Cloud One Conformityでセキュリティの違反確認と修正をしてみた
こんにちは、コンサル部@大阪オフィスのTodaです。
トレンドマイクロ社が提供しているCloud One Conformityを試す機会がありましたので所有するAWS環境に設定してみました。
Cloud One Conformityとは?
Cloud One Conformityはクラウドインフラストラクチャを継続監視してセキュリティ、コンプライアンス対応状況の確認、可視化、レポート、自動修復をするソリューションです。
クラウド環境はAWSおよびAzureに対応、SOC2、ISO 27001、NIST、CIS、GDPR、PCI DSS、GDPR、HIPAA、AWSおよびAzure Well-Architected Framework、CIS Microsoft Azure Foundations Security Benchmarkなどのベストプラクティスチェックに対応して継続的なチェックをおこないます。
■ Cloud One Conformity
https://www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html
■ Cloud One Conformity 説明動画
www.trendmicro.com/ja_jp/business/products/hybrid-cloud/cloud-one-conformity.html?modal=s3a-icon-demo-0a5fe5
今回はConformityで通知されるセキュリティの違反確認と修正をしてみます。
前提条件
Conformityを試すため Cloud One のアカウント登録をおこないます。
登録後、30日間の体験版にて操作をしております。
セキュリティ違反の表示について
Conformityはセキュリティ違反が確認できた場合、ダッシュボードに概要・適合コンプライアンスステータス別・AWS リージョン別・違反内容の一覧で表示されます。
各項目でわかりやすいUIが用意されているため、管理者はダッシュボードを確認する事で状況の把握が可能です。
・概要
現状クラウド上に存在するセキュリティ違反数とリスク別の違反数が判断することができます。
検証環境のため違反数が多い状況ですが、整理ができるとSummaryのパーセントが100%に近い状態を維持するように管理者は対応をおこないます。
各項目には[Improve...]ボタンがあり押すことで違反箇所を一覧で確認する事ができます。
・適合コンプライアンスステータス別
Conformityには5つのステータスに分けて違反内容を管理しています。
ステータス別でパーセントにて管理されていて評価(Good compliance levelなど)表示されます。
- Security (セキュリティ)
- Cost Optimisation (コスト最適化)
- Operational Excellence (オペレーションエクセレンス)
- Reliability (信頼性)
- Performance Efficiency (パフォーマンス効率)
・リージョン別
AWSクラウドを管理するとリージョンに分けて違反内容を確認できます。
クリックをすることでリージョン別の違反数など情報が表示されます。
・違反内容の一覧
現在確認できている違反内容を一覧で表示します。
詳細は左の[+]ボタンをクリックすることで確認をすることができます。
対象サービスやカテゴリ、セキュリティリスクの表示は一覧で確認でき、詳細にて対象のリソース内容を把握する事ができます。
では実際にセキュリティ違反の確認と修正をしてみます。
今回は「EBS Encrypted」の違反を利用いたします。
セキュリティの確認
ダッシュボードの表示
Cloud Oneにログインをおこない、プラットフォームメニューから[Conformity]を選択します。
ダッシュボードを下にスクロールして「Most critical failures」を表示します。
違反の確認
一覧から「EBS Encrypted」の違反を探します。
「EBS Encrypted」はEC2に設定されているEBSが暗号化されていない場合に発生します。
カテゴリはSecurity、リスクはHighとなっています。
数は「FAILURE:3」となっているため3件の問題がございます。
違反のリソース確認
「EBS Encrypted」の左項目にある「+」をクリックすることで対象リソースを確認する事ができます。
AWSにログインをしている状態で「Link to resource」のリンクをクリックする事でAWS画面にて対象リソースを表示する事ができます。
違反の理由・修正確認
なぜ違反となっているか理由の確認と修正方法は一覧から簡易に確認する事ができます。
一覧内の[Resolve...]をクリックすることで別ウィンドウにてトレンドマイクロ社のConformity Knowledge Baseが
が表示されて違反理由と修正方法について確認する事ができます。
Conformity Knowledge Baseの内容は警告内容の確認方法と修正方法についてわかりやすく記入がされています。
■ (参考) AWS AMI Encryption
https://www.cloudconformity.com/knowledge-base/aws/EC2/ami-encrypted.html
実際にAWS環境にてリソースを確認すると暗号化なしにてEBSが作られていることを確認できます。
修正の実施
Conformity Knowledge Baseの内容を元にEBSの暗号化を1件実施しました。
作業内容の詳細は割愛しておりますが、上記内容を元に暗号化されたEBSを再作成してEC2にアタッチする対応をいたしました。
実施後は、改善されているかの確認をする必要がございます。
再チェック
Conformityのチェックは1時間や指定の期間にておこなわれます。
すぐにチェックをする場合は、ダッシュボード/Summary内の[Run Conformity Bot]をクリックします。
チェックは5分~10分かかります。
修正の確認
Botによるチェックが終わった後に「EBS Encrypted」の項目を再確認します。
ダッシュボード/Summary内の[Browse all checks...]をクリックします。
一覧から「EBS Encrypted」の項目を確認すると「FAILURE:2 SUCCESS:1」になっております。
上記にて1リソースの違反が修正できたことになります。
さいごに
今回はCloud One Conformityの機能を利用して違反確認と実際の修正をしてみました。
少しでもお客様の参考になればと考えております。