSリソース間の関係性の確認

6

Page 7: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

– Joshua Du Lac Senior Security Consultant , Amazon Web Services

“Security geeks should LOVE it!”

Page 8: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

現在対応しているAWSリソース2016/2/20現在対応リソース

8

Resource Type Resource

Amazon EC2

EC2 インスタンス EC2 Network Interface EC2 セキュリティグループ EC2 Elastic IP (VPC のみ) EC2 Dedicated Hosts

Amazon VPC

カスタマーゲートウェイ インターネットゲートウェイ ネットワーク ACL ルートテーブル サブネット VPC VPN ゲートウェイ VPN 接続

Resource Type Resource

Amazon EBS汎用 (SSD) ボリューム プロビジョンド IOPS (SSD) ボリューム マグネティックボリューム

AWS CloudTrail Trail

AWS IAM

IAM ユーザー IAM グループ IAM ロール IAM 管理ポリシー (カスタマー管理型のみ)

New!

Page 9: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

対応リソースが増えることを切に願います。

ひとまずRDSを…

9

Page 10: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

ユースケース

10

Page 11: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

AWSリソースの構成管理• 一覧でAWSリソースを確認出来る • 削除されたリソースについても追跡可能

11

Page 12: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

監査、コンプライアンス• いつ、どのように変更されたかを記録するので証跡として利用可能

• PCI DSSのような規格に準拠するためにも必要

12

Page 13: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

トラブルシューティング• 設定ミスはインシデント発生原因のひとつ • 関連するAWSリソースも辿れるのでトラブルシュートしやすい

13

Page 14: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

ゴチャゴチャしやすいAWSリソースを簡単に「見える化」出来る!

14

Page 15: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

ゴチャゴチャしやすいAWSリソースを簡単に「見える化」出来る!

15

Page 16: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単

16

Page 17: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単

17

Page 18: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単

18

どのリソースを記録するか

どのバケットにログを残すか

Page 19: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単

19

どのSNSトピックで通知するか 通知しない、という設定も可能

Page 20: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単

20

Configに与える権限の設定 よしなにやってくれるので「許可」押すだけ

Page 21: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単

21

Page 22: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単

22

Page 23: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

あとは放っとけば勝手に 記録してくれます。

23

Page 24: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Configはどう動くのか

24

エンジニア向け

Page 25: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

用語説明•Configuration Item •個々のAWSリソースに対する一回の設定変更の内容

•Configuration Recorder •構成情報を記録するための主体。DescribeやListなどのAPIを呼んで構成情報を確認する。

•Configuration History •各リソース毎、6時間おきにS3に配置されるConfiguration Itemをまとめたファイル

•Delivery Channel •S3やSNSなどのログ保管や通知先

•Relationships •AWSリソース間の関連性(EC2インスタンスはVPCやサブネット等と関連している)

25

Page 26: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

AWS ConfigをONにする• ログ保管先のS3と通知するためのSNSを設定 • Delivery Channelの作成

• Read系の権限とS3、SNSアクセス出来るIAM作成 • Configuration Recorderの設定

26

Delivery ChannelConfiguration Recorder

Page 27: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

初回の設定情報収集• 初回設定時に対応しているAWSリソースの設定情報を収集する • 初回は全てのConfiguration Itemを収集

27

EC2

VPC

CloudTrail

IAM

EBS

Configuration Item

AWSリソース

Page 28: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定変更時• 設定変更をトリガに変更されたAWSリソースの構成情報を収集する • 新たなConfiguration Item収集

• Configuration Itemには関連するAWSリソースも記載されているので、そちらの構成情報も取得する

28

Security Group

変更! VPCNetworkInterface

EC2 InstanceConfiguration Item 収集

Page 29: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

(TIPS)差分を見るAPIは?• Configuration Itemの差分をAWS Configが取っているだけで、APIは存在していない。

29

Configuration Item

Config 1AAAAA

Config 2BBBBB

Configuration Item

Config 1AAAAA

Config 2CCCCC

Page 30: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

(TIPS)差分を見るAPIは?• Configuration Itemの差分をAWS Configが取っているだけで、APIは存在していない。

30

Configuration Item

Config 1AAAAA

Config 2BBBBB

Configuration Item

Config 1AAAAA

Config 2CCCCC変更点!

Page 31: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

でもConfigって設定や設定変更を見える化するだけだよね?

31

Page 32: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

結局それが正しい設定か 人間が判断しないといけないよね?

32

Page 33: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

ごもっともです。

33

Page 34: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

そんなあなたに朗報です。

34

Page 35: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

AWS Config Rules

35

Page 36: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

AWS Config Rulesで出来ること• AWS Configで記録した設定が正しいかを判定するルールを設定できる • 例えば、 • セキュリティグループがフルオープン!(あるある) • タグの付け忘れ!(Billingで集計できない。。。)

• 正しくないものは正しくないと自動で判定

36

Page 37: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

ルールの種類• マネージドルール • AWSが提供しているルール • あるあるなものを用意してくれています

• カスタムルール • 自分で自由に作れるルール • 判定する機構はLambdaで作成 • Lambdaなので作りこめば相当いろいろ出来る

37

Page 38: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

提供されているマネージドルール• CloudTrailが有効化されているか • EIPがインスタンスにアタッチされているか • EBSが暗号化されているか • SSHポートが開放されていないか • EC2がVPC内に作成されているか • ○○というタグを付けているか • ○○番ポートが開放されていないか

38

Page 39: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単• AWS Configの有効化は前提 • 残念ながら現在(2016/02/20)はバージニアリージョンのみ対応です。。。

39

Page 40: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

設定は非常に簡単

40

お好きなルールをどうぞ

Page 41: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

• マネージドルールでの設定はパラメータ設定くらい

Ⓒ Classmethod, Inc.

設定は非常に簡単

41

この場合CloudTrailのログ保管先のバケットが 正しいかなどを指定できる

Page 42: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

• 問題なければ「Compliant」

• 問題ありなら「* noncompliant resource(s)」

Ⓒ Classmethod, Inc.

設定は非常に簡単

42

Page 43: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

カスタムルール• Lambdaで判定部分を記述する • Node.js / Java / Pythonのいずれかで記述する • Lambdaをしっかり理解していないと少し難しい。。。

43

Page 44: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

エコシステム

44

Page 45: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

公式に連携しているアプリケーション• 2nd Watch • AlertLogic • CloudCheckr • CloudHealth • Cloudnexa • Evident.io • Loggly • Logstorage • Red Hat • RedSeal • Service Now • Splunk • Trend Micro

45

Page 46: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

Logstorage

46

http://www.logstorage.com/welcome/awsconfig_pack.html

Page 47: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

Logstorage

47

http://www.logstorage.com/welcome/awsconfig_pack.html

ブログ書いてます! http://dev.classmethod.jp/cloud/aws/aws-logstorage-config/

Page 48: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

Logstorage

48

http://www.logstorage.com/welcome/awsconfig_pack.html

他にも検証して欲しい製品あれば 検証してブログ書きます!

Page 49: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

DeepSecurityとの連携• ConfigRulesでDeepSecurityの設定がセキュリティポリシーに適しているか確認できます。

49 https://github.com/deep-security/aws-config

Page 50: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

DeepSecurityとの連携• 不正プログラム対策がなされていなければNoncompliantとなる

50

Page 51: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Ⓒ Classmethod, Inc.

DeepSecurityとの連携• 不正プログラム対策がなされていなければNoncompliantとなる

51

ブログ書きます!

Page 52: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

他の製品と組み合わせると 更に強力なツールになります!

52

Page 53: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

まとめ皆様是非AWS Configを使ってやって下さい。

本当にいい子なんです。

53Ⓒ Classmethod, Inc.

Page 54: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

まとめAWS Config単体では不安なところもあります。

AWS CloudTrailでのAPI証跡

TrustedAdvisorでのコスト最適化

Inspectorでの脆弱性診断

等と組み合わせて安全安心のAWS環境を目指しましょう!

54Ⓒ Classmethod, Inc.

Page 55: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」
Page 56: Develipers.IO 2016 E-1 「AWS Configを使ったAWS環境の見える化」

Developers.IO 2016

ご静聴ありがとうございました。 スライドは後ほどブログで公開します。

56

E-1

Ⓒ Classmethod, Inc.

#cmdevio2016


[AWS Black Belt Online Seminar] AWS Config · © 2019, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS Black Belt Online Seminar • • ①吹き出しをクリック

AWS Black Belt Online Seminar · 【AWS Black Belt Online Seminar】 コストの観点から見るアカウント管理 アマゾンウェブサービスジャパン株式会社

Standardized Architecture for PCI DSS on the AWS Cloud · Amazon Web Services – Standardized Architecture for PCI DSS December 2016 Page 3 of 35 Set up AWS Config

AWS re:Invent 2016: 5 Security Automation Improvements You Can Make by Using Amazon CloudWatch Events and AWS Config Rules (SAC401)

AWS Black Belt Tech シリーズ 2015 AWS CloudTrail & AWS Config

Security on AWS - resources.trendmicro.com IAM Amazon CloudWatch AWS CloudTrail AWS Config AWS CloudFormation AWS Trusted Advisor

AWS Black Belt Online Seminar 2016 AWS CloudTrail & AWS Config

AWS Black Belt Online Seminar AWS CloudTrail & AWS Config · 2017-10-11 · 2 AWS Black Belt Online Seminar とは • AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです

AWS のガバナンス入門 (AWS CloudTrail, AWS Config)...AWS Config Rules によるポリシー適合の評価 準拠すべきルール を事前に設定 ルールに沿った

re:Growth ビッグデータ観点で見た AWS re:Invent 2015

CIS AWS Foundations Benchmark - Amazon S3 Web Services – CIS AWS Foundations Benchmark December 2017 Page 6 of 20 Lambda functions – All custom AWS Config and CloudWatch Events

AWS Config - Developer Guide...AWS Config Developer Guide Managing and Troubleshooting Configuration Changes Managing and Troubleshooting Configuration Changes When you use multiple

AWS Config - Guia do desenvolvedor...AWS Config Guia do desenvolvedor Formas de usar o AWS Config O que é o AWS Config? O AWS Config fornece uma visão detalhada da configuração

AWS Config · 2020. 9. 11. · AWS Config features Resource relationship tracking Discovers, maps, and tracks AWS resource relationships in your account For example, if a new Amazon

Windows on AWS - london-summit-slides …london-summit-slides-2017.s3.amazonaws.com/How AWS can help yo… · AWS IAM Amazon S3 AWS CloudTrail AWS Config Logging and monitoring platform

Transparency and Control with AWS CloudTrail and AWS Config

AWS re:Invent2017で見た AWSの強さとは

Eirik Gulbrandsen Cloud Security Alliance Norway ... · AWS Config AWS CloudTrail. IN2120 INFORMATION SECURITY. IN2120 INFORMATION SECURITY SECURITY S H I F T L E F T P R O D U C

Up near the clouds · WorkMail Amazon CloudWatch Administration & Security Analytics AWS Data Pipeline Networking Amazon vpc AWS AWSIAM AWS Trusted Advisor Amazon CloudFront AWS Config

AWS Config - 開発者ガイド...AWS Config 開発者ガイド AWS Config を使用する方法 AWS Config とは AWS Config は、AWS アカウントにある AWS リソースの設定詳細ビューを提供します。これには、リ

AWS CloudTrail & AWS Configd0.awsstatic.com/.../services/20150715-aws-blackbelt-cloudtrail_con… · AWS CloudTrail & AWS Config 2015/07/15 AWS Black Belt Tech Webinar 2015 アマゾンデータサービスジャパン株式会社

まる見え、AWS!! - JAWS UG 2015 -

AWS Config - Guía para desarrolladores · AWS Config Guía para desarrolladores Modos de utilizar AWS Config Qué es AWS Config AWS Config proporciona una vista detallada de la configuración

Cisco Wide Area Application Services Command Reference · (config) aaa accounting 212 (config) alarm overload-detect 216 (config) asset 218 (config) authentication 219 (config) auto-register

Aws視点から見たsoft layer + bluemixによるマルチクラウド 20160416

8KMiles aids a leading Internet FM ... - Amazon Web Services8kmprod.s3.amazonaws.com/wp-content/uploads/2016/... · AWS CloudTrail and AWS Config set up with Python AWS Lambda for

Manage AWS Services - SplunkConf AWS Services Cost, Security, ... AWS Add-on Get Data In Config CloudWatch Kinesis SQS CloudTrail Billing S3 Multi accounts Assume Role High throughput

AWS Black Belt Online Seminar AWS CloudTrail & AWS Config · 2016-09-01 · 2 AWS Black Belt Online Seminar とは • AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです

How to Configure TIBCO ActiveSpaces4.4 on K8 with EKS · 2020. 5. 1. · Note: After creating the AWS account, ensure the AWS credential and config files are created, and contain

AWS Black Belt Online Seminar AWS CloudTrail & AWS Config · 業界カットでの使い ... CloudFormation を使った通知 ... Sumologicの始め方 Part2: Sumologicの検索(CloudTrailのログ解析)

Automating Security in Cloud Workloads with DevSecOps...... Amazon Web Services, Inc ... aws ec2 --region $REGION create-tags ... Repository of sample Custom Rules for AWS Config Netflix/security_monkey-Monitors

Use AWS Config to Monitor License Compliance on Amazon ......Amazon Web Services – Use AWS Config to Monitor License Compliance on EC2 Dedicated Hosts April 2016 Page 5 of 16 the

デザインパターンから見た AWS と Azure

AWS Config Rules - Advanced AWS Meetup

AWS Config - 개발자 안내서...AWS Config 개발자 안내서 보안 분석 보안 분석 잠재적 보안 취약성을 분석하려면 사용자에게 부여된 AWS Identity and