技術書典8
佐々木拓郎のオンライン本屋佐々木拓郎のオンライン本屋

AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー

技術書典8で頒布予定だったAWS本です。IAM本の続編として、AWSのアカウントセキュリティをメインのテーマとしています。 ■ 本書の目的 「AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー」を手にとっていただき、ありがとうございます。本書は「AWSの薄い本 IAMのマニアックな話」の続編です。前著はIAMの機能のみに絞って解説しましたが、本書はその周辺のセキュリティサービスがターゲットとなります。前著の続きとして読むこともできますし、単体でも成り立つように構成しています。 セキュリティというと難しそうで敬遠してしまいがちです。しかし、重要性は誰しも認識していると思います。特にAWSをはじめクラウドの場合、設定ミスにより不正利用されアカウントを乗っ取られることにより、突然高額の請求されるということが現実に起こりえます。注意しないといけないという点では、個人ユースでも企業ユースでも同じです。そして対策すべきポイントも同じです。 AWSのアカウントセキュリティとしては、IAMの設計・運用をしっかりしていれば6〜7割くらいは大丈夫といえます。しかし、最初はしっかりと設計・運用していても、気が付かないうちに穴があいていることもあります。また、複数人で使うようになると、誰か一人が不用意な使い方をするかもしれません。セキュリティは1箇所でも穴があると、そこから侵入される可能性があります。 AWSアカウントのセキュリティを守るのは、1対1の対決ではなく世界中の悪意ある攻撃者との対決です。24時間365日、人力だけで守り続けるのは難しいでしょう。そんな時に活躍するのがAWSのセキュリティサービスです。最初に設定さえしておけば、日々黙々とAWSアカウントの状況を監視し、問題があれば通知します。また、あらかじめ設定しておけば、自動で修復するといったことも可能です。本書では、そういったサービス群の位置づけと使い方の解説をします。 想定の読者のレベルとしては、AWS認定ソリューションアーキテクトのアソシエイトと置いています。しかし、まだそのレベルに達していない人が読んでも大丈夫なような記述を心掛けています。また、既にプロフェッショナルレベルの方や、AWS認定セキュリティ専門知識の方にも役立てるような内容を目指しています。それでは一緒に、AWSのアカウントセキュリティの道を歩みだしましょう。 ■ 対象読者 - AWSのアカウント乗っ取りなど漠然とした不安がある - 個人ユースで使っているが、AWSをもう少し安全に使いたい - 企業ユースで使っているが、社内にAWSアカウントが増殖して何か怖い - にわかだけど、セキュリティ考えてやってるよとマウントとりたい人 ■ 本書で得られること - AWSのセキュリティサービスの全体像が何となく解る - AWSのアカウントセキュリティを守る上で必要な事の考え方 - Organizations × CloudFormation StackSetsファンの称号 ■ 本書で得られないこと - OSやミドルウェア周りのセキュリティ設定の仕方 - これだけやっていれば大丈夫というノウハウ - IAMマニアの称号

「ギフトとして贈る」とは

AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー
技術書典8で頒布予定だったAWS本です。IAM本の続編として、AWSのアカウントセキュリティをメインのテーマとしています。 ■ 本書の目的 「AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー」を手にとっていただき、ありがとうございます。本書は「AWSの薄い本 IAMのマニアックな話」の続編です。前著はIAMの機能のみに絞って解説しましたが、本書はその周辺のセキュリティサービスがターゲットとなります。前著の続きとして読むこともできますし、単体でも成り立つように構成しています。 セキュリティというと難しそうで敬遠してしまいがちです。しかし、重要性は誰しも認識していると思います。特にAWSをはじめクラウドの場合、設定ミスにより不正利用されアカウントを乗っ取られることにより、突然高額の請求されるということが現実に起こりえます。注意しないといけないという点では、個人ユースでも企業ユースでも同じです。そして対策すべきポイントも同じです。 AWSのアカウントセキュリティとしては、IAMの設計・運用をしっかりしていれば6〜7割くらいは大丈夫といえます。しかし、最初はしっかりと設計・運用していても、気が付かないうちに穴があいていることもあります。また、複数人で使うようになると、誰か一人が不用意な使い方をするかもしれません。セキュリティは1箇所でも穴があると、そこから侵入される可能性があります。 AWSアカウントのセキュリティを守るのは、1対1の対決ではなく世界中の悪意ある攻撃者との対決です。24時間365日、人力だけで守り続けるのは難しいでしょう。そんな時に活躍するのがAWSのセキュリティサービスです。最初に設定さえしておけば、日々黙々とAWSアカウントの状況を監視し、問題があれば通知します。また、あらかじめ設定しておけば、自動で修復するといったことも可能です。本書では、そういったサービス群の位置づけと使い方の解説をします。 想定の読者のレベルとしては、AWS認定ソリューションアーキテクトのアソシエイトと置いています。しかし、まだそのレベルに達していない人が読んでも大丈夫なような記述を心掛けています。また、既にプロフェッショナルレベルの方や、AWS認定セキュリティ専門知識の方にも役立てるような内容を目指しています。それでは一緒に、AWSのアカウントセキュリティの道を歩みだしましょう。 ■ 対象読者 - AWSのアカウント乗っ取りなど漠然とした不安がある - 個人ユースで使っているが、AWSをもう少し安全に使いたい - 企業ユースで使っているが、社内にAWSアカウントが増殖して何か怖い - にわかだけど、セキュリティ考えてやってるよとマウントとりたい人 ■ 本書で得られること - AWSのセキュリティサービスの全体像が何となく解る - AWSのアカウントセキュリティを守る上で必要な事の考え方 - Organizations × CloudFormation StackSetsファンの称号 ■ 本書で得られないこと - OSやミドルウェア周りのセキュリティ設定の仕方 - これだけやっていれば大丈夫というノウハウ - IAMマニアの称号

目次

はじめに  本書の目的  対象読者  本書で得られること  本書で得られないこと  お問い合わせ先  免責事項 第1章 AWSアカウントセキュリティ 1.1 AWSのセキュリティとサービスの概念図  AWS上に構築するシステムのセキュリティ  AWSアカウント自体の管理(IAMの設計・運用)  セキュリティを維持管理するための施策 1.2 責任共有モデル 1.3 AWS上に構築するシステムのセキュリティ 1.4 AWSアカウントの管理 1.5 セキュリティを維持管理するための施策 1.6 マルチアカウント管理 第2章 ガードレールという設計と思想  2.1 Control Towerの全体像  2.2 ガードレールの設計と思想  2.3 予防と検知の実体 第3章 AWSのセキュリティサービス  3.1 NISTサイバーセキュリティフレームワーク   CSF コア  3.2 AWSのセキュリティサービスの全体像と対象領域  3.3 CloudTrail   CloudTrailの注意点   CloudTrailのログ集約  3.4 Config   Config   Config Rules  3.5 GuardDuty   GuardDutyの分析対象   脅威の重要度と通知・対処  3.6 Security Hub   Security Hubの集約対象  3.7 AWS Organizations   AWS Organizationsの構成要素   組織単位(OU)と階層構造   サービスコントロールポリシー(SCP)   SCPとIAMのアクセス許可の境界  3.8 Trusted Advisor 第4章 サンドボックスアカウントの作成のチュートリアル  4.1 サンドボックス環境の要件  4.2 サンドボックス環境の全体像  4.3 設定の流れ  4.4 Organizationsの設定   Organizationの作成   サンドボックスアカウントの作成   組織単位(OU)の作成   OU配下にアカウントを移動  4.5 マスターアカウントでの設定   設定用のIAMユーザー作成   IAMのアクセスアナライザーの設定   組織に対するCloudTrailの設定   Configの有効化   Configのアグリゲータの設定   Security Hubの有効化  4.6 サンドボックスアカウントの設定   Organizationsで作成したAWSアカウントへのログイン   設定用のIAMユーザー作成   監視・監査ログの収集と集約  4.7 問題の検知と通知   セキュリティグループの全開放を検知するConfig Rule  4.8 問題検知時の復旧   SSMで利用するIAMロールの作成   自動修復の設定   修復の確認  4.9 アカウントのサンドボックス化   サービスコントロールポリシー(SCP)の有効化と設定   禁止行為を抑制するポリシーを作成する   サンドボックスアカウントにポリシーを適用する 第5章 CloudFormationを利用した構成管理  5.1 CloudFormationで管理する理由  5.2 CloudFormationで管理する範囲  5.3 複数アカウントに適用するCFn StackSets   CFn StackSetsとOrganizationsの連携  5.4 StackSetsのチュートリアル   StackSetsの作成   テンプレートの選択   StackSetsの権限設定   デプロイターゲットの設定   動作確認  5.5 テンプレートの設計   サービスのセットアップとルール設定の分離   アカウント共通設定と個別設定の境界   CloudFormationの具体的な構造  5.6 CloudFormationのまとめ 第6章 アカウントセキュリティの設計の考え方の原則  6.1 CSFコアとAWSの設計原則にみるセキュリティ  6.2 AWSのセキュリティ ベストプラクティス   アイデンティティ管理とアクセス管理   発見的統制   インフラストラクチャ保護   データ保護   インシデント対応  6.3 セキュリティ設計のまとめ 第7章 障害の検知と復旧の考え方  7.1 AWSの運用の原則を知る  7.2 AWSのサービスを使った検知と復旧  7.3 統合サービス Security Hubの位置づけ  7.4 Security Hubと個別検知の使い分け  7.5 監視と検知  7.6 通知  7.7 対応と復旧   AWSの自動復旧のパターン  7.8 Security Hubの活用 第8章 まとめとマルチアカウント管理への道  8.1 セキュリティ設計と運用  8.2 Organizationsのサービスコントロールポリシー  8.3 Security Hubの導入  8.4 マルチアカウント管理への道  8.5 まとめ あとがき  著者紹介  既刊一覧