2021年11月9日 AWS Startup Community 登壇資料

1. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Amazon Web Services Japan
Solutions Architect
Yukitaka Ohmura
Nov 9, 2021
Baseline Environment on AWS (BLEA)
テンプレートの使いかた（基本編）

2. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
大村 幸敬 (おおむら ゆきたか)
Manager, Solutions Architect
• これからクラウドを使いはじめる
エンタープライズ企業をサポート
• Specialty: Cloud Operations & DevOps
• Baseline Environment on AWS (BLEA) メンテナ
https://github.com/aws-samples/baseline-environment-on-aws
好きなAWSのサービス：
AWS CLI, AWS CDK, SSM Incident Manager
2

3. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Contents
1. AWS上のガバナンスの考え方
2. テンプレートによるガバナンス
3. BLEA 概説
4. 今後の展開
3
ご注意：
この資料はBLEAの利用開始にフォーカスしており、その仕組みについて詳しくは解説していません。
詳細は、ブログ（ https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/ ）
またはGitHubリポジトリ（ https://github.com/aws-samples/baseline-environment-on-aws ）でご確認ください。

4. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWS上のガバナンスの考え方

5. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
AWSはBuilderを支えるプラットフォーム
- Self Service Platform -
Biilderに自由を与え、適切な箇所で適切なツールを使えるようにする
それによってビジネス価値を早期に実現できる

6. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Builderに必要なものは？
Gatekeeper Guardrail
V.S.
ツールの利用を事前承認(Gatekeeper)すると管理業務がボトルネックになる。
各システムで自由に使わせる一方で、Builderを守るためガードレール(Guardrail)を用意する。
やってはいけない操作を未然に防ぐこと（予防的統制）、逸脱を検知すること（発見的統制）の2種類。
6

7. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
https://www.youtube.com/watch?v=3QJ-RA5R0Jk
https://www.slideshare.net/AmazonWebServicesJapan/20210526-aws-expert-online
詳しくはこちらをご覧ください
8

8. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
テンプレートによるガバナンス
9

9. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
テンプレートによるガバナンスの考え方
• 許可されたサービスを使うのでなく
• 集中管理で設定を強制するのでなく
• 未然に防ぐより
• 初期構築の自動化だけでなく
• すべてを自分で作るのでなく
アカウントの中で自由にサービスを使える環境を
テンプレートによる同一設定の展開と分散管理を
逸脱の検知と迅速な修復を
コードによる継続的なメンテナンスを
AWSサービス拡充の柔軟な取り込みを
左の考えを認めつつも右の考えを重視することで
クラウドの価値を最大限活かすガバナンスを実現することを目標とする
11

10. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Baseline Environment on AWS (BLEA)
What is
• AWSのセキュリティベストプラクティスを実装したサンプルテンプレート
特徴
• ベースラインのテンプレートを提供
⇨ 最低限実施すべきガバナンスをAWSのセキュリティサービスで実現
⇨ サンプル構成は SecurityHub CIS/AFSBP の High以上が出ないように構成済み
• メンテナンスしやすい Cloud Development Kit (CDK) コード
⇨ CDKによる記述量の削減とエディタによる強力な開発サポート
⇨ カスタマイズしやすさを考慮した平易かつ解説の多いコード
• シングルアカウント & マルチアカウント
⇨単体アカウントへの展開またはControlTower環境への展開に対応
12
https://github.com/aws-samples/baseline-environment-on-aws

11. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Baseline Environment on AWS の利用パターン
マルチアカウント版
Governance Base
for Standalone Guest
Guest System
シングルアカウント版
(Standalone)
Governance Base
for Control Tower Guest
Guest System
Guest
Account
Guest
Account
Baseline Environment on AWS で提供
Account
AWS ControlTower
Guest
Account
Guest
Account
Management Account
※“Guest system” はマルチアカウント版も
Standalone版も同じものが利用できます。

12. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Baseline Environment on AWS の利用方法
カスタマイズ
ゲストシステムの
サンプルテンプレート
ガバナンスベースの
テンプレート
BLEA
on GitHub
ガバナンスベース
ゲストシステム
ゲストシステム
CDK
CDK
CDK
CDK
CDK
システムA
システムB
ガバナンスベース
システムA
担当
システムB
担当
システム B 用
システム A 用
ガバナンス
担当
カスタマイズ
カスタマイズ
CDK
CDK
※BLEAテンプレートはMIT-0ライセンスで公開した
AWSのベストプラクティスのサンプル実装であり、
構築された環境の品質をAWSが保証するものではありません。
実際の構築・運用にあたって、
お客様でテンプレートのカスタマイズやテストの実施が必要です。
CDK
CDK
CDK
Fork
自社用に
カスタマイズした
ベースライン

13. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
BLEA 概説（シングルアカウント版）

14. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ガバナンスの全体像 - BLEA Standalone 版
管理タスク Management Account Audit Account LogArchive Account Shared Svc Account Guest Account
1 アカウント払い出し Manual-Organizations
2 アクセス制御 (Organizations Roles)
3 予防的統制 (MNL-IAM)
4 発見的統制(Config) TMPL-ConfigRules
5 ロギング TMPL-CloudTrail/Config
6 通知 (CT) (None)
7 発見的統制 (挙動) TMPL-SecurityHub
TMPL-GuardDuty
8 セキュリティ分析 IAM-AccessAnalyzer
9 共有ネットワーク (None)
10 サーバ管理 MNL-SSM QuickSetup
11 通知 (Security)+Chat TMPL-Security Alarm
12 アクセス制御 (for Guest) TMPL-IAM
13 発見的統制 (for Guest) TMPL-ConfigRules
14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc.
15 ネットワーク (for Guest) TMPL-VPC
16 鍵管理 (for Guest) TMPL-KMS
17 通知 (Monitoring)+Chat TMPL-Monitor Alarm
18 リソース + バックアップ TMPL-EC2/Serverless etc.
19 デプロイメント TMPL-CI/CD
- CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual
- *: Not yet
(2021/10/26)
Governance
Base
for
Standalone
Guest
Guest
System
17
管理タスクの主体 管理される側

15. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Member Account
Architecture - BLEA for Single-Account (Standalone)
Management Account Guest Account
Organizations
IAM
AccessAnalyzer
ConfigRules (Guardrail)
IAMRole (OrganizationAccountAccessRole)
CDK template
Operation Guide
Guest System
GuardDuty
SecurityHub
Systems Manager
QuickSetup
LogBucket
CloudTrail
IAMRole
(for Guest)
ConfigRules
+Automation
EventBridge
+Chatbot
18

16. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
BLEA ゲストシステム例： Webアプリケーション (ECS+SSL)
WebContents
2021/10/27
CloudFront CloudWatch
Synthetics
CloudWatch
Alarms
CloudWatch
Dashboard
SNS &
Chatbot
CloudWatch
Logs
VPC Flowlogs
ALB AccessLogs etc.
Secrets
Manager
ECR
ECS Fargate Aurora
PostgreSQL
ALB
WAF
ACM
Route53
HostedZone
(既存を参照)
VPC
Endpoints

17. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Baseline Environment on AWS - Stack dependency
Guardduty
SecurityHub
Trail
Config
ECSApp
DBAuroraPg
Guest System (sample)
Application Stacks
2021/10/26
• Components without dependency can deploy individually
Vpc
Iam
ConfigRule
20
Governance Base for Guest
FrontendSimpleStack
Monitoring Stacks
DashboardStack CanaryStack
KeyApp(KMS)
WAF
ECR
Networking
Stack
MonitorAlarm
Chatbot
Refer EventBridge events
Essential Services
Security Services Stack
SecurityAlarm
Refer EventBridge events
Chatbot
Security Alart Stacks

18. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
通知（Security Alarm）の例
BLEA がデフォルトで通知する内容
注意が必要な操作
• セキュリティグループの変更
• NeworkACLの変更
• CloudTrailの変更
• IAM Policyの変更
• API認証エラー
• アクセスキーの作成
• Rootユーザーによる操作
セキュリティサービスの通知
• ConfigRules – NON_COMPLIANT
• AWS Health – すべての通知
• SecurityHub
• 以下のCritical/Highを通知
• CIS Benchmark
• AWS Security Foundational Best
Practices
• GuardDuty
• AWSが推奨するSeverityを通知
21

19. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
通知（Monitor Alarm）の例
サンプルアプリケーションの通知実装（例）
• ECS/Fargate Service 平均CPU使用率
• ECS/Fargate Service タスク数
• ALB レスポンスタイム
• ALB HTTP 4XXエラー数
• ALB HTTP 5XXエラー数
• ALB HealthyHost数
• Aurora CPU使用率
• RDS イベント
22

20. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
BLEA 概説（マルチアカウント版）

21. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ガバナンスの全体像 - BLEAマルチアカウント版
管理タスク Management Account Audit Account LogArchive Account Shared Svc Account* Guest Account
1 アカウント払い出し CT-Org (Created by CT) (Created by CT) (Created by CT) (Created by CT)
2 アクセス制御 CT-SSO/Admin + AD CT-Admin CT-Admin CT-Admin CT-Admin
3 予防的統制 CT-SCP CT-SCP CT-SCP CT-SCP CT-SCP
4 発見的統制(Config) CT-ConfigRules作成 CT-ConfigRules CT-ConfigRules CT-ConfigRules CT-ConfigRules
5 ロギング （CT-Log Bucket） CT-CloudTrail/Config CT-Log Bucket CT-CloudTrail/Config CT-CloudTrail/Config
6 通知 (CT) （CT-Audit Topic） CT-Audit Topic (To Audit Topic) (To Audit Topic） (To Audit Topic)
7 発見的統制 (挙動) MNL-SecurityHub
MNL-GuardDuty
Member-SecurityHub
Member-GuardDuty
8 セキュリティ分析 MNL-IAM-AccessAnalyzer Member-IAMAccessAnalyzer
9 共有ネットワーク TMPL-VPC/DNS/VPCEP * (Use Shared Svc Account)
10 サーバ管理 MNL-SSM QuickSetup
11 通知 (Security)+Chat TMPL-Security Alarm
12 アクセス制御 (for Guest) TMPL-IAM
13 発見的統制 (for Guest) TMPL-ConfigRules
14 ロギング (for Guest) TMPL-FlowLogs/ALB Logs etc.
15 ネットワーク (for Guest) TMPL-VPC
16 鍵管理 (for Guest) TMPL-KMS
17 通知 (Monitoring)+Chat TMPL-Monitor Alarm
18 リソース + バックアップ TMPL-EC2/Serverless etc.
19 デプロイメント TMPL-CI/CD
- CT- : Managed by ControlTower / TMPL- : Provide Templates (CDK) / MNL-: Manual
- *: Not yet
(2021/10/26)
AWS
ControlTower
Governance
Base
for
CT
Guest
Guest
System
管理タスクの主体 管理される側

22. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Member Account
Member Account
Guest Account
BLEA マルチアカウント版 – 利用サービス
Management Account
Audit Account
Customization for
ControlTower
(CFCT)
AWS Contrl Tower
GuardDuty
SecurityHub
Config
SCP
Organizations
IAM
AccessAnalyzer
Config
IAMRole (CT)
IAMRole (for Guest)
Shared Service Account (Not included now)
R53 zone
TransitGW
SharedNW
Guest System
Logging Account
Audit Log
Bucket
Config
Aggregator
SNS
AggregateSecurity
Notifications
GuardDuty
SecurityHub
Systems Manager
QuickSetup
Managed by
Control Tower
SSO
CloudTrail
CDK template
Operation Guide
ConfigRules
+Automation
EventBridge
+Chatbot

23. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
今後の展開

24. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
BLEA 今後の展開
• BLEAは AWS Japan の SAが開発・メンテナンスしています
• お客様からのフィードバックを元にユースケースの拡充やセキュリ
ティサービスへの対応強化を行う予定です
• BLEAやCDKを利用するための解説資料やHowTo、ワークショップ
コンテンツなどを提供する予定です
• GitHub に Issuesを投稿する、あるいは お近くの AWS の SA へ
ご連絡ください

25. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
参考URL
• Baseline Environment on AWS
• https://github.com/aws-samples/baseline-environment-on-aws
• AWS環境にセキュアなベースラインを提供するテンプレート
「Baseline Environment on AWS」のご紹介
• https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/
• CDK Workshop
• https://cdkworkshop.com/
46

26. © 2021, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
Thank you!