概要
AWSにはセキュリティを高める為の機能で、ほとんど設定不要、ボタンポチだけでセキュリティを向上出来る機能が複数存在します。一応値段が無料だったり、そこまでお金がかからない(月々行って数千円程度)ものをピックアップしています。今回はそのプラクティス含め紹介します。
AWS WAF
AWS WAF はお客様が定義する条件に基づきウェブリクエストを許可、ブロック、または監視 (カウント) するルールを設定し、ウェブアプリケーションを攻撃から保護するのを助ける Web アプリケーションファイアウォールです。
とりあえず、ボタンポチだけでもそこそこ機能してくれます。一般的なWEBアプリケーションであれば、追加でSQLやLinuxコマンドを含むようなトラフィックも監視しておくことをおすすめします。
詳しくはコチラの記事に色々まとまっています。
GuardDuty
Amazon GuardDuty は、AWS アカウントとワークロードを継続的にモニタリングして悪意のあるアクティビティがないかを確認し、可視化と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービスです。
誰かが勝手にS3のバケットを全体公開にしたり、EC2にトロイの木馬が仕込まれた怪しいトラフィックが検出されたりしたら、アラートを上げてくれます。
Slackなどに通知が届くように設定するのがおすすめです。
Inspector
Amazon Inspector は、ワークロードを自動的に検出し、ソフトウェアの脆弱性や意図しないネットワークへの露出を継続的にスキャンする脆弱性管理サービスです。Amazon Inspector は、Amazon EC2インスタンス 、Amazon のコンテナイメージECR、および Lambda 関数 を検出してスキャンします。Amazon Inspector は、ソフトウェアの脆弱性または意図しないネットワークの露出を検出すると、検出結果 を作成します。
AWSにデプロイした環境のOSや各種アプリケーション(open sslとか)や各種モジュール等が古くなり、セキュリティ上の修正などが追いついていない場合、アラートを上げてくれます。また、ネットワークの設定がガバガバになっていたり、変なネットワークの露出がある場合もアラートを上げてくれます。
CI/CDツールで自動スキャンすると、割と良い感じになります。
CloudTrail
AWS CloudTrailは、AWS上で実行されるアクションやイベントを記録し、証跡を管理するためのサービスです。 証跡を残すことは、ユーザーの不正操作やシステムの異常な動作などが発生した際の原因究明に欠かせません。
AWSのSecretが外部流出したり、社内に悪い人がいてAWS環境上で何かしら悪さをした場合の影響範囲確認や原因究明などに使います。
AthenaでSQLライクに使うと便利です。
AWS Config
AWS Configは、Amazon EC2インスタンスやセキュリティグループといったAWSリソースの設定を、記録、評価、監査できるサービスです。設定を記録しておけば、何らかのトラブルが発生したときに、設定に変更があったか、どう変更されたかを確認すれば、トラブル解決に役立つ場合があります。また任意の設定値をルールという形で保存でき、さらにルールと現在の設定を比較することもできるので、クラウド利用におけるコンプライアンス監査、セキュリティ分析などにも役立ちます。
https://cloudnavi.nhn-techorus.com/archives/3878 より
割と色々でき、ボタンポチで、AWSが推奨するルール等に準拠するかを自動でチェックしてくれたりします。他にも、書いてあるとおりに、設定を記録して、もとに戻したい時などにも使えます。
Security Hub
AWS Security Hub を使用すると、セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを単一の場所と形式に集約し、すべての AWS アカウントで全体的なセキュリティの体制を把握することができます。
今まで書いてきた系のアラートを一元管理するのがコチラ。とりあえずココに出てきたセキュリティ上問題がありそうなIssueを片付けていくことで、堅牢なシステムにすることが可能でです。
Compute Optimizer
AWS Compute Optimizer を使用すると、使用状況データに基づいて、Amazon Elastic Compute Cloud (EC2) インスタンスタイプ、Amazon Elastic Block Store (EBS) ボリューム、AWS Fargate の Amazon Elastic Container Service (ECS) サービス、AWS Lambda 関数、Amazonリレーショナルデータベースサービス(RDS)DBインスタンスの 5 種類の AWS リソースのオーバープロビジョニングとアンダープロビジョニングを回避できます。
今までとは少し毛色が違いますが、要するに、必要以上にお金をかけているリソースや、逆に不足しているリソースをアラートして、コレくらいが妥当じゃない?とサジェストしてくれたりします。ボンタンポチっとしておいて、定期的に見直すだけで、不必要な出費が防げ、かなり良い感じです。