はじめに

今回はAWSのセキュリティ周りのサービスを紹介します！

YouTube動画

IAMはIdentity and Access Managementの略で、AWSサービスやリソースへ安全にアクセスするための管理サービスです。

IAMではグループ、ユーザー、ロール、ポリシー、IDプロバイダーの権限設定ができます。

もし初めてAWSを利用する場合は、最初はルートアカウントになっています。
ベストプラクティスとして、別途ユーザーを作成し、ポリシー (権限) をアタッチしておく方が安全です。

また、パスワードが流出してもログインされないために、MFAを設定しておくとより安全になります。
MFAデバイスとしては、AuthyやGoogle認証システムなどがあります。

AWSは攻撃を防ぐためのサービスも充実しています。

セキュリティグループはインスタンス単位のファイアウォールで、通信の許可のみを設定できます。

ネットワークACLはサブネット単位のファイアウォールで、通信の許可と拒否を設定できます。

WAFは、Web Application Firewallの略でwebアプリケーションレベルのfirewallです。
AWSやサードパーティが提供しているルールを設定できるため、簡単にセキュリティを高めることができます。

DDoS専用のサービスです。
toC向けなど攻撃されやすいサービスに適用すると良さげです。

ここからは脆弱性や攻撃を検知するためのサービスです。

EC2にエージェントを入れて、セキュリティチェックができるサービスです。
OSやネットワークの脆弱性チェックやPCI-DSSを満たしているか等のチェックもできます。

ちなみに、PCI-DSSはクレジットカード会社が規定した情報セキュリティ基準のことです。

AWS環境やAWSアカウントに対する脅威を検知できるサービスです。

例えば、Rootユーザーでログインした場合は以下の通知が表示されます。

これをクリックすると、次のような画面になります。
Actorの部分を確認すると、どこからアクセスされたのかが確認できます。

EC2が攻撃された場合もどこから攻撃されたかがわかるようになります。

セキュリティだけでなく、コストやパフォーマンスの最適化をしてくれるサービスです。
右上の更新ボタンをクリックすると、開始されます。

セキュリティグループの設定が甘かったり、S3がパブリックだと、以下のような警告が出てきます。
サポートプランを上げると、使用頻度の低いインスタンスを通知したり、使用頻度の高いインスタンスをモニタリングできるようです。

AWSアカウントの操作ログを保持するサービスです。
誰がインスタンスを立てたのか、消したのかをログに残すことができます。

AWSセキュリティの監査レポートが見れるサービスです。

電子署名付きの監査レポートをダウンロードすることができます。

KMSはKey Management Serviceの略で、機密情報の暗号化と暗号化キーを管理できるサービスです。
AWS内で他のサービスとの連携もできます。

今回はAWSのセキュリティ周りのサービスを紹介しました。
AWSのサービスを使う際の参考になれば幸いです。

以上。