概要
セキュリティ要件満たしてますか?と聞かれた時用に改めて整理した。
直近まさにこういう類の情報を求められる事が多く出てAWSの中の人にもヘルプを求めた。
あくまで私個人の理解および認識を書いただけなので、正しい情報は公式情報を参照のこと。つまり免責。
参考サイト 2021/05/24追記
WAF関連
WAF = Web Application Firewall
いわゆるDDoSやSQLインジェクションなどの明らかに攻撃の類であるものを防ぐもの
AWS WAF
詳しい概要はクラスメソッドさんの記事のがわかりやすいと思う
https://dev.classmethod.jp/articles/fully-understood-aws-waf-v2/
個人的にはALB(Application LoadBalancer)にデフォルト導入されてる AWS Shield Standard だけで大半は大丈夫だと思う。DDoS以外の条件や細かいルールカスタマイズなどうるさく求められる場合にはWAF導入かな。
AWS WAFのルールにひっかかってシャットアウトされたときに何が原因かわからなかったり、ルール管理は必要。
無害なのに殺される例としては、
- JPGをアップロードする
- バイナリデータがWAFのルールに抵触する文字列もってたりする
- 攻撃と判断する
- アップロードできない
みたいな流れ。机上の空論だけど起こりうる。が、それが起こっちゃった時に誰もわからんのじゃね???
IPS/IDS
IPS = Intrusion Prevention System(不正侵入防止システム=侵入を防ぐ)
IDS = Intrusion Detection System(不正侵入検知システム=侵入をお知らせするだけ)
AWS GuardDuty
GuardDutyに対してCloudTrailやVPCフローログなどを渡すことで驚異をチェックする。
かませたいデータの総量によって課金額が決まる。
GuardDuty + CloudTrail、GuardDuty + VPC Flow Logsみたいなセットで。
なお厳密にはIPSっぽい挙動を実現できるというのが正しい表現。いわゆるIPS/IDSと呼ばれて販売されてるサービスというわけではない。
が、ほぼ同じことができるので、回答としてはこれで正しいと思う。
ドキュメント開示を求められたら
AWS Artifact
AWSコンプライアンスレポート(第三者監査レポート)のダウンロードサービス。
AWS自体をあーだこーだ言われた時に使う用。ほぼ言われなくなった気はします。病院とか学校とかはまだあるかも。。。
FISC
簡単にいうと金融関係向けのAWSが何をしているのかを明記したドキュメント。
ここに書かれているルールに対象項目があれば、◯◯の項目の通りですみたいな辞書的に参照する先として使う
終わりに
the なぐり書き。
細々違うと思うし自身もまだ使ったこと無いものもあるため説明不十分かもです。
まあでも十分の材料でしょう。ここから各自調べてもろて。オネシャス。
(それで出来ればおかしい点などご指摘ください!)