CloudGuard Dome9 の Security Group に対するリージョンロック機能を試してみた

2021.04.05

こんにちは、岩城です。

CloudGuard Dome9(以下、Dome9)のリージョンロック機能を試す機会がありましたので紹介したいと思います。

Dome9とは

Dome9はAWS、Azure、GCPを対象にクラウドセキュリティポスチャ管理(CSPM)機能を提供するクラウドサービスです。

AWSアカウントと連携させるとルールに基づきセキュリティチェックできたり、セキュリティグループやIAMを管理することができます。

たとえば、セキュリティグループについては、Dome9からの変更のみを有効とすることができ、Dome9外で変更された場合、改ざん防止機能(Tamper Protection)が動作し設定を戻することができます。

リージョンロックとは

新しくセキュリティグループが作成された場合、そのセキュリティグループを管理するモードを設定することができ、そのモードの中にリージョンロックがあります。

  • Read-Only(Monitor mode)
    • 新たに検出されたセキュリティグループとそのルールはDome9にインポートされ、「読み取り専用」のセキュリティグループとして設定されます
    • これらのグループは、Dome9によって変更が監視されますが、Dome9の外部で変更することもできます
  • Full protection(CloudGuard managed)
    • 新たに検出されたセキュリティグループとそのルールはDome9にインポートされ、「完全保護(CloudGuard Managed)」のセキュリティグループとして設定されます
    • それ以降のセキュリティグループの変更は、Dome9コンソールまたはDome9 APIを使用して行う必要があります
    • Tamper Protectionは、Dome9にインポート後に有効になります
  • Region Lock(リージョンロック)
    • 新たに検出されたセキュリティグループはDome9にインポートされ、直ちにそのルールがインバウンドとアウトバウンドの両方で削除されます
    • このモードでは、Dome9コンソール上で変更されない限り、リージョンに対してネットワークの変更が行われません

デフォルトではRead-Onlyで設定されますが、リージョンロックを利用することで、普段利用しないリージョンのセキュリティグループを制限できます。

やってみた

本エントリでは、Dome9とAWSアカウントの連携は済んでいるものとします。

ASSETSにあるEnvironmentsで対象アカウントを選択します。

NETWORKタブを見ると、リージョン、Detection Mode、セキュリティグループの数を確認することができます。各リージョンのDetection Modeがデフォルト値であるRead-Only(Monitor mode)であることが分かります。

本エントリでは、ソウルリージョンをリージョンロックし、セキュリティグループを作成した後、インバウンドおよびアウトバウンドルールが削除されることを確認します。

ソウルリージョンのDetection ModeがRegion lockであることを確認します。

ソウルリージョンにて、region_lock_sgという名前でインバウンドおよびアウトバウンドがフルオープンのセキュリティグループを作成します。

しばらくすると、作成したセキュリティグループがDome9にインポートされます。

リージョンロックでは、セキュリティグループはインポートされますが、インバウンドおよびアウトバウンドのルールが削除されるはずなので実際に確認してみます。

削除されていました!

おわりに

リージョンの制限自体は、SCPやIAMポリシーなどAWS単体でも可能です。この機能を利用するためだけにDome9を利用することはないかと思いますが、便利機能だと思い紹介しました。