概要
AWSにおけるセキュリティ対策周りがまとまった資料がある。
この資料を読んで、いまいち分からなかったサービスの概要を調べてまとめてみた。
AWS FinTechガイドラインで出てきた機能一覧
- AWS Organization
- AWS Cloud Trail
- AWS CloudWatch Events
- Amazon CloudWatch Logs
- Amazon GuardDuty
- AWS Config
- Amazon Inspector
- AWS System Manager
AWS Organization
複数のAWSアカウントを統合管理するためのサービス。 https://docs.aws.amazon.com/ja_jp/organizations/latest/userguide/orgs_introduction.html
だれが、どんな権限で、どのアカウントにアクセス可能なのかを全てのメンバーアカウントに対して制御できる。組織の中で行われたアクティビティを監視できる。
CloudTrailとの連携
AWSに対するAPIコールを記録する。誰が、どのIPで、いつ、何のAPIを実行したのか取得できる。これらのログはS3に保存される。ログファイルはSSEで暗号化されている。フェデレーションで作成されたユーザーでも、これらのデータは取得できる。
CloudWatch Eventsとの連携。
Organization内の各アカウントにおける、AWSリソースへの設定変更を記録できるようになる。変更されたらログを残したり、slackに通知したりするなど。
Amazon CloudWatch Logs
およびその他のソースのログファイルの監視、保存、アクセスができるようになる。アプリケーションログをモニタリングし、規定回数委譲エラーが出たら、管理者に通知するなど。サーバーにインストールする必要はありそう。ログ監視ツールっぽい。何を、何で監視するかは一定考えたほうが良さそう。あと、そのツールがCloudWatch Logsなのか。こういう事例もあるっぽい。
http://techlife.cookpad.com/entry/2018/05/02/161231
Amazon GuardDuty
AWS CloudTrailイベントログ、DNSログ、VPSログを計測する。 それによってマルウェアやマイニングビットコインに使われている侵害されたEC2インスタンスの検出。また、AWS アカウントのアクセス動作をモニタリングして、未許可のインフラストラクチャのデプロイ(これまで使用されたことのないリージョンへのインスタンスのデプロイなど)や、異常なAPIコール(パスワードポリシーがパスワードの強度が下がるものに変更されるなど)などを検知する。
Amazon Inspector
自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認する。 https://aws.amazon.com/jp/inspector/
( 具体的にどうやってるのか不明 )
AWS Firewall Manager
AWS Organizationで管理している各種サービスについて、下記のセキュリティ対策を自動で入れ込める。
- Cross-site scripting
- Geographic origin
- SQL injection
- IP address or range
- Size constraint
- String or regular expression