GuardDutyの有効化に伴うそもそもの前提のメモ
AWS環境上でセキュリティ対策はいろいろあるが、GuardDutyは何をしてくれるサービスなのか整理する。
GuardDutyとは。
- AWS環境やAWSアカウントのセキュリティ状況をモニタリングおよび通知してくれる。
- 複雑な設定は不要。AWS上で有効化するだけでOK。
- 機械学習で分析されたログから攻撃と思われる状況を検知してくれる。
- 料金:VPCフローログとDNSログ分析:1.10USD/GB
-CloudTralイベント分析:4.40USD/1,000,000イベント
※リージョン毎に料金は異なる。
GuardDutyは何故必要なのか
AWSのようなパブリッククラウド環境において、手軽に環境を公開出来る分セキュリティの面で不備がある。
ユーザ側でセキュリティの設定をすれば問題はないが、使い始めのユーザだったり、検証環境であったりという場合は高いセキュリティの設定がなされておらず、脅威の攻撃対象となりやすい。
小規模だからGuardDutyを有効化は要らない?
AWSを利用している以上、そんなことはない。
セキュリティ対策の一つの側面は守るべき情報はしっかり守ることであり、逆に言えば顧客情報を扱わない環境や、検証環境は見捨てられがち。
しかし、AWSアカウントへの攻撃が一度成功すると、情報搾取ではなくコインマイニング等が盛んに行われてしまう。
普段使わないリージョンで気付かれないようにEC2が建てられ、利用者は次の請求タイミングで気が付く。
本番環境以外のセキュリティ意識が甘くなりやすいAWSアカウントは恰好の的である。
すべてのAWSアカウント、すべてのリージョンでGuardDutyを有効化する必要がある。
まとめ
-
Amazon GuardDutyは全リージョン・全アカウントで有効化すべき。
-
特に検証環境や普段使わないリージョンなどでのセキュリティインシデント検知に役に立つ。
-
利用料は従量課金となるため、予測を立てるしかない。(AWSアカウント利用料の何%目安など)