マルチAWSアカウント環境のセキュリティって無理ゲーじゃね？

対象読者 様々なプロダクトへ AWS アカウントや環境を提供する SRE / CCoE チームを想定しています。 マルチAWSアカウント環境 SRE / CCoE は各プロダクトが安全かつ便利に AWS を利用できるよう、AWS アカウントの設定・払い出しや周辺コンポーネントの提供（踏み台・ID管理・ログ収集 etc...）を行います。 個別プロダクトの基盤設計や構築は行いません。 私の担当案件では 100 以上の AWS アカウントを提供しています。これでも多いとは言えず、例えば NTT ドコモでは 2,000 以上の AWS アカウントを管理[1]しているそうです。 セキュリティ対応方針 セキュリティグループの全開放や S3 バケットのパブリック公開など、AWS リソースの不適切な設定についての対応を考えます。 ゲート型 IAM ポリシーやサービスコントロールポリシー (SCP) で

[versatile]

アカウント管理エンジニアリングっていう業種があっても全く違和感ない

[tmatsuu]

「NTT ドコモでは 2,000 以上の AWS アカウントを管理」恐ろしい

[quality1]

設定が多すぎて人間には無理だよ。ログが取れるとか言ってもログも多すぎて絞れないよ

[rgfx]

こういうの「なんかあった時の被害範囲(blast radius)を効率的に限定する」ためのものであって「100パー防ぐ」になるとしんどそう

[door-s-dev]

100% 守り切ることなんてそもそも無理だけど1人で100アカウントは単純に人が足りてなさそう

[quabbin]

SIEM + SOAR環境は無いのかしら？　事後監査とビヘイビア検知で、ある程度設定地獄は低減できると思うのだが…。

[ya--mada]

魚拓の削除もしている。 https://megalodon.jp/2024-0725-1342-56/https://webcache.googleusercontent.com:443/search?q=cache:https://zenn.dev:443/teradatky/articles/multi-aws-account-security-20240722

[taguch1]

見れない>< ちょっと興味があるので詳しい👦まとめてください。

[spark7]

https://archive.md/7qXmV

[mas-higa]

消えた? [あとで魚拓よむ]

[stone7jp]

403

[shoh8]

アカウント管理エンジニアは需要高そう

[nabinno]

デューケアを促していくことに意味があり、いきなり完璧を求める必要はないと思う。継続的改善がむずかしいならトレードオフの配置が間違えているだけ。

[kshtn]

今の現場、ゲート型なんだけど先週の依頼に音沙汰がありません。大事なのは重々承知してるけどなんとかならんもんかな

[progrhyme]

完璧は無理だけど、意味はある

[dazz_2001]

SharepointやBoxなどファイルのアクセス管理も同じだよね。結局、全員にフルアクセスの設定してしまう…

[forest1040]

「クラウドの良さがまったく享受できません」辛辣で草

[circled]

分かる。オンプレは運用大変と言われるけど、この手の煩雑さの方が大変。オンプレはハード障害とか色々あるだろ？と言われるけど大抵ホットスワップで終わりだし、昨今は最悪ノード1台死んだところとて無傷だからな

[syu-m-5151]

脳に収まらないマルチAWSアカウント環境のセキュリティ設定の書き方

[tinsep19]

2000か。。利用する10程度で嫌になるのに

[tkysktmt]

アカウント別にゲートの強さ変えていくとかできたらいいね

[emt0]

だから最小限でorganization使ってログもアラートするんじゃ。でも4桁行くともう嫌よね

[kotaponx]

機械学習で検知する方向なのかなあ

[northlight]

あれ、消えた？面白い話だと思ったけど何か不都合でもあったのかな。

[Fushihara]

人間にはもう無理だよね