4つのクラウドと8つのコンプライアンスポリシーに対応したセキュリティSaaS「Aqua Wave」を試してみた

SaaS形式で簡単に設定でき、マルチクラウドかつ豊富なチェック方式に対応した統合セキュリティプラットフォームとして提供されるAqua Wave。まずは14日間トライアルで試してみました。

#セキュリティ

#コンテナ

濱田孝治

2020.11.24

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

「めっちゃ設定簡単やん…うわぁ、スキャンしたらワラワラ出てきたで」

先日（といっても結構前ですが）、Aqua Securityより新しいセキュリティプラットフォームであるAqua Waveが発表されました。

Aqua Security Unveils New Platform to Secure the Build, Infrastructure, and Workloads of Cloud Native Applications

日本語訳は、クリエーションライン様のこちらをご参照ください。

AquaSecurity:新しいプラットフォームを発表

Aqua Waveは、従来提供されていたAqua Container Security Platformとは別に用意された新しいSaaSのセキュリティプラットフォームで、アプリケーションの構築時やインフラ上に展開されるアプリケーションのセキュリティを確保するために、簡単に導入できる統合ソリューションです。

ちょっと動かしてみた感想は、めっちゃ豊富なプラグインと、PCI、HIPPA、CIS、NISTといったメジャーなコンプライアンスポリシーの準拠状況をマルチクラウドで一気に俯瞰可能な強力ツール。

そんな抽象的な単語で説明されてもイマイチ意味分かんないと思うので、この記事では実際にAWSアカウントをスキャンしてみた結果なんかを紹介しつつ、どんなサービスなのかを紹介していきます。

（祭） ∧ ∧
　Y　 ( ﾟДﾟ)
　Φ[_ｿ__ｙ_l〉     Aqua 新ｻｰﾋﾞｽ ﾏﾂﾘﾀﾞﾜｯｼｮｲ
　　　 |_|＿|
　　　 し'´Ｊ

Aqua Waveとは？（CSPM）

今回紹介するプロダクトの公式紹介ページはこちら。

CSPM Cloud Security Posture Management | Aqua Security

CSPMという単語自分初めて聞いたのですが、要約すると、AWS、Azure、Google Cloud、Oracle Cloudなどパブリッククラウドを横断して、ベストプラクティスとコンプライアンス基準にしたがって、クラウドアカウント内の構成問題をスキャン、監視、修正するサービスです。

ページの下の方にエディション情報があり、SaaS版とOSS版があります。

今回は、この「Start Free」版から初めていきます。

サインアップとパブリッククラウドアカントの追加

サインアップ方法はこちら。

Sign Up for a Trial : Aqua Wave

パブリッククラウドアカウントの追加（自分はAWSアカウントを一つ追加）はこちらを参照に進めていきます。

Run Your First Cloud Account Scan : Aqua Wave

簡単な流れとしては、CloudFormationを実行し、Aqua WaveがアクセスするためのIAMロールを作成後、そのARNをAqua Wave側に入力することで、SaaS連携が完了します。

アカウント連携後、最初のScanをクリックして暫く経つと、ダッシュボードにこのようにAWSアカウントでのスキャンサマリーを確認することができます。

今回のブログで利用しているプラン

Aqua Waveのライセンス体系はこちら（Plans & Pricing | Aqua Wave SaaS cloud security）。

今回ブログで紹介しているプランは、「Advanced」。14日間のお試し期間中に実施しています。ノンプロダクション環境であれば、各種成約はあれど無料で使うことができます。月次とはいえスキャンするプラグインに制限は無いみたいなので、最低限のクラウドアカウントのスキャンを実施したい場合は、Free版でもある程度の利用は可能かと思われます。コンプライアンスレポートが非常に強力なので、それを利用する場合は、「Team」以上が必要となりそうですね。

改めてAqua Wave CSPMの概要

公式ドキュメントからCSPMの概要をサマリーで振返り。

CSPM Overview : Aqua Wave

CSPMはインフラのコントロールプレーンで動作し、パブリッククラウド上の様々なリソースやサービス、イベントをクエリして監視。その構成が適切に構成されており悪意ある活動がないかどうか、様々な規制やフレームワークに準拠しているかどうかを確認します。

CSPMの検知対象例

公開されているストレージやバケット
意図しないパブリックアクセスが設定されたコンピューティングリソース
クラウドサービス間や内部処理における暗号化の利用
リソースへの最小アクセス権限
ファイアーウォール、ロググループ、アカウント設定など重要なリソースの変更
未使用であるはずのリージョンにおけるリソースの使用

CSPMと各パブリッククラウドのビルトインサービスとの違い

例えばAWSにはSecurity Hubなどのマネージドなセキュリティ検知サービスがありますが、Aqua Wave CSPMはこれらの機能と直接競合するものではなく、より包括的なセキュリティプログラムの一部として導入する必要があります。

マルチクラウド、複数リージョンなど管理対象クラウドの全てに統一的なダッシュボードを提供
デプロイが簡単
Aquaセキュリティ専門部隊による継続的な、検知対象の更新
クラウドセキュリティ全般に渡る広範な統一操作、レポート、分析結果の提供

強みはなんと言っても、マルチクラウドで使えるということでしょうね。それぞれパブリッククラウドのビルトインサービスのさらに上のレイヤーで統一的に管理できるのは確かに便利かも。

Aqua Wave CSPMでAWSアカウントをスキャンしてみた結果

というわけで、実際に自分のアカウントに対してスキャンしてみた結果を紹介しながら、どんな内容が検知可能なのかを見ていきます。

Scan

Aqua Waveでは、クラウドアカウントの脆弱性スキャンをプラグイン方式で行います。このプラグインは、例えばAWSであれば、インターネットにフル公開されたSSHポートの検出や、パブリックアクセス可能となっているS3バケットの検出など、各クラウドプロバイダの固有の機能に即したプラグインが、用意されており、そのプラグインベースで、脆弱性スキャンが実施されます。

Scanメニュークリック直後は、全アカウントのセキュリティスキャン結果の数値が時系列で表示されています。

「Scan Reposts」をクリックすると、詳細なスキャン結果を確認可能。

スキャン用のプラグインには、例えば、CloudTrail Bucket Delete Policy、Maximum Password Age、Password Reuse Prevention、Minimum Password Lengthなどのスキャンルールが設定されており、それぞれに対して、各リージョンでの適合状態を確認可能です。

このプラグインは、AWSだけで196項目（2020年11月現在）用意されており、それぞれの適合条件も個別にカスタマイズが可能となってます。

Compliance Report

コンプライアンスレポートへの適合条件をひと目で把握する機能です。これ、めっちゃ便利です。レポート対象のクラウドアカウントを選択すると、それぞれのコンプライアンス条件への適合度がひと目で閲覧可能です。

閲覧可能なコンプライアンスレポートは以下の通り。メジャーどころのコンプライアンスレポートが一通り含まれているのは、素晴らしいですね。AWS Well-Architected Framework - Securityが含まれているのも便利です。

PCI
- The Payment Card Industry Data Security Standard (PCI DSS) is a set of security standards designed to ensure that ALL companies that accept, process, store, or transmit credit card information maintain a secure environment.
HIPAA
- The Health Insurance Portability and Accountability Act of 1996 is United States legislation that provides data privacy and security provisions for safeguarding medical information.
AWS Well-Architected Framework - Security
- The Well-Architected Framework is a set of AWS-provided guidelines for ensuring cloud excellence across five pillars, including security.
AWS CIS Benchmarks
- CIS Amazon Web Services Foundations v1.2.0
Azure CIS Benchmarks
- CIS Microsoft Azure Foundations v1.1.0
GCP CIS Benchmarks
- CIS Google GCP Foundations v1.0.0
General Data Protection Regulation (GDPR) EU
- The GDPR is a regulation in EU law on data protection and privacy in the European Union and the European Economic Area. While primarily process-driven, there are a number of technical controls that can be followed.
SOC 2 Type 2
- SOC for Service Organizations, Trust Services Criteria - A type 2 report on management's description of a service organization's system and the suitability of the design and operating effectiveness of controls. (Currently in Preview only)

Integrations & Alert

スキャン結果や各種イベントを通知する機能もあり、任意のプラグインとインテグレーションを組み合わせることで、通知を自由に設定することができます。

IaCの脆弱性スキャン

Infrastructure as Codeの内容をスキャンして脆弱性を検知する機能。CloudFormationとTerraformに対応しており、それぞれの設定ファイルをスキャンして、脆弱性が含まれるインフラコードを検知できます。

ツール：CloudTrailのTail

すべてのAPI操作が記録されるCloudTrailですが、その閲覧は結構めんどくさかったりします。そんなCloud TrailをリアルタイムにTailし、グラフィカルに確認するためのツールも用意されています。

各種パブリッククラウドの複数アカウントを横断的にコンプライアンス確認するための強力なサービス

とりあえず、今回は一つのAWSアカウントのみをスキャン対象として、ベースの機能を確認してみました。特に協力と感じたのは、その設定の容易さと約500種にもおよぶセキュリティプラグインの豊富さ、8種におよびコンプライアンスポリシーの準拠確認機能です。

月$849の「Team」ライセンス以上であれば、登録するクラウドアカウントの数に制限はなく豊富なプラグインとコンプライアンスポリシーの準拠状況を日次で管理することが可能です。

最近は、複雑なビジネス要件に応えるため、各種パブリッククラウドの長所を組み合わせたマルチクラウド環境も珍しくなくなってきました。各パブリッククラウドには、それぞれ固有のビルトインセキュリティツールが用意されていますが、それらを統合的に閲覧し管理することができるツールとして、非常に強力なAqua Wave。

とりあえず、「Advances」プランの14日間トライアルであれば速攻登録可能、かつ初期設定も非常に簡単なので準備は30分もあれば完了します。複数のアカウントをお持ちの方は、一度試してみてはいかがでしょうか。

それでは、今日はこのへんで。濱田（@hamako9999）でした。