こんにちは。植松です。
今回はAWSを利用するにあたって、大事なセキュリティ対策について。
AWSリソースの管理方法やセキュリティ対策は悩むべきポイントです。
事業規模やどのリソースを使っているかによってマチマチになるかと思います。
AWS運用にて一般的に利用されるサービスを以下に記載しますので、対策の参考になればと思います。
※各サービスの詳細については今回は触れません。気になったサービスがあれば公式ページなどでご確認ください。
AWS CloudTrail
全てのユーザーアクティビティとAPI利用状況 を記録
ログファイルは暗号化され、gz 形式でS3 に保存可能
過去 90 日間のイベントを無料で参照、ダウンロード可能(管理イベントのみ)
AWS Config
AWSリソースに対して、誰が、いつ、何をしたかを自動で、継続的に記録する(変更履歴、構成変更を管理)
リソースの設定がコンプライアンスに準拠しているかを、継続的に評価し、改善アクションの実行が可能
ルールを設定することで、対象のリソースがセキュリティリスクを抱えているかチェックが可能
ルールはAWSが提供するルールに加えて、オリジナルで作成も可能
チェックの結果、必要に応じてリソースの設定を1クリックで変更することも可能
Amazon GuardDuty
ポートスキャン、DDoS、不正なAPIの呼び出しなどセキュリティ上の脅威となる行動をモニタリングにより検知
検知結果はレポートで閲覧可能
AWS Security Hub
AWSリソースのセキュリティ、コンプライアンス状態を一元管理・表示
業界標準やベストプラクティスに基づいた自動コンプライアンスチェックを行う
以下のセキュリティ基準から、複数のルールを選択し運用
- AWS Foundational Security Best Practices v1.0.0
AWSセキュリティ専門家により定義された統制項目。セキュリティベストプラクティスに沿わないAWSアカウン
トやリソースを検知する - CIS AWS Foundations Benchmark v1.2.0
Center for Internet Security が定義した要件の一部に対してチェックをする - PCI DSS v3.2.1
クレジットカード情報を保存・処理・転送する組織が従うセキュリティ標準であるPCI DSS要件の一部に対
してチェックする
AWS ConfigとAWS Security Hubそれぞれにルールがあってよくわからない。。。となることが多いので、以下に違いを記載します。
| 特徴 | AWS Config | AWS Security Hub |
|---|---|---|
| 目的 | リソース構成の変更履歴追跡と評価 | セキュリティ状態の一元管理 |
| 評価対象 | AWSリソースの設定 | AWSアカウント全体のセキュリティ状況 |
| ルールの設定 | リソースの構成ルールを手動で定義 | AWSベストプラクティスに基づくルールが事前定義 |
| 発見事項 | リソースの設定違反 | セキュリティサービスからの発見事項の集約 |
| 通知・修正 | ルール違反の通知や自動修正アクション | 発見事項の通知と優先度に基づいた対応 |
AWS Configは主にリソースの設定管理とコンプライアンスチェックに特化しているのに対し、AWS Security Hubはセキュリティの全体像を管理し、複数のセキュリティサービスからの情報を統合して提供することに重点を置いています。
利用料金について
上記サービスを全て有効化、最低限の設定で稼働させたと仮定したら、現状かかっている月のコストの1〜5%ほどで稼働可能です。
各サービスの設定によってはコストはもっと上がります。
さいごに
今回は、AWSを運用するにあたり最低限稼働させておくべきサービスを簡単にご紹介しました。
セキュリティ監査が入った時などにログとして長期保存(S3へ保存)も可能ですし、
上記のサービスは必ず有効化しておくべきサービスだと思います。