1. はじめに
Microsoft Defender for Cloud (以下 MDfC) の機能の一つに、マルチクラウド環境に対応しており、AWS / GCP を CSPM (Cloud Security Posture Management) 態勢管理を行い、構成情報についてベストプラクティスやレギュレーション規則に違反していないかどうか監視が行えるようになっています。本記事では、Microsoft Defender for Cloud 側から AWS アカウントに対して接続を行い、構成情報を監視する設定をご紹介します。
2. 何ができるのか
Azure 公式ドキュメントからは以下の記載があります。
-
エージェントの自動プロビジョニング
- Security Center は Azure Arc を使用して、Log Analytics エージェントを AWS のEC2 インスタンスにデプロイします
- ポリシー管理
- 脆弱性の管理
- 埋め込まれたエンドポイント検出と応答 (EDR)
- セキュリティ構成ミスの検出
- Security Center の推奨事項と AWS Security Command Hub の検出結果を 1 つのビューに表示
- Security Center のセキュリティ スコアの計算への AWS リソースの組み込み
- AWS リソースの規制コンプライアンスの評価
見たところ、エージェントの自動プロビジョニングは Azure Defender を自動導入することによるサーバー保護になるかと思います。後者は AWS Security Hub のコンプライアンス機能(AWS Config Ruleによる検知)を ASC 側で統合監視することが目的になります。
3. 構成概要
Microsoft Defender for Cloud によるマルチクラウドのイメージは以下になります。
4. やってみる
4.1 MDfC 側設定
- MDfC の環境設定より、AWS アカウントを追加します。
- AWS 側のオンボードとして、AWS Organizations の管理アカウント、もしくは単一アカウントを設定します。
- AWS 側設定のプランを選択する
- 次の画面では、AWS 側への監視機能として、どの機能を有効にするか選択が出来ます。
- CSPM 機能については 2022.10 時点ではプレビュー(無料)となっていました。
- Amazon EC2 に対する Defender for Servers の適用や、Microsoft SQL Server on Amazon EC2 に対する適用、Amazon EKS コンテナーに対する保護などを選択出来るようになっています。
- 本設定では、CSPM 機能だけを有効にして設定を進めています。
- AWS 側 CloudFormation テンプレートのダウンロード
- 設定を進めると、AWS 側 CloudFormation テンプレートのダウンロードが出来ます。
- このテンプレートファイルを AWS 側に適用し、API アクセスするための IAM ロールを作成します。
- プロファイルの作成
- AWS 側 CloudFormation テンプレートをダウンロードしたら、設定を保存します。
4.2 AWS 側設定
- MDfC 側で作成した CloudFormation テンプレートを適用します。
- AWS CloudFormation からテンプレート新規作成を行います。
- スタック名を分かりやすいものに入れておきます。
- 権限を確認し、作成を行います。
- AWS CloudFormation からテンプレート新規作成を行います。
- 作成されるリソースを確認します。
- テンプレートによって、
OIDCIdentityProviderの登録と、IAM ロールが作成されたことが分かります。 
- テンプレートによって、
AWS 側の設定は上記だけです。
AWS 側で管理されている AWS Config Rule や、AWS Security Hub に依存せず、API を用いて Microsoft Defender for Cloud 側からAWS側の態勢管理を行えるようになりました。
4.3 (オプション) AWS 規制コンプライアンスの追加
初期設定では、AWS Foundational Security Best Practices による CSPM 監査が適用されます。
追加として、AWS CIS 1.2.0、PCI DSS 3.2.1 ルールが追加出来るようになっています。
また、独自のルールを作成する場合は、カスタム評価(プレビュー)を用いて、自社専用のルールをカスタマイズすることもサポートされています。
5. Microsoft Defender for Cloud から CSPM 機能で AWS 側はどのように見えるのか?
マルチクラウドに対する設定が完了すると、ダッシュボード上には各クラウド (Azure / AWS / GCP) 毎のセキュアスコアが表示されるようになります。
Azure だけでなく、AWS 環境に対するセキュリティ態勢もボタンで切り替えることによって表示されます。
推奨事項のページも、AWS セキュリティベストプラクティスの項目が日本語で見えます。
各レギュレーションルールの項目についても、日本語で解説が掲載されており、分かりやすいです。
「インベントリ」の機能から見ると、API によって取得された AWS 側のリソースが確認出来ます。
Azure ポータルから、Azure / AWS / GCP の各推奨事項やリソースが可視化出来ると、マルチクラウドを管理している方にとってメリットがあるのではと思います。
6.まとめ
Microsoft Defender for Cloud から AWS との接続を試してみましたが、マルチクラウドのベースライン準拠を統一して監視したユーザーや、Defender for Servers を用いた EC2 に対するマルウェア/ EDR 対策を統一したい方向けなのかなと思います。AWS 側でも Security Hub の可視化画面などで運用しているお客様も多いと思いますが、クラウド毎に個別に監視するのが良いのか、今回のように統合監視するのが良いのかは要検討といったところになるのかなと思いました。どなたかの参考になれば幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。