エンジニアブログ

[AWS]AWS Configでルール違反検知 その1

2018.08.01

こんにちは。
middleと申します。

私が日々の業務でぶちあたった壁などについて書いていきたいと思います。
どうぞよろしくお願いいたします。

 

★今回のお題

セキュリティグループの開けてはいけないポートを開けてしまった時、検知したい

その1 背景〜使用するサービス選択 ←本日はこちら
その2 AWS Configとは
その3 カスタムルール作成①
その4 カスタムルール作成②
その5 AWS Config設定〜まとめ

 

★背景

お客様からこんなご要望がありました。

AWSサービスを利用して、どの程度のレベルで監査が可能なのか知りたい。
自分たちで定義したルールに違反する操作があった時、通知させることは可能なのか。
例えば、セキュリティグループのルールを編集している時、開けてはいけないポートをオペミスで開けてしまった場合、検知をしたい。

※背景の背景:現在別クラウドからAWSへの移行案件に参加してます。

 

★調査開始

監査といえば、ぱっと思いついたのがTrusted Advisorです。
ただTrusted AdvisorはAmazonの推奨に基づいて緑・黄・赤でお知らせ、みたいなイメージだったので、なんとなく出来なさそう、とは感じてました。

▲こんなんですね。

実現可能かどうか緊張が走ります。

 

★サポートに問い合わせ

いきなり禁じ手(?)ですが、サポートに問い合わせました。
※研究ではなく業務なので、躊躇なく聞いていくスタイルです。

AWS環境を構築および操作している際、誤ってルール(後述)に反した設定をしてしまった場合に、
検知および通知を行うようなサービスがあれば教えてほしいです。

ルールとしては以下です。
 ・SGが特定のルールに従っているか。
(禁止しているはずの通信を許可してしまっていないか)

どこまで自動でチェックできるか、自動化できるものを知りたいです。

イメージとしては、例えばですが、
ルールをあらかじめ定義しておき、その定義したルールに違反したものがあればメール通知が来る、
のようなサービス(機能)です。

 

★サポートの回答

お返事をいただきました。

AWS リソースの設定があるべき状態であるかどうかのチェックを行い、不適切な設定である場合は通知を行うことを実現するためのサービスは、現状 AWS Config というものがございます。

定められたルールに基づきリソースの設定値をチェックする機能を有しており、
CloudWatch Events と連携を行うことで、ポリシーに反したリソースが検出された際に通知を行うことも可能でございます。

AWS Config では、AWS が提供するマネージドルールと、お客様が Lambda Function で独自に実装可能なカスタムルールの2種類をご利用いただけます。

ただし、残念ながら現状下記を完全に満たすマネージドルールはございません。このため、こちらのチェックについてはカスタムルールを別途作成いただく必要がございます。

> ・SGが特定のルールに従っているか。(禁止しているはずの通信を許可してしまっていないか)

※一部抜粋&改変してます。

実現出来そう、ということでまずは一安心です。
そしてまさにこれぞ、というAWS Configなるサービスがありました。
ただし「カスタムルールを別途作成いただく」のあたりが多少気になるところです。
一筋縄ではいかない気配……。
ひとまず、こちらのAWS Configを利用していくという方向性までは見えました。
続きは次回お送りいたします。
以上です。
よろしくお願いいたします。

関連キーワード

この記事をシェアする

Facebook Twitter LINE はてなブックマーク

この記事を読んだ方に
おすすめの記事