MicrosoftのDefender CSPMとは
名前の通り、クラウドのセキュリティ態勢管理を提供するソリューションです。
MicrosoftのCNAPPソリューションであるDefender for Cloudの一機能として、CSPM領域を提供するのがDefender CSPMです。
Microsoftのソリューションなので、Azureの態勢管理しかできないと思われがちですが、実は違います。
下記のページにもある通り、AWS (Amazon Web Service) 及びGCP (Google Cloud) の態勢管理を行うこともでき、仮想マシン、ストレージ、データベース、IAM、コンテナなどの主要リソースをサポートしています。
AWSアカウントをDefender CSPMに接続してみる
ということで、さっそくAWSアカウントをDefender CSPMに接続してみたいと思います。
AWSアカウントをDefender CSPMに接続するための前提条件
- Microsoft Azure サブスクリプション
-Microsoft Defender for Cloudの有効化が必要
‐サブスクリプション所有者権限 - AWS アカウント
AWSアカウントの作成
Azureのサブスクリプションは既に持っているので、まずはAWSの無料利用枠を入手するところから始めます。
メールアドレスや請求先住所、クレジットカード情報を入力した後SMSで本人確認を行えば、数分で手続きは完了です。無料利用枠の範囲であれば課金はかかりません。
CloudFormationを作成後、裏でAWSへのAPIコール課金(月額数百円程度)が発生することがあります。検証後不要な場合は削除することをおすすめします。
アカウント作成が完了しコンソール画面にサインインした後、右上のアカウント名をクリックし、表示されたアカウントIDを控えておきます。Defender CSPMとの接続に利用します。
AWSアカウントをDefender CSPMと接続する
Foundational CSPM (基本的なCSPM) とDefender CSPMの違いは下記に記載があります。
基本的なCSPMは無料で利用することができ、Defender CSPMの場合は対象リソース※あたり月5.11ドルの課金が発生します。
※AWSの場合はCompute EC2 インスタンス(割り当て解除済みは除く)、S3 バケット、RDS インスタンスが課金の対象です。https://learn.microsoft.com/ja-jp/azure/defender-for-cloud/concept-cloud-security-posture-management#plan-pricing
上記で作成したAWSの無料アカウントを、Defender CSPMと接続します。
-
Azure Portal : https://portal.azure.com へアクセス
-
「ホーム」>「Defender for Cloud」>「環境設定」
-
「環境を追加」から「アマゾン ウェブ サービス」を選択
-
AWSアカウント作成時に入手したアカウントIDなどの必要情報を入力し、「次へ:プランの選択]をクリックします
※今回は「管理アカウント」を選択しましたが、試用版のみ利用する場合は「単一のアカウント」でOKです。その場合手順12~16は不要です。
※スキャン間隔は4,6,12,24時間から選択可能です。間隔が短いほど多くのAPIコール課金が発生します。
-
プランの選択画面で有効にしたいプランを選択します
-
「設定」をクリックすると、Defender CSPMの中でさらにどの機能を有効化するのかを細かく選択することができます。今回はDefender CSPMのすべての機能を有効化します
-
AWS側での設定に必要なCloudFormationのテンプレートをダウンロードします
-
AWSコンソール:https://aws.amazon.com/jp/console に移動し、CloudFormationを作成します
-
「スタックの作成」>「既存のテンプレートを選択」>「テンプレートファイルのアップロード」で先ほどAzure Portalからダウンロードしたテンプレートをアップロードします
-
パラメータがきちんと入力されていることを確認し、任意のスタック名を入力します
-
特にカスタム項目がなければデフォルトのまま手順を進め、しばらく待ってCompleteになれば完了です
-
次はStackSetsを作成します。左端ペインの「StackSets」から「StackSetを作成」を選択します
-
先ほどと同じように「テンプレートの準備完了」>「テンプレートファイルのアップロード」を選択し、Azure Portalからダウンロードしたテンプレートファイルをアップロードします
-
パラメータがきちんと入力されていることを確認し、任意のStackSet名を入力します
-
特にカスタム項目がなければ「デプロイオプションの設定」まで進み、「新しいスタックのデプロイ」>「スタックをアカウントにデプロイ」>アカウントIDを入力>「リージョンの指定」でap-southeast-2を選択します
-
レビュー後、StackSetのステータスがActiveになったことを確認し、StackSetの名前をコピーします
-
Azure Portalに戻り、「スタックセット名」に先ほど作成したStackSetの名前を入れ、「レビューと作成」に進みます
-
「Defender for Cloud」の「環境設定」のページに戻り、「最新の情報に更新」を選択。先ほど接続したAWSアカウントが表示されていれば接続完了です
接続したAWSアカウントで出来ること
AWSアカウントを接続した後は、環境毎にどのようなセキュリティ標準を適用するか選ぶことができます。
Microsoftの作成した、「Microsoft Cloud Security Benchmark」 のみならず、AWSの作成した 「AWS Foundational Security Best Practices」 も参照することができます。
その他CIS、NIST、PCI DSSなどの基準に対し、自社の環境がどこまで対応できているのかをチェックすることができます。
今回はAWS環境の中にリソースを作成していないため、環境の状態を評価することはできませんが、リソースがある場合には下記のような推奨事項に対して、 環境が正しく構成されているのか の評価を行うことができます。
その他、Microsoft Cloud Security Benchmarkで定義されている推奨事項は下記に記載があるので、興味がある方は見てみてください。