AWSは常に成長を続けています。
サービス数もすごい勢いで増えています。
すべてのサービスをそらで列挙できる人は、もはやほとんどいないかも知れません。
今回は、セキュリティ系のものに絞って、ごく簡単に紹介します。
(すべてのセキュリティ系サービスではありません。)
確認テスト
各サービスがどの部分に適用されるか、把握できていますでしょうか?
簡単なパズルゲームを作ってみたので、まずは試してみてください。
ごくシンプルなAWSアーキテクチャ図に対し、下の部分にあるセキュリティサービスのアイコンを、もっとも関連性が高い箇所(赤枠)にドラッグアンドドロップするパズルです。
各サービスの3行紹介
AWS WAF
ALB, CloudFront, API Gatewayに簡単に適用できるサーバーレスなWAFです。
マネージドルールという提供された汎用ルール群を使うパターンと、自前でルール群を運用するパターン、そのハイブリッド構成があります。
2019年の年末に、大幅なアップデートが入りました。
AWS Firewall Manager
AWS Organizationsをベースに複数アカウント間でのセキュリティルールを統合管理します。
セキュリティルールとは、AWS WAFのルール、セキュリティグループ、AWS Shieldのルールになります。
複数のアカウントを横断的に保護する必要がある場合に有効です。
Amazon GuardDuty
アカウント内のログを機械学習にかけ、異常を検知するサービスです。
AWS CloudTrailイベントログやVPCフローログ、DNSログなどをベースに判断します。
攻撃通信に限らず、いつもと違う使い方をしても検知する可能性があります。
Amazon Inspector
EC2インスタンスの脆弱性を診断するサービスです。
エージェントをインストールして使用します。
診断のスケジュール実行も可能です。
Amazon Macie
S3バケット内に機密情報が保持されていないかを検査します。
機械学習とパターンマッチングにより、PIIや機密情報の疑いのあるデータを判断します。
カスタムパターンも設定可能です。
AWS Security Hub
様々なAWSセキュリティサービスについて、集中管理できます。
いくつかのサードパーティー製品も連携可能です。
複数のAWSアカウントを一元管理することも可能です。
AWS Shield
DDoS対策サービスです。
スタンダードとアドバンスドの2種類があり、スタンダードは標準的に全アカウントに導入されています。
前者はレイヤー3, 4、後者はレイヤー7を対象とし、より高精度で高機能になります。