18
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

シーエー・アドバンスAdvent Calendar 2021

Day 4

RISKENで社内のAWSアカウントのセキュリティを改善した話

Last updated at Posted at 2021-12-07

:sweat_drops: 背景

  • ウチでもAWSとか使ってるけど、インフラのセキュリティ対策状況ってそもそもどんな状況なの❓
  • ちゃんとモニタリングしてなにかあったらアラートされるようにしておかないと危なくない❓ :scream:

:thinking: OSSにもなったRISKEN使おう

RISKEN is 何❓

システム環境に潜む リスク情報 を継続的に収集・モニタリングするための セキュリティ オペレーション プラットフォーム です

[引用元] RISKEN - RISKEN

  1. RISKENを利用することでセキュリティの問題を発見することができます
  1. セキュリティインシデントを未然に防いだり、事故発生時にも調査・対応を行うためのツールとして活用できます
  2. また、開発チーム、クラウド管理者、セキュリティ担当者の成果を可視化し、プロダクトオーナーとのコミュニケーションにも役立ちます

AWSやGCPなどのパブリッククラウド環境の利用状況をセキュリティの観点でモニタリングを実施し、対応が急がれる リスク :alarm_clock:
継続してモニタリング対象として管理した方が良い リスク予備軍 :eyes: を検知してくれます :bangbang:

:computer: 早速、社内AWSアカウントを対象に導入してみた

:thinking: :eyes: 導入ってどうやるの❓

詳しい説明は マニュアルサイトがあるので、そちらへ譲りますが、
一言でいうと、

「対象のAWSアカウントのアカウントIDとIAMロールを作成して、RISKENへ登録するだけ❗❗」

ご自身のAWSアカウントの情報をデータソースとして設定したら、スキャン可能になります👍

スキャンの仕方はこちら

さて、社内利用のアカウントのスキャン結果は❓❓

検知されたリスク(スコア0.8以上)の件数は下記👇

:alarm_clock: 合計: 105件

意外とあるなー・・・・・という印象 :thinking: :thinking:

具体的に検知されたリスク内容は下記でした

  • 💣 SSHやMySQLポート等のセキュリティグループ全解放
  • 💣 Admin権限所持のIAMユーザの存在
  • 💣 ルートアカウントの2FAの未設定
  • 💣 CloudTrailの全リージョンでの有効化が未完
  • 💣 インポートされた過去の証明書の有効期限切れ

これだけ検知されたので急いで対応 :sweat_drops: :sweat_drops: :sweat_drops:

💣 SSHやMySQLポート等のセキュリティグループ全解放

✅ 社用VPNや業務利用NWのIPアドレスのみ許可設定をするように対応

💣 Admin権限所持のIAMユーザの存在

PERMAN でのコンソールへのログインをさせる設定を実施
✅ 該当IAMユーザについては不要なものは削除
ちょうどタイミングよく、PERMANについてのブログも公開されていたので、紹介 :gift:

💣 ルートアカウントの2FAの未設定

✅ 2FAを設定して対応済み
仮想 Multi-Factor Authentication (MFA) デバイスの有効化 (コンソール) - AWS Identity and Access Management

💣 CloudTrailの全リージョンでの有効化が未完

✅ 全リージョンでのログ取得設定を対応済み
下記のクラスメソッド様の記事を参考に対応ができました。いつもありがとうございます :exclamation: :bow:
CloudTrail全リージョン有効化の詳細と個別リージョン設定からの移行 | DevelopersIO

💣 インポートされた過去の証明書の有効期限切れ

✅ 利用されてないことを確認し、AWS CLIにて削除
マネコンではなぜか削除できなかったのが不思議でした :thinking:

最終結果 :thumbsup:

BEFORE

:alarm_clock: 合計: 105件

AFTER

:alarm_clock: 合計: 11件

9割方撲滅しました❗❗❗❗
残りは過去の古い証明書が多く、削除が大変 :sweat_drops: ですが、継続して絶賛対応中です :sweat_drops: 早く終わらせないと :sweat_smile:

まとめ

  • OSSにもなったRISKENを使って社内AWSアカウントのセキュリティモニタリングを導入した :thumbsup:
  • 全体のリスクのうち 9割 を撲滅でき、さらに継続して監視されることですぐにリスクが検知される状態になった :dash: :heart_eyes:
  • 今後は、コストチェックアラートも導入して、コスト上昇アラートもやれそう :thinking:
  • RISKEN、チョー便利です❗皆さんもぜひご利用になってみてください :exclamation:

その他参考サイト

18
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
18
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?