[Dome9/CloudGuard Posture Management]ALBにアタッチされたSecurity Groupを除外して評価する

こんにちは、岩城です。

※Dome9はCloudGuard Posture Managementという名前に変更となりましたのでご注意ください。

CloudGuard Posture Management（Dome9）は、IaaSのセキュリティ設定を見える化し、人為的設定ミスの回避、コンプライアンス遵守を支援するセキュリティサービスです。

予め用意されているマネジメントルールを元に簡単にセキュリティチェックできる点が魅力のひとつです。

実際に利用を始めるとマネジメントルールだけではカバーできないケースが発生しますが、カスタムルールを定義することで解決できる余地があります。

本エントリでは、Security Groupのインバウンドルールに0.0.0.0/0が設定されていて、ALBにアタッチされている場合は除外するカスタムルールを実現する評価式を紹介します。

ALBはHTTPSやHTTPの場合、0.0.0.0/0でインバウンドルールに設定するケースが多く、ALBにアタッチされているSecurity Groupを除外したいニーズに応えることができると思います。

評価式

評価式は以下のとおりです。

SecurityGroup where not networkAssetsStats contain [ type='ApplicationLoadBalancers' and count>0 ] should not have inboundRules with [ scope='0.0.0.0/0' ]

意味としてはこんな感じです。

試してみた

ALBにアタッチされたSecurity Groupall-sg-for-albとアタッチされていないSecurity Groupall-sgを用意します。

Dome9のGSLビルダーという機能を利用して、評価式が想定どおりALBにアタッチされたSecurity Groupを対象外とするか確認します。

ALBにアタッチされたSecurity Groupであるall-sg-for-albが合格となり、ALBにアタッチされていないall-sgが不合格として評価されました！

おわりに

本エントリがどなかたのお役に立てれば幸いです。