前提
AWSにおけるセキュリティの考え方について
外部から入られないようにするというのはセキュリティの考え方として当たり前に持っているものだが、それでもサイバー攻撃は日々進化しており、かならず防げるものではないというのが前提としての考え
そのため、侵入された場合にいかに早く被害を最小限に抑えられるかを考えることが重要となる
予防的対策と発見的対策
予防的対策:事前に潜在的なリスクが起きないよう、発生そのものを抑止、防止する対策
発見的対策:事後に顕在化したリスクをいち早く発見し、適切に是正するための対策
予防的対策に活用できるサービス
AWS Shield,AWS WAF,Certification Manager,KMS,Network Firefall,Secrets Manager,IAM,Security Group,Cognito,Direct Connect
発見的対策に活用できるサービス
GuardDuty,Macie,Inspector,Security Hub,Amazon OpenSearch Service
活用すべきサービス
CloudTrail:AWSアカウント内の操作をイベントログとして記録するサービス。誰が何をしたのかログとして追うことが出来る。
セッションアクティビティログ:セッションマネージャーによるEC2の操作ログを取得できる。
RDSの監査ログ:DBの操作に対するログが取得できる。
Cloud Front,ALB,API Gatewayのアクセスログ:フロントエンドのアクセスログを取得する。脆弱性を突くような攻撃が来てないかなどの調査に役立つ。
WAF,VPCフローログの通信ログ:WAFは正しくブロックできているかなどの確認、VPCフローログはどこからどこへの通信があったのかを確認出来る。
EC2,ECSのログ:システム障害検知に役立つ。
ログの集約
ログは一か所に集約しておくことで管理がしやすくなる。
もっともオススメとなるのはS3。
Athenaでのクエリ検索が可能で、QuickSightで可視化ダッシュボードなども作成が出来る。
CloudWatch logsは簡易的なログ監査に向いている。(EC2メトリクスなど)
セキュリティの検出
検出にはGuard Dutyが効果的。
EC2では不審なアクセス、コインマイニングなどの挙動を検知。
IAMでは普段と違う場所からのログイン検知、権限昇格が行われているなどの検知。
S3では、不正にデータを取得しようとしていたり、公開状態に変更されるなどのアクティビティが検知される。
AWS Configはリソース設定を評価/監査/審査できるサービス。
設定ミスや推奨されない構成の状態を検出するためのConfigRulesという機能がある。
Security Hubを使用する場合は、このConfigRulesが適用されて動作する。
Macieは、S3バケット内の機密性の高い情報が含まれていないかを検知できるサービス。
Inspectorは、EC2やLambdaなどのソフトウェアの脆弱性を検出できるサービス。
インシデント調査
Security HubのFindingsによる通知をトリガーとして検出するのが基本。
詳細調査のためにDetective(Cloud Trail監査ログ、Guard Duty、VPCフローログなどのデータソース)を活用する。