はじめに
個人のAWSアカウントを作成する際に、まず取り組むべきセキュリティ対策諸々を知りた公式の講座を受けてみました。
AWS講座
メモ
AWSアカウントの保護において最優先で実施すべきこと
- AWS IAM
- ルートユーザを使わない
- 管理者IAMユーザ・機能別ユーザ
- 多要素認証(MFA)を利用する
- 特にルートユーザには必ず
- ルートユーザのアクセスキーを使わない
- デフォルトでは存在していない
- 一時的なクレデンシャルを使う
- ルートユーザを使わない
AWSで起きた事実を記録する
-
AWS Cloudtrail
- 操作履歴はセキュリティ面で「何が起きたのか」を把握するのに役立つ
- コンソールで過去90日間のイベントを無料で見られる
- 1つ目の証跡ログのS3への配信は無料なので、設定推奨
- Athenaでの分析
-
AWS Config
- 構成変更の一元管理、および構成変更管理のためのフルマネージド
- 保持期間はデフォルトで7年
- 「どのような構成だったのか」を過去ー現在で把握できる(タイムライン)
- 無料期間はなし
コスト面で「安心」を確保する
- AWS Budget & AWS Cost Anomaly Detection
- 予算の監視とアラート通知は無料
- 閾値をこえるとアラート
- 普段の異なる振る舞いを検知できる
- AWS Cost Explore
- コンソールから有効かして利用 ※データ生成に24時間
- 最大過去13か月までさかのぼってグラフ化 - AWS Cost & Usage Reports
- 継続的にコストを分析するデータを生成
セキュリティ驚異検知を行う
- Amazon GuardDuty
- 機械学習を用いた脅威検出
- すぐに使い始められる
- 驚異検知の手法はAWS側がアップデートしつづける
- 30日間は無料
継続的な改善へ取り組みをはじめる
- AWS Truted Advisor
- AWSのべスプラに基づいての改善提案
- アカウント作成時に自動的に有効化されている
AWS環境におけるセキュリティの状態を一元的に把握する
- AWS SecurityHub
- 組織内のセキュリティーデータを集約、一元的に可視化してリスクを評価
- 30日の無料トライアルあり
セキュリティイベントの通知を受信できるように備える
- セキュリティー連絡用の代替アドレスの登録を忘れずに(rootとはべつ)
- Amazon EventBridge
- イベントを受け取って、処理後に、通知ツールに配信する
マルチアカウントによる環境分離を行う
- 本番環境と開発環境の分離は必ず守るべきスタート地点(アカウント分離)
- AWS Organizations
- 階層化した組織構造で複数アカウントを管理
- AWS Contral Tower
- べスプラに沿ったマルチアカウント構成を
人ビジネスをシームレスに統合する
- IAM Identity Center(旧SSo)
- CLIでも実現可能
ワークロードに適した保護を施していく
- AWS WAF
- SQLインジェクション
- クロスサイトスクリプティング
- AWS System manager
- AWS環境の運用管理の管理に役立つ一連の機能を提供するサービス群
- オンプレ/AWSの両方をサポート
- Amazon Inspector
- リソースの自動検出と継続的なスキャン
- EC2,ECR,Lambda対応
- EC2はSSMの管理下である必要がある
最後に
個人用のAWSアカウントであれば、
ひとまず、コスト管理とIAM管理ができていればよさそう。。。