エンタープライズAWSアカウント設計を読んだ
目次
本について
ここで紹介されていて気になっていた。PDF版を入手できた※ ので、読んで整理した内容や感想について整理しておく。
※
ここで無料公開してくれている。とても感謝です。
AWS アカウントの分離について
AWSアカウントの分離がもたらす4つの境界
- 責任境界
- 誰が責任を持つかの境界
- 権限境界
- IAM/Org の効力範囲
- コスト境界
- 請求/配賦/SPおよびRI
- セキュリティ境界
- 侵害/障害の影響範囲(brust radius)
この4つの境界を分離するものとしての "AWSアカウント" として設計することが、運用の前提となる、と言う考え方
この責任の考え方について、「集中型/放任型はどちらも破綻する」とあり、 CCoEあるいは中央で管理する部門が、方針と設計を担い、現場は実行と運用をする、この両極端の間に運用の答えがあると言うのもとても印象的だった。
なんとなく現場で仕事をしていて、わかるものがある。
OU (組織ユニット) の切り方3パターン
- 統制レベル別OU
- 組織別OU
- 環境別OU
統制レベル別OU のイメージしかなかったので、組織別OUや環境別OUはなるほどなと思った。でも組織別は、組織再編が多い組織だと毎回それに追従していくのが大変そうと言う印象。
環境別OUも、ハマるイメージがあまり湧かなかった。本の中では、運用と開発が分かれていると責任分解を引きやすい長所があると言う話だったが、あまりそういう組織に属した経験がないので、イメージが持てなかったのかも。
OU 設計に正解はないとしつつも、Root直下に統制レベルでOU切りつつ、さらにその中に環境別でネストさせると言うのはかなり納得感があった。
IAM 設計のアンチパターンは耳が痛かった
アンチパターンとして挙げられているのは以下
- IAMユーザの属人化
- 長期アクセスキーの放置
- ポリシーのコピペ運用
- 過剰権限ロール
- 未使用ロールの放置
などなど。思い当たる節がありすぎる。
昨今のサプライチェーン攻撃の流れを汲んでも、ここしっかりやっていきたい。
セキュリティサービスの全体像
この本で提示される4軸モデル
-
Detection
- CloudTrail / Config / GuardDuty / Security Hub etc...
-
Prevention
- SCP / RCP / KMS / Secrets etc...
-
Response
- EventBridge / Lambda / SSM etc...
-
Foundation
- Security Lake / CloudTrail Lake
-
Detection軸のサービスは、共通原則を共有している
- 委任管理者を任命し、組織横断の運用に乗せる
- 新規アカウントに対する自動的な有効化
- 一次トリアージの入り口をSecurity Hub へ
- 利用しないリージョンは SCP で禁止させる
-
Prevention 軸は「超えてはいけない境界」を引く
-
Responseを軸として分けるのは、検知と是正を分けたいため
- 是正するためには、誰がいつまでに直すかの組織内で定義されたSLAが必要
- 同じ部署で検知と是正をやると手薄になってしまうので分けたい狙い
- 自動で修正できるところはやる
- Config Rule 違反 -> EventBridge -> Lambda みたいな
-
Foundation 軸は、上記3つを支えるログ基盤
セキュリティ5アカウントモデル
- これも本書で提唱されている内容
- 以下の5つ
- 管理アカウント(組織運営のみ)
- organization の最初のアカウントで、請求集約と organization ポリシーの管理
- log-archive
- ログ保存
- security-tooling
- Detection 系のサービス集約
- audit
- 内部監査、外部監査を踏まえた証跡提供を行う
- network-security
- WAFなどのネットワーク層のPrevention を実施
- 管理アカウント(組織運営のみ)
ここら辺のセキュリティ周りのサービス群について、個々について調べたことはあっても全体を俯瞰してどのサービスがどのレイヤに属していて、運用のどこに対応しているか、という整理はちゃんとしたことがなかったので、非常にありがたい整理。
組織として行うコスト管理
- コスト配賦の設計として、タグを用いたコスト集計が紹介されていた
- 今の組織だと厳密にこれやれていないなあなど
- 最適化の取っ掛かりとしての Cost Optimization Hub もある
- このサービス知らなかった、便利そう
- コストアラートを誰が受け取るかの設計についても書いてあって、さすが、となった。アラートしてるだけでは結局アクションに繋げられないので、こういうアラート設計大事だよなあと思った
全体まとめ
総じてとてもいい本だったと思う。個々のサービス解説というよりかは、複数のサービスをどう組み合わせてどういう運用を目指していくのか、その思想をインプットできた感じがする。
結局は個別の組織に合わせた運用設計が必要だけど、確実に取っ掛かりにはなるし、アンチパターンや、どうやって段階的に進めていくかにも触れられていて、とても実践的な内容だと思った。
時々、見返していきたい内容、という感じ。