AWS SUMMIT Day3 『DevSecOps』
『DevSecOps』
登壇者:sakatoku tomoaki様 @aws
DevSecOpsとは?
DevOps に対して、Seculityを含めて考えたものを言う。
Security Automationによってdevopsを回す。
増えるアカウントにどう対処していくか、
管理とセキュリティの制御を中心に考えていく。
セキュリティコントロールのサービスとして、
IAMが存在するが、その中のAssumeRoleを使うことで別のアカウントを操作することができる。
またこの時、IAMにおけるタグ管理はコンディションを使って絞ることも可能。
(〇〇ってタグが付いていないと起動できないなど)
Proactive Monitoring Lifecycle
AWS CloudTrail
Cloud Watch
AWS Config
例えば、CloudTrail を勝手にOFFにされたら、Lambdaを経由して自動的にONにして、
管理者に通知するなど。この時ログをDynamoDBに残して、連続処理を監視し、連続して処理された場合には権限を全部剥奪するなど施策を打てる。
Security At Scale
インフラ管理をコードで実現するには?
マルチアカウントに対してどうデプロイするか?
ユーザではなくRoleで管理する、Cloud Formationをベースとして使う!
この時打てる施策として、CreateUserされた場合は管理者へ通知するなど。
まとめ
DevSecOpsによってSecurityのAutomationが実現可能となる。
Security Baseline = Dev + Sec + Ops