はじめに
試験勉強した際のメモを自分用に記事化。
内容は公式やBlack Beltの写経ですので目新しいことはありません
PCI DSSって何
PCI Security Standards Councilによって管理される、機密情報のセキュリティ標準のこと。
PCI DSSはクレジットカード所有者のデータや機密性の高い認証データを保存・処理・転送するエンティティに適用される。
これらのエンティティには、販売店・処理業者・取得者・発行者・サービスプロバイダが含まれる。らしいです。
公式。
具体例
CloudFrontを使用しているサービスの場合
CloudFrontを使用してアプリケーションをAWSにホストしているWeb配信サービスを展開しているとする。
このアプリケーションがPCI DSSに準拠しているか・コンプライアンス目標が満たされているかを監査される場合は、以下の設定が確実に実装されていることが必要となる。
・CloudFrontAPIに送信されるリクエストをCloudTrailによって取得していること
→CloudFrontのAPIアクセス状況をキャプチャするため。
リクエストのログはCloudTrailによって取得できる。定期的に指定のS3バケットに保存もされる。
・CloudFrontアクセスログが有効化されていること
→有効化することで、CloudFrontが受信するすべてのユーザーリクエストに関する詳細情報を含めたログファイルが作成されるようにCloudFrontを設定できる。
これは標準ログ(またはアクセスログ)と呼ばれる。
標準ログを有効にする場合、CloudFrontでファイルを保存するS3バケットも指定できる。
AWS責任共有モデルに基づいてPCIまたはHIPAA準拠のワークロードを実行している場合、監査のために過去365日間のCloudFront使用状況データを記録することが重要。
使用状況データを記録するためにCloudFrontアクセスログを有効にして、CloudFrontAPIに送信されるリクエストをキャプチャできるようにする必要がある。
混同しそうなこと
・VPCフローログはCloudFrontに設定できない
・CloudFrontAPIに送信されるリクエストはCloudTrailによって取得するのであって、Cloudwatch logsで取得はしない
・CloudFrontのキャッシュログを有効化するといった設定はできない。
ただしCloudFrontキャッシュ統計レポートを利用して、CloudFrontエッジロケーションに関連する統計のグラフ表示は可能。
おわりに
引き続き追記します!
以上です。