selmertsxの素振り日記

ひたすら日々の素振り内容を書き続けるだけの日記

AWS Fintech リファレンスガイドを読んで色々調べた

概要

AWSにおけるセキュリティ対策周りがまとまった資料がある。

FINTECH - アマゾン ウェブ サービス (AWS)

この資料を読んで、いまいち分からなかったサービスの概要を調べてまとめてみた。

AWS FinTechガイドラインで出てきた機能一覧

AWS Organization

複数のAWSアカウントを統合管理するためのサービス。 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_introduction.html

だれが、どんな権限で、どのアカウントにアクセス可能なのかを全てのメンバーアカウントに対して制御できる。組織の中で行われたアクティビティを監視できる。

CloudTrailとの連携

AWSに対するAPIコールを記録する。誰が、どのIPで、いつ、何のAPIを実行したのか取得できる。これらのログはS3に保存される。ログファイルはSSEで暗号化されている。フェデレーションで作成されたユーザーでも、これらのデータは取得できる。

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html#STS-API-SAML-WIF

CloudWatch Eventsとの連携。

Organization内の各アカウントにおける、AWSリソースへの設定変更を記録できるようになる。変更されたらログを残したり、slackに通知したりするなど。

Amazon CloudWatch Logs

およびその他のソースのログファイルの監視、保存、アクセスができるようになる。アプリケーションログをモニタリングし、規定回数委譲エラーが出たら、管理者に通知するなど。サーバーにインストールする必要はありそう。ログ監視ツールっぽい。何を、何で監視するかは一定考えたほうが良さそう。あと、そのツールがCloudWatch Logsなのか。こういう事例もあるっぽい。

http://techlife.cookpad.com/entry/2018/05/02/161231

Amazon GuardDuty

AWS CloudTrailイベントログ、DNSログ、VPSログを計測する。 それによってマルウェアやマイニングビットコインに使われている侵害されたEC2インスタンスの検出。また、AWS アカウントのアクセス動作をモニタリングして、未許可のインフラストラクチャのデプロイ(これまで使用されたことのないリージョンへのインスタンスのデプロイなど)や、異常なAPIコール(パスワードポリシーがパスワードの強度が下がるものに変更されるなど)などを検知する。

Amazon Inspector

自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認する。 https://aws.amazon.com/jp/inspector/

( 具体的にどうやってるのか不明 )

AWS Firewall Manager

AWS Organizationで管理している各種サービスについて、下記のセキュリティ対策を自動で入れ込める。

  • Cross-site scripting
  • Geographic origin
  • SQL injection
  • IP address or range
  • Size constraint
  • String or regular expression

https://aws.amazon.com/jp/blogs/aws/aws-firewall-manager-central-management-for-your-web-application-portfolio/