執筆者
サイバー攻撃やDDoS攻撃など外部からの攻撃や、誤った作業から非公開のものを公開してしまう、脆弱性を含む古いパッケージを利用しているなど内部的な問題を含めアプリケーションの運用には多くのセキュリティリスクがあります。
AWSではセキュリティリスクに対して複数のサービスが提供されているので、今回はセキュリティに関するサービスの紹介をしたいと思います。
CloudTrail
AWSアカウント内での操作履歴を記録および監査するためのサービスで、セキュリティ監査、コンプライアンス、運用トラブルシューティング、リソース変更の追跡が容易になります。
CloudTrailでは以下のイベントに対して操作履歴が記録されます。
・管理イベント
EC2インスタンス、S3、VPCなどのリソース作成、変更、削除のアクションやIAMなどアカウントの設定変更などを記録します。
・データイベント
S3バケット内の操作(PUT、DELETE、UPDATEなど)やLambda関数の実行などリソース内のデータアクセスやデータ変更を記録します。
・インサイトイベント
CloudTrailの管理イベントの記録されたログを分析し、通常とは異なる操作が行われた際に記録されます。CloudTrailのオプション機能のCloudTrail Insightsを有効にする必要があります。
CloudTrailでは90日間のログは無料で保存できますが、90日以上のデータを保存する場合は、証跡の作成を行いS3にデータを保存します。S3に保存されたデータはストレージ使用量として課金されます。
また、Organizationsを利用することで、複数のアカウントを一元管理できるようになります。アカウント作成時の設定漏れなど気にすることがなくなるので、Organizationsを利用している場合はOrganizationsレベルでCloudTrail有効化し、複数のAWSアカウントの監査ログを一括で管理するのが良いでしょう。
GuardDuty
CloudTrailやAWSのネットワークやVPCフローログを分析し、機械学習、異常検出、統合された脅威インテリジェンスを活用して異常パターンや既知の攻撃などを検知します。
利用方法は簡単で「GuardDutyを有効にする」だけで、有効にしたリージョンでセキュリティ脅威のモニタリングが開始されます。
GuardDutyでは以下の保護プラン機能が提供されています。
・S3 Protection
S3バケットに対する不審なアクセスや異常なアクセスパターンを検出します。
・EKS Protection
Amazon Elastic Kubernetes Service(EKS)のセキュリティ強化機能で、EKSの監査ログからユーザーやアプリケーションのAPI操作を追跡し不正な動作を識別できます。
・Malware Protection
EC2インスタンスおよびコンテナにアタッチされた EBSボリュームのマルウェアスキャンにより異常を検知します。
・RDS Protection
Amazon Aurora データベースに対する異常なログイン試行や不正アクセスなどの異常を検知します。
・Lambda Protection
Lambda関数が呼び出された際のネットワークアクティビティログを監視し異常を検知します。
・Runtime Monitoring
EC2、ECS、EKSのランタイム動作を監視し、OSレベルの潜在的な脅威を検出する機能です。
複雑な設定を必要としないので、利用しているサービスの保護プランを有効にするだけで、異常検知できるのでセキュリティ強化の効果も得やすいと思います。
また、CloudTrailと同じくOrganizationsでの管理も可能なので、複数のアカウントで利用する場合はOrganizationsを利用するのが良いでしょう。
Inspector
Amazon EC2、AWS Lambda関数、Amazon ECRなどの脆弱性診断を行い、セキュリティ対策の強化に役立つソリューションになります。
主な機能は、ネットワーク接続性やパッケージの脆弱性を継続的にスキャンして、その結果をダッシュボードに可視化することができます。
・ネットワーク接続性
インターネット経由でポートベースやVPC ピアリング接続、VPNを通じて該当EC2にアクセスされる可能性があるかどうかを評価します。
・パッケージの脆弱性
CVEに基づき、EC2インスタンスなどに関するセキュリティ評価、脆弱性や問題のある設定をチェックします。
・コードの脆弱性
Lambda関数で使用されるコードをスキャンし、セキュリティ評価、脆弱性や問題のある設定をチェックします。
Inspectorの利用にはエージェントをインストールする方法とインストールしない方法の2つがあります。エージェントを利用した方がより詳細に検証が行えるので、基本はエージェントをインストールし検証を行うのが良いでしょう。
また、InspectorもOrganizationsでの管理が可能なので、複数のアカウントで利用する場合はOrganizationsを利用するのが良いでしょう。
まとめ
今回3つのセキュリティサービスについて説明してきましたが、どれも手軽に設定ができ、またOrganizationsでの管理ができるのでAWS全体を管理する部門があるのであればOrganizationsを利用した管理が良いでしょう。
不正アクセスや脆弱性の対応をしっかりおこない、安全なサービス運営を実施出来ればと思います。
Comments