AWS Firewall Manager のリソースクリーンアップ機能を試してみる

いわさ

2022.10.01

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

いわさです。

AWS Firewall Manager は AWS Organizations を前提としたサービスですが、セキュリティポリシーには「スコープ」という概念があって、これを使うことで組織内のどのアカウントや OU が保護対象となるかをカスタマイズすることが出来ます。

そして、スコープに関連する設定値として「リソースクリーンアップ」という機能があります。
こちらを使うと、それまでスコープ内で保護されていたアカウントがスコープ外となった場合に、保護に必要なリソースを自動削除します。

本日はこちらのリソースクリーンアップを使う場合と使わない場合で、保護されたリソースがどのようになるのかを実際に検証してみましたので紹介します。

リソースクリーンアップ有効化方法

リソースクリーンアップ自体はセキュリティポリシー内で編集メニューから以下のように有効化を行うだけですぐに使えるようになります。
デフォルトは無効化状態です。

自動削除設定の挙動を確認

ではまずは有効にした時の挙動を確認してみます。

前提として、スコープ外にする対象アカウントではもともとhogealbという Web ACL をアカウント独自で作成し ALB に紐付けを行っていました。
その後 Firewall Manager で AWS WAF を有効化したことで、独自 Web ACL は関連付けが解除され、Firewall Manager によって配布された Web ACL が関連付けられていました。

それでは、セキュリティポリシーで AWS WAF を有効化した状態で、対象アカウントをスコープ外にしてみましょう。

まず、スコープ対象のアカウント一覧から除外されました。

さらに、Web ACL 一覧を確認すると Firewall Manager で配布されていた共通 Web ACL が削除されていました。

そして ALB はというと、以下のように AWS WAF の統合が解除されていました。
元々独自で関連付けられていたhogealb Web ACL は削除はされていませんが、再度自動で関連付けされることはありませんでした。

このようにスコープ外となったアカウントでこれまで保護されていたリソースが保護されなくなりました。
想定していた動作というところでしょうか。

自動削除設定しない挙動を確認

さて次はリソースクリーンアップを無効化した状態で、対象アカウントをスコープ外にしてみましょう。

上記が無効化された状態で、自動削除されないぜと説明されていますね。
さて、ここからアカウントをスコープ外にしてみましょう。

ALB を確認してみると AWS WAF が統合されたままの状態でした。
しかも Firewall Manager で自動配布された Web ACL が関連づいたままです。

これは Web ACL はどういう状態になっているのか気になりますね。見てみましょう。

この画像のように Web ACL としては設定が残ったままです。
ただし Firewall Manager でもう管理されていない旨が表示されていて、セキュリティポリシーで配布されたルールグループを削除することが出来るようになっていますね。
スコープ内の間は共通のルールグループは編集も削除も出来ない状態でした。

ただし、リソースに紐付いていない(保護に利用されていない)配布された Web ACL やセキュリティポリシーの遵守状況を確認するための Config ルールについては削除されます。

セキュリティポリシーの変更は反映されなくなる

この状態で以下のように Firewall Manager 側でルールグループを試しに更新してみましょう。

以下はスコープ内のアカウントの Web ACL です。
ルールのひとつを削除したのですが、Web ACL 側でも反映されていますね。

以下はスコープ外になったアカウントに残った Web ACL です。
こちらはセキュリティポリシー側での変更が反映されていないことが確認出来ました。

一応ルールは引き続き使えるが最新の状態への追従はされないぜ。というところですね。

管理化から外れたことで何が出来るようになったか

先日以下の記事で Firewall Manager で自動作成される Web ACL で、何が変更出来て何が出来ないのかを確認しました。

管理化から外れたことでこの制約がなくなっています。

まず、先程の Web ACL のメッセージからルールグループが削除出来るようになりました。

さらに、ログの有効化設定など変更できなかったところの変更も出来るようになっています。
通常の Web ACL と同様と考えて良さそうです。

さいごに

本日は AWS Firewall Manager のクリーンアップ機能を試してみました。

スコープから外れた際には全く保護されない状態になるのでリソースクリーンアップを有効化する場合はその挙動を事前に理解しておいたほうが良いですね。
その上でそれを許容するか、あるいは無効化した上でスコープ外になった場合は手動で個別の設定を行うべきなのかを検討すると良さそうです。

スキルアップ|初心者向け|書評|デベキャン|AWS認定|スキルアップ|デベキャンだより|勉強会|コミュニティ

関連記事

[アップデート]AWS Firewall Managerは、「他のVPCのセキュリティグループIDを参照」するセキュリティグループを自動作成やリソースに適用できるようになりました

平井裕二

2023.10.06

[アップデート] AWS Firewall Managerのセキュリティグループ監査機能ですべてのIPアドレス範囲(0.0.0.0/0および::/0)を検出できるようになりました

杉金晋

2023.08.31

[アップデート] AWS Firewall Manager ポリシースコープ内にリソースが存在する場合のみ Web ACL が作成されるよう設定出来るようになりました

いわさ

2023.08.13

[レポート] Building a DDoS-resilient perimeter and automatic protection at scale #NIS372 #AWSreInforce

hiroyuki kaji

2023.06.15