はじめに
Microsoft Defender for Cloud は Ignite 2021 で発表された 旧 Azure Security Center と Azure Defender が統合されたサービスです。Microsoft Defender for Cloud はマルチクラウドの CSPM (Cloud Security Posture Management) に対応しており、2022/2/28 現在で AWS と GCP をサポートしています。(ともに Preview 中)
AWS 環境のセキュリティチェックと言えば AWS Security Hub ですが、 Microsoft Defender for Cloud は Security Hub に依存せずに独自のチェックを行っています。基本的にはドキュメント通りに簡単に設定できるのですが、どのような仕組みでチェックが行われているのかも見ていきたいと思います。
やってみる
Microsoft Defender for Cloud に接続した AWS アカウントは CloudTrail の API 呼び出しが増加します。GuardDuty や Detective を有効化している環境ではこれらの分析料金が増加します。
環境設定から AWS アカウントを追加します。
リソースグループやリージョン、AWS アカウント ID などを入力します。AWS Organizations の管理アカウントを指定することで組織内の全アカウントをオンボーディングできるようですが、ここでは単一のアカウントを接続します。
プランの選択ではアカウント内の EC2 や EKS を Microsoft Defender for Cloud に接続することもできますが、ここではセキュリティ体制の管理のみを有効化しました。
アクセスの構成で CloudFormation テンプレートをダウンロードできるため、対象のアカウントにデプロイします。
このテンプレートでは以下のリソースがデプロイされます。
- Azure から接続をおこなうための
IAM OIDC ID Provider - IAM OIDC ID Provider プロバイダを介して Assume Role を行うための
IAM Role
先ほどのプランの選択ではアクセス許可は SecurityAudit と記載がありましたが、実際の IAM ロールには ReadOnlyAccess がアタッチされていました。
ちなみにオンボードで管理アカウントを指定した場合は、StackSets を使用して上記のテンプレートをデプロイするような指示があります。
レビューと生成で設定内容を確認して作成を完了すると、対象の AWS アカウントが追加されます。さらに設定の編集からチェック対象の標準を有効化および無効化することができます。
AWS Security Hub と同様に以下の標準に対応しています。
- CIS AWS Foundations Benchmark v1.2.0
- AWS 基礎セキュリティのベストプラクティス
- PCI DSS 3.2.1
アカウント追加直後は AWS 基礎セキュリティのベストプラクティスのみが有効になっていたため、追加から標準を選択し、CIS AWS Foundations Benchmark v1.2.0 を追加しました。
設定が完了すると推奨事項ページに順次 AWS リソースが表示されます。環境フィルターで AWS リソースに関する推奨事項のみを表示することができます。
アカウント単位やリソース単位でフィルターしたい場合はインベントリページから確認します。以下は AWS コネクター用に作成したリソースグループでフィルタリングした例です。リソースごとに推奨事項への準拠状況を確認できます。アカウント単位で確認したい場合は、アカウント ID のリソース名 (リソースの種類: microsoft.security/securityconnectors/stsaccount) をクリックします。
以下のように対象アカウント内のリソースの正常性を確認することができます。
AWS Security Hub によるチェックと比較した際の違い
いくつか気づいた点を記載します。
推奨事項の除外ができない
2022/2/28 時点では各推奨事項に除外ボタンが表示されていないため、未サポートであるようです。AWS Security Hub はリージョナルサービスであるため、リージョンごとに独立してチェックが行われており、特定のリージョンだけチェックを除外したいというような運用が可能です。
例えば以下は CIS AWS Foundations Benchmark v1.2.0 の準拠状況ですが、3. Monitoring に関連するチェックがすべて NG になっています。CloudTrail や Monitoring の設定は全リージョンには設定しないので、特定のリージョンのみ監視するよう設定したいのですが、現状そういった設定はできません。
カスタム標準を作成することができる
Microsoft Defender for Cloud ではカスタム標準を作成して、任意のルールのみを対象にチェックを行うことができます。これにより組織内で必要なチェックに絞って準拠状況のモニタリングを行うことができます。このような機能は AWS Security Hub にはありません。
API 経由でチェックが行われている
冒頭にも記載したとおり、Microsoft Defender for Cloud は AWS Security Hub や AWS Config Rule に依存しない作りになっており、チェックはすべて API 経由で行われます。どのような API アクセスが行われているかは CloudTrail の証跡から確認ができます。Assume Role 時のロールセッション名が MicrosoftDefenderForClouds_xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx のような固定値になっているため、コンソールからであればユーザー名を指定して検索することができます。
今回の検証では AWS 基礎セキュリティのベストプラクティスは無効化していたのですが、上記の履歴を見る限り API による情報収集は裏側では継続して行われているようです。
ドキュメント
以上です。
参考になれば幸いです。