JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例
?
1 like?505 views
金融ビッグデータを守るリソースポリシー実例 & AWS re:Inforce 2019 参加報告
![Japan Digital Design, Inc.
S3バケットポリシーのHardening
バケットへのアクセスを既知の範囲に制約
? 特定のVPCEからのアクセス以
外を拒否
{
"Principal": "*",
"Effect" "Deny"
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:PutObject",
"s3:DeleteObject",
"s3:DeleteObjectVersion" ],
"Resource": "arn:aws:s3:::source-bucket/*",
"Condition" {
"StringNotEquals": {
"aws:sourceVpce": [
"vpce-0123456789abcdef",
"vpce-abcdef0123456789" ]
}
}](https://image.slidesharecdn.com/jaws20190712-190717062156/85/JAWS-UG-2019-07-12-31-320.jpg)
![Japan Digital Design, Inc.
Confidential
VPC Endpoint Policy
VPC内からアクセス可能なS3バケットはVPC S3 Endpointにより制限
? Endpoint Policyにより分析クラスタがアクセスできるS3バケットを制御
? コントロール外のS3バケットへの書き込みを制限
Databricks Instances
Spark Clusters
Data Exchange ZonesData Exchange Zones
Master Source
{ "Statement": [ {
"Principal": "*",
"Action": "s3:GetObject",
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::source-bucket",
"arn:aws:s3:::source-bucket/*“ ] } ] }](https://image.slidesharecdn.com/jaws20190712-190717062156/85/JAWS-UG-2019-07-12-35-320.jpg)
![Japan Digital Design, Inc.
S3バケットポリシーのHardening (5)
バケットオペレーションをS3管理者
のみに限定
? DeleteBucketPolicyを忘れず
に
{
"Principal": "arn:aws:iam::012345678901:role/S3-
PolicyAdministrator",
"Effect" "Allow"
"Action": [
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:PutReplicationConfiguration" ],
"Resource": "arn:aws:s3:::source-bucket"
}
}](https://image.slidesharecdn.com/jaws20190712-190717062156/85/JAWS-UG-2019-07-12-37-320.jpg)
![Japan Digital Design, Inc.
S3バケットポリシーのHardening (6)
バケットオペレーションをS3管理者
のみに限定
? DeleteBucketPolicyを忘れず
に
? 正規ユーザIDで、名前のすり
替えを防止
{
"Principal": "*",
"Effect" "Deny"
"Action": [
"s3:PutBucketPolicy",
"s3:DeleteBucketPolicy",
"s3:PutBucketPublicAccessBlock",
"s3:PutEncryptionConfiguration",
"s3:PutReplicationConfiguration" ],
"Resource": "arn:aws:s3:::source-bucket",
"Condition" {
"StringNotLike": {
"aws:userid" : "AROA4BUVFU5K
AJ45IWBTW:*"
}
}](https://image.slidesharecdn.com/jaws20190712-190717062156/85/JAWS-UG-2019-07-12-38-320.jpg)
![Japan Digital Design, Inc.
KMSキーポリシーのHardening (1)
キーポリシーの変更をKMS管理者の
みに限定
? 加えて正規ユーザIDでの制限
も有効な手
{
"Principal": "arn:aws:iam::012345678901:role/KMS-
KeyAdministrator",
"Effect" "Allow"
"Action": [
"kms:Create*",
"kms:Enable*",
"kms:Put*",
"kms:Update*",
"kms:Revoke*",
"kms:Disable*",
"kms:Delete*",
"kms:List*",
"kms:Get*",
"s3:PutReplicationConfiguration" ],
"Resource": "*"
}
}](https://image.slidesharecdn.com/jaws20190712-190717062156/85/JAWS-UG-2019-07-12-41-320.jpg)
![Japan Digital Design, Inc.
KMSキーポリシーのHardening (2)
キーポリシーの変更をKMS管理者の
みに限定
? 正規ユーザIDでの制限も有効
な手
? ロールにキー利用のみ許可
? インスタンスプロファイル等
{
"Principal": "arn:aws:iam::012345678901:role/Role-
EC2-AnalysisInstance",
"Effect" "Allow"
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"],
"Resource": "*"
}
}](https://image.slidesharecdn.com/jaws20190712-190717062156/85/JAWS-UG-2019-07-12-42-320.jpg)
![Japan Digital Design, Inc.
KMSキーポリシーのHardening (3)
キーポリシーの変更をKMS管理者の
みに限定
? 正規ユーザIDでの制限も有効
な手
? ロールにキー利用のみ許可
? インスタンスプロファイル等
? 必要に応じてGrantも許可
{
"Principal": "arn:aws:iam::012345678901:role/Role-
EC2-AnalysisInstance",
"Effect" "Allow"
"Action": [
"kms:CreateGrant",
"kms:ListGrants",
"kms:RevokeGrant"],
"Resource": "*"
}
}](https://image.slidesharecdn.com/jaws20190712-190717062156/85/JAWS-UG-2019-07-12-43-320.jpg)
JAWS-UG広島 - 2019-07-12 - 金融ビッグデータを守るリソースポリシー実例
- 1. Japan Digital Design, Inc. 金融ビッグデータを守る リソースポリシー実例 & AWS re:Inforce 2019 参加報告 小野 雄太郎 VP of Infrastructure Technology and Design Division Japan Digital Design, Inc. J A W S - U G 広 島 2 0 1 9 - 0 7
- 2. Japan Digital Design, Inc. Confidential Agenda Japan Digital Design ご紹介 M-AIS分析プラットフォーム 構築コンセプト?実装詳細 re:Inforce 2019 参加報告
- 3. Japan Digital Design, Inc. 2017年10月02日 設立 三菱UFJフィナンシャル?グループ(持ち株会社)の直接子会社のひとつ 「銀行業高度化等子会社」 銀行および銀行持ち株会社は、他業禁止として子会社にできる業種が規制されていましたが、 改正銀行法(2017/04)によっていわゆるFinTech子会社が認めれられることとなりました
- 4. Japan Digital Design, Inc. Confidential 取り組み クラウドネイティブに内製化できる組織 柔軟な働き方を取り入れ、外部のエンジニアを直接雇用 まずは雇用体系をあたらしく 副業ができる、副業でできる、勤務体系 週5日勤務に限らず、週4日~週1日まで、多様な働き方を可能に
- 5. Japan Digital Design, Inc. Confidential 小野 雄太郎 VP of Infrastructure, Technology and Design Division. 週4日勤務 Japan Digital Designにてインフラストラク チャの設計運用等をメインに、パブリック クラウドのみで構成されたプラットフォー ムを実装中 これまでWindows Server, Visual Studio, IPv6などを中心に、コミュニティ運営など もしていましたが、ここ最近はAWSメイン 個人事業主で普通のIT屋さんもしています Twitter: @chamreo LinkedIn: linkedin.com/in/yutaro
- 6. Japan Digital Design, Inc. Confidential だれ? もともとMicrosoft系コミュニティよくやってました Visual Studio User Groupとか、PASSJとか… .NET勉強会ヒーロー島も… このあいだのAWS Summit Japan 2019でセッションしました
- 7. Japan Digital Design, Inc. “金融の「新しいあたりまえ」を創造し、 人々の成長に貢献する” 上原 高志 CEO, Japan Digital Design To create new financial standard to contribute to customer's growth
- 8. Japan Digital Design, Inc. Confidential 金融ビッグデータの活用? グループ各社が持つデータを、各社がそれぞれ集約し、それぞれが分析を行っていて も、資源投資が分散化してしまう データがオンプレミスデータセンターに囲い込まれ、新たな取り組みにデータを素早 く利用できなくなってしまっている 保守費用が高額でデータを長期保管できない それ、Japan Digital Designで解決しましょう
- 9. Japan Digital Design, Inc. M-AIS :: MUFG AI Studio :: 2018年4月 ? データ分析人材を集約 ? データサイエンティストの雇用 ? グループ各社からの出向 AWS上に新たなデータ分析プラット フォームを構築し、グループのビッ グデータと、最新のツールが利用可 能な環境を分析者に提供 また、AI研究機関として自立すべく 論文執筆等も業務の一つに位置づけ
- 10. Japan Digital Design, Inc. Confidential Japan Digital Design グループ企業 M-AIS分析プラットフォーム事業概要 グループ各社 業務部門
- 11. Japan Digital Design, Inc. Confidential BizLENDING 中小企業向けレンディングサービスをリリースしました ? 口座取引履歴から算出したモデルにより融資判断を実施 ? 決算書など不要でオンラインで申し込み可能 M-AISで分析した与信モデルを利用 ? モデルをもとに、銀行が貸付
- 12. Japan Digital Design, Inc.
- 13. Japan Digital Design, Inc. Confidential M-AIS分析プラットフォーム 分析対象 三菱UFJ銀行 3,400万 顧客口座 過去 10年分 の取引明細?顧客情報* これらを金融機関レベルの セキュリティ をもってAWS上に展開 データ分析者のアイデアを阻害しない 自由な分析環境 を提供
- 14. Japan Digital Design, Inc. Confidential 分析プラットフォームへの要求 分析者の創造性を妨げない自由な環境であること 多様なフォーマットのデータを一元的に扱えること 大量のデータをすばやく処理する能力を持つこと 少人数の組織で効率的な運用管理が行えること 各種法規制?業界規制等をクリアしたセキュアな環境を用意する こと
- 15. Japan Digital Design, Inc. Japan Digital Design M-AIS Infrastructure Data Analysis Area Data Exchange Zones ETL Zones M-AIS Platform ETL Zones ETL Server Source Bucket Data Exchange Zones Master Source Data Source Area Databricks Zone STS Gateway subnet Databricks Instances Spark Clusters AWS-STS Firewall EC2 Analysis Zone EC2 Analysis Servers Databricks Enterprise M-AIS Infra Services Zone Databricks SaaS Infrastructure Servers RODC ADFSWSUS M-AIS Analysis Room Corporate Infrastructure M-AIS Support Zone Corporate Infra Zone FILE FILE DC RDS RADIUS Data Scientists Firewall On-Premise Office Analysis UI
- 16. Japan Digital Design, Inc.
- 17. Japan Digital Design, Inc. Databricks データ分析環境としてDatabricksを採用 Sparkクラスタを利用するSaaS Web UIノートブックによるコード開発と ビジュアライゼーションの統合 データサイエンティストを環境整備と分析 用ノードの管理から解放 Sparkクラスタのオートスケールとス ポットインスタンスの自動展開
- 18. Japan Digital Design, Inc. ノートブック Web UIでコード開発、実行、ビジュアライゼーション
- 19. Japan Digital Design, Inc. Cluster Management Sparkクラスタを動的に管理 分析者が必要なクラスタを自由に展開 ? オートスケール?オート シャットダウン ? Spotインスタンスの活用 ? ランタイムライブラリ管理の 簡素化
- 20. Japan Digital Design, Inc. All-In-One Batch Jobs Library Manager Metrics ... and Audit logs
- 21. Japan Digital Design, Inc.
- 22. Japan Digital Design, Inc. Japan Digital Design M-AIS Infrastructure Data Analysis Area Data Exchange Zones ETL Zones M-AIS Platform ETL Zones ETL Server Source Bucket Data Exchange Zones Master Source Data Source Area Databricks Zone STS Gateway subnet Databricks Instances Spark Clusters AWS-STS Firewall EC2 Analysis Zone EC2 Analysis Servers Databricks Enterprise M-AIS Infra Services Zone Databricks SaaS Infrastructure Servers RODC ADFSWSUS M-AIS Analysis Room Corporate Infrastructure M-AIS Support Zone Corporate Infra Zone FILE FILE DC RDS RADIUS Data Scientists Firewall On-Premise Office Analysis UI
- 23. Japan Digital Design, Inc. Japan Digital Design M-AIS Infrastructure Data Analysis Area Data Exchange Zones ETL Zones M-AIS Platform ETL Zones ETL Server Source Bucket Data Exchange Zones Master Source Data Source Area Databricks Zone STS Gateway subnet Databricks Instances Spark Clusters AWS-STS Firewall EC2 Analysis Zone EC2 Analysis Servers Databricks Enterprise M-AIS Infra Services Zone Databricks SaaS Infrastructure Servers RODC ADFSWSUS M-AIS Analysis Room Corporate Infrastructure M-AIS Support Zone Corporate Infra Zone FILE FILE DC RDS RADIUS Data Scientists Firewall On-Premise Office Analysis UI
- 24. Japan Digital Design, Inc. ETL & Data Store (データソースエリア) ? オンプレミスのデータをクラウド上に取り込む ? データソースの要件に応じてETL用AWSアカウントを払い出し ? Ownerの違うデータソースを分離した環境で受け入れ ? マスターソースへ集約 ? ETLで受け入れたデータを分析用S3に集積 ? フォーマットの統一などにより 効率的なデータアクセスを分析者に提供 ? DirectConnectで接続 ? 低レイテンシーでのVPC接続を実現 ? 注: セキュリティのためには IPSec VPNを優先的に検討 ? 安心な“気持ち”で選んではいけない
- 25. Japan Digital Design, Inc. データ分析クラスタ (データ分析エリア) ? 分析者端末から直接データソースにはアクセスさせない ? AWSアカウントごとの責務をはっきりさせ、必要な機能の管理権限を明確化 ? システム管理者が基盤に対して実施する作業領域をセパレート ? データソースにアクセスする プリンシパルを特定 ? EC2のインスタンスプロファイルで S3アクセス権限を付与 ? VPCエンドポイントの制御と合わせ データソースにシステム管理者が 直接アクセスできない権限分離を実現 ? AWS Management Consoleからは データソースにアクセスできない
- 26. Japan Digital Design, Inc. インフラサポート (データ分析エリア) ? 分析者の作業を支援するインフラサービスを提供 ? Remote Desktop Servicesにより分析環境内の端末からInternet閲覧可能 ? データ漏洩のリスク分析をもとに利便性と制約をMIX ? 分析環境内へデータは自由に持ち入れ可能 (1方向レプリケーションによるファイル共有) ? データの持ち出しに関しては厳しい制約とチェック (業務に紐づくデータのみ許可)
- 27. Japan Digital Design, Inc. Japan Digital Design M-AIS Infrastructure Data Analysis Area Data Exchange Zones ETL Zones M-AIS Platform ETL Zones ETL Server Source Bucket Data Exchange Zones Master Source Data Source Area Databricks Zone STS Gateway subnet Databricks Instances Spark Clusters AWS-STS Firewall EC2 Analysis Zone EC2 Analysis Servers Databricks Enterprise M-AIS Infra Services Zone Databricks SaaS Infrastructure Servers RODC ADFSWSUS M-AIS Analysis Room Corporate Infrastructure M-AIS Support Zone Corporate Infra Zone FILE FILE DC RDS RADIUS Data Scientists Firewall On-Premise Office Analysis UI
- 28. Japan Digital Design, Inc.
- 29. Japan Digital Design, Inc. Confidential データストア : S3 テーブル形式に限定されないスケーラブルなストレージとして採用 ? 主要データのフォーマットはApache Parquetを採用 (CSV/TSVも保管) ? カラムナ形式のデータフォーマット RDS/Aurora, Redshiftは本時点で採用せず ? パフォーマンス検証を実施し、今回のワークロードには不適と判断 S3って安全なの? ? バケットポリシーとKMSキーポリシーの合わせ技によるアクセス制御
- 30. Japan Digital Design, Inc. Confidential オブジェクトアクセスの制限
- 31. Japan Digital Design, Inc. S3バケットポリシーのHardening バケットへのアクセスを既知の範囲に制約 ? 特定のVPCEからのアクセス以 外を拒否 { "Principal": "*", "Effect" "Deny" "Action": [ "s3:GetObject", "s3:GetObjectVersion", "s3:PutObject", "s3:DeleteObject", "s3:DeleteObjectVersion" ], "Resource": "arn:aws:s3:::source-bucket/*", "Condition" { "StringNotEquals": { "aws:sourceVpce": [ "vpce-0123456789abcdef", "vpce-abcdef0123456789" ] } }
- 32. Japan Digital Design, Inc. S3バケットポリシーのHardening (2) バケットへのアクセスを既知の範囲に制約 ? 特定のVPCEからのアクセス以 外を拒否 ? 特定のKMSキーによる暗号化 以外を拒否 { "Principal": "*", "Effect" "Deny" "Action": "s3:PutObject", "Resource": "arn:aws:s3:::source-bucket/*", "Condition" { "StringNotEquals": { "s3:x-amz-server-side-encryption-aws-kms-key-id“ : "arn:aws:kms:ap-northeast-1:012345678801:key/ 1234abcd-12ab-34cd-56ef-1234567890ab" } }
- 33. Japan Digital Design, Inc. S3バケットポリシーのHardening (3) バケットへのアクセスを既知の範囲に制約 ? 特定のVPCEからのアクセス以 外を拒否 ? 特定のKMSキーによる暗号化 以外を拒否 ? TLS接続がない場合は拒否 { "Principal": "*", "Effect" "Deny" "Action": [ "s3:GetObject", "s3:GetObjectVersion" "s3:PutObject" "Resource": "arn:aws:s3:::source-bucket/*", "Condition" { "Bool": { "aws:secureTransport" : "false" } }
- 34. Japan Digital Design, Inc. S3バケットポリシーのHardening (4) バケットへのアクセスを既知の範囲に制約 ? 特定のVPCEからのアクセス以 外を拒否 ? 特定のKMSキーによる暗号化 以外を拒否 ? TLS接続がない場合は拒否 S3アクセス可能なロールに許可 ? 明示的な Condition で漏れを 防ぐ ? 特定のVPC Endpoint ? 特定のKMSキー ? TLS接続あり { "Principal": "arn:aws:iam::012345678901:role/S3- Access", "Effect" "Allow" "Action": [ "s3:GetObject", "s3:PutObject" "Resource": "arn:aws:s3:::source-bucket/*", "Condition" { "StringEquals": { "aws:sourceVpce" : "vpce-0123456789abcdef" } { "Bool": { "aws:secureTransport" : "true" } }
- 35. Japan Digital Design, Inc. Confidential VPC Endpoint Policy VPC内からアクセス可能なS3バケットはVPC S3 Endpointにより制限 ? Endpoint Policyにより分析クラスタがアクセスできるS3バケットを制御 ? コントロール外のS3バケットへの書き込みを制限 Databricks Instances Spark Clusters Data Exchange ZonesData Exchange Zones Master Source { "Statement": [ { "Principal": "*", "Action": "s3:GetObject", "Effect": "Allow", "Resource": [ "arn:aws:s3:::source-bucket", "arn:aws:s3:::source-bucket/*“ ] } ] }
- 36. Japan Digital Design, Inc. Confidential バケットオペレーションの制限
- 37. Japan Digital Design, Inc. S3バケットポリシーのHardening (5) バケットオペレーションをS3管理者 のみに限定 ? DeleteBucketPolicyを忘れず に { "Principal": "arn:aws:iam::012345678901:role/S3- PolicyAdministrator", "Effect" "Allow" "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy", "s3:PutBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::source-bucket" } }
- 38. Japan Digital Design, Inc. S3バケットポリシーのHardening (6) バケットオペレーションをS3管理者 のみに限定 ? DeleteBucketPolicyを忘れず に ? 正規ユーザIDで、名前のすり 替えを防止 { "Principal": "*", "Effect" "Deny" "Action": [ "s3:PutBucketPolicy", "s3:DeleteBucketPolicy", "s3:PutBucketPublicAccessBlock", "s3:PutEncryptionConfiguration", "s3:PutReplicationConfiguration" ], "Resource": "arn:aws:s3:::source-bucket", "Condition" { "StringNotLike": { "aws:userid" : "AROA4BUVFU5K AJ45IWBTW:*" } }
- 39. Japan Digital Design, Inc. Confidential Condition 条件キー ドキュメントにまとまっている S3アクセスポリシー条件キー ? https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/amazon- s3-policy-keys.html AWS グローバル条件コンテキストキー ? https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/reference_policies_conditi on-keys.html
- 40. Japan Digital Design, Inc. Confidential KMSキーポリシー
- 41. Japan Digital Design, Inc. KMSキーポリシーのHardening (1) キーポリシーの変更をKMS管理者の みに限定 ? 加えて正規ユーザIDでの制限 も有効な手 { "Principal": "arn:aws:iam::012345678901:role/KMS- KeyAdministrator", "Effect" "Allow" "Action": [ "kms:Create*", "kms:Enable*", "kms:Put*", "kms:Update*", "kms:Revoke*", "kms:Disable*", "kms:Delete*", "kms:List*", "kms:Get*", "s3:PutReplicationConfiguration" ], "Resource": "*" } }
- 42. Japan Digital Design, Inc. KMSキーポリシーのHardening (2) キーポリシーの変更をKMS管理者の みに限定 ? 正規ユーザIDでの制限も有効 な手 ? ロールにキー利用のみ許可 ? インスタンスプロファイル等 { "Principal": "arn:aws:iam::012345678901:role/Role- EC2-AnalysisInstance", "Effect" "Allow" "Action": [ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey"], "Resource": "*" } }
- 43. Japan Digital Design, Inc. KMSキーポリシーのHardening (3) キーポリシーの変更をKMS管理者の みに限定 ? 正規ユーザIDでの制限も有効 な手 ? ロールにキー利用のみ許可 ? インスタンスプロファイル等 ? 必要に応じてGrantも許可 { "Principal": "arn:aws:iam::012345678901:role/Role- EC2-AnalysisInstance", "Effect" "Allow" "Action": [ "kms:CreateGrant", "kms:ListGrants", "kms:RevokeGrant"], "Resource": "*" } }
- 44. Japan Digital Design, Inc. Confidential 相互牽制体制
- 45. Japan Digital Design, Inc. Confidential もちろんIAMポリシーはきっちりと ルートアカウントはMFAをかけて封印 特定用途向けロール ? S3ポリシーを変更できる専用ロール ? KMSポリシーを変更できる専用ロール 特定用途専用ユーザー ? S3ポリシー変更ロールをAssumeRoleできる専用ユーザー ? KMSポリシー変更ロールをAssumeRoleできる専用ユーザー ? ディザスタリカバリ用専用ユーザー
- 46. Japan Digital Design, Inc. S3への意図しない不正なアクセスを防ぐ KMS管理者S3管理者 MFA必須 MFA必須 アクセス範囲の変更 (キーポリシー変更) アクセス範囲の変更 (バケットポリシー変更) MFAMFA 2. データ取得 (復号化) KMS不正アクセス者 (S3アクセス不可) EC2インスタンス IAMロール S3不正アクセス者 (KMSアクセス不可) 1. 復号化キー取得 外部侵入および内部不正によるデータアクセスからS3を防御 S3とKMSの管理権限の分離によって実装 S3 Bucket KMS CMK
- 47. Japan Digital Design, Inc. Confidential Kill Switch 実装 データが危険にさらされうる前にKMSキーを無効化し、データアク セスを遮断する ? バケットポリシー/キーポリシー変更時 ? S3/KMS管理者ロール利用時 ? ルートアカウントサインイン時 ? etc. Step Functionsでキー無効化Lambdaを自動実行
- 48. Japan Digital Design, Inc.
- 49. Japan Digital Design, Inc. Confidential まとめ M-AISプラットフォームはあくまでもインフラ ? クラウドのメリットを生かしたスピードでインフラを供給し、ビジネスゴールを 実現する セキュリティは自由な環境のカギ ? セキュアであるからこそ自由に動ける ? インフラは最大限の可用性をセキュアに提供する 常に変化を ? 分析のワークロードは常に変化することを前提に、仕組み自体を入れ替え可能に ? すぐに始められること以上に、すぐに利用をやめることができるがクラウドのメ リット
- 50. Japan Digital Design, Inc. Confidential AWS re:Inforce 2019 参加報告
- 51. Japan Digital Design, Inc. Confidential AWS re:Inforce 2019 クラウドセキュリティを専門にした新しいカンファレンス ? 2019/06/25-26 ボストンにて開催 ? およそ10,000名が参加
- 52. Japan Digital Design, Inc. Confidential Keynote AWS CISO - Steve Schmidt ? Announce ? VPC Traffic Mirroring ? Security Hub - GA ? IAM Access Advisor with Org
- 53. Japan Digital Design, Inc. Confidential 参加セッション FND306: How to secure your Active Directory deployment on AWS SEP304: Cryptography in the next cycle SEP204: Privacy, ethics, and engineering in emerging technology SDD319: Ensure the integrity of you code for fast and secure deployments SDD335: Cloud DevSecOps masterclass: Lessons learned from a multi-year implementation of cloud automation at scale SDD302: Methods of emergency privileged access SDD301: Lean and clean SecOps using AWS native services cloud SEP329: AWS event engineering at scale SEP306-R1: Serverless AI-Powered Identity Management GRC313: Using AWS Control Tower to govern multi-account AWS environment at scale
- 54. Japan Digital Design, Inc. Confidential Using AWS Control Tower to govern multi-account AWS environment at scale AWS Control Towerを活用し、マルチアカウント環境を管理 ? アカウントをガードレールで保護 (箱庭化) ? 共通のCloudformation等により、最低限の保護を強制 ? ダッシュボードで遵守状況をモニタリング ? Service Catalogによるアカウント払い出し
- 55. Japan Digital Design, Inc. Confidential Ensure the integrity of you code for fast and secure deployments DevSecOpsに対応していくために ? Automationは必須 ? SecurityもAutomationに組み込む ? Marketplaceの活用 ? 使えるサービスは多くある
- 56. Japan Digital Design, Inc. Confidential re:Inforceに参加して これまでAWSは開発者向けメッセージが多かった ? Serverlessとか re:InforceでIT Proへのメッセージが強く出たのではないか ? IT ProはAutomationにSecurityをBuilt-Inしていく ? “Dev” + Ops = DevOps ? Ops + Security = SecOps ? Developerは、ネットワークエンジニアでも法律家でもない ? IT Proはネットワークエンジニアであり、セキュリティもIncludeしていくことが求められる ? # Securityは、LawOps/GovernanceOpsになるかも…? いかにクラウドで事業を伸ばしていくか => re:Invent いかに事業をクラウドで継続していくか => re:Inforce ? IT Proだけでなく、事業責任者なども参加するといいイベントだったと思う
- 57. Japan Digital Design, Inc. Confidential セッションは公開されています セッション資料と動画が公開されています ? https://reinforce.awsevents.com 来年はヒューストンで開催 ? また参加したい!
- 58. Japan Digital Design, Inc.