[AWSセキュリティ担当者必見] Config Rules 、Lambda、SNSによる中央集権型の管理統制について---- <サービス基礎編>

はじめに

　二三週間前に、こんな記事【How to Centrally Manage AWS Config Rules across Multiple AWS Accounts】を見ました。この記事に一番説明したいのはもともと1アカウントずつ、AWS Congfig Ruleとカスタム用のLambdaが設定されていますが、AssumeRoleを利用して、カスタムルール用のLambdaを１つの管理用のアカウントに集約できるということです。私も記事を読みながら、下記の図に示す通りに検証してみて、2つの記事をQiitaに投稿しました。

• [AWSセキュリティ担当者必見] Config Rules 、Lambda、SNSによる中央集権型の管理統制について
• [AWSセキュリティ担当者必見] Config Rules 、Lambda、SNSによる中央集権型の管理統制について----<データ編>

　そして、先週自分がやったことを所属している部署向けにLTをやりました......が、自分のサービスへの理解不足や下手な説明で、全然伝わらなかったので、非常に悔しかったです。AWS Configは先日開催されたSecurity Jaws二回目のイベントの中にも「継続的な監査・評価」に活用されるサービスとして取り上げられましたので、是非社内のセキュリティ監査に活用したいと思っていますので、AWS Configの基礎部分をもう少し調べました。
　今回は自分なりに調べたAWS Configの基礎部分の情報を皆さんに共有します。

基本概念

AWS Config

AWSの標準回答

AWS Config とは、セキュリティとガバナンスを可能にする構成変更の通知、構成履歴、AWS リソースのインベントリーをお客様へ提供する完全マネージド型のサービスです。
AWS Config から、既存の AWS リソースの検出、設定の詳細をすべて含めたお客様の AWS リソース一覧表のエクスポートが可能となり、どの時点でどのようにリソースが設定されたかを確認できます。
これらの機能は、コンプライアンス監査、セキュリティ分析、リソース変更の追跡、トラブルシューティングを可能にします。

自分なりの理解:

AWS ConfigはAWSリソースの構成情報を自動的に収集してくれるサービスです。
監査、セキュリティ性の維持、トラブルシューティングなどに使えます。
AWS Configを人間に例えると、情報収集者です。

Config Rules

AWSの標準回答

Config Rule はリソースの理想的な設定であり、AWS Config で記録された関連リソースの設定変更と対照して評価されます。

自分なりの理解

Config Ruleは予めお客様によって決められているルール(ポリシー)に基いて、
収集された対象リソースの情報からポリシーに沿って利用されているかを評価できるConfigの機能です。
Config Ruleを人間に例えると、監査人です。
※厳密に言うと、"監査人"はConfig Ruleに設定されているコンピュートリソースです。

動作イメージ

AWS Config + managed rule/custom rule(Lambda)
managed ruleも裏にはLambda(的なもの?)で動いていると思います。

利用可能なリージョン

2016/7/22時点
AWS Configは全リージョンで利用可能ですが、Config Rulesは米国東部 (バージニア)、米国西部 (オレゴン)、欧州 (アイルランド)、欧州 (フランクフルト)、およびアジアパシフィック (東京) 、計5つのリージョンで利用可能です。

AWS Configにて取得可能な情報(リソースタイプ)

2016/7/22時点

AWSサービス	リソースタイプ
ACM	Certificate
RDS	DBInstance DBSecurityGroup DBSnapshot DBSubnetGroup EventSubscription
IAM	Group Policy Role User
CloudTrail	Trail
EC2	CustomGateway EIP Host Instance InternetGateway NetworkAcl NetworkInterface RouteTable SecurityGroup Subnet VPC VPNConnection VPNGateway Volume

赤字で記載されている情報は米国東部 (バージニア北部)のみ取得可能

情報取得の実行タイミング

1. 評価対象の構成が変更された時に
   • 評価結果が反映されるまで、何分か時間がかかる
2. 定期的に

料金

AWS Config

• 1 設定項目につき、0.003 USD (AWS GovCloud除き)
  • 設定項目: AWS リソースの特定の時点での設定詳細

Config Rules

• アクティブなルールにつき、2 USD/月
  • 月一度利用されていれば、 アクティブと見なす
  • 評価が月20,000回以上の場合: 追加料金 → 0.10 USD/1,000 回

その他
AWS Configに利用されているSNS、S3、Lambda(カスタムルールに利用)の費用

最後

　今回はAWS Configの基礎部分について、自分なり調べた情報を皆さんに共有しました。
　もし何か不適切なところ、もしくは共有できる情報がありましたら、是非教えて下さい。