[アップデート]AWS BackupでAudit Manager機能が追加されたのでやってみた

AWS BackupにAudit Manager機能が追加されました。隅々まできちんとバックアップできているか、コンプライアンスチェックが可能です。AWS Audit Managerとの連携も!
2021.08.25

こんにちは、臼田です。

みなさん、バックアップしていますか?(挨拶

今回はAWSの各種リソースをいい感じにバックアップしてくれるAWS BackupにAudit Manager機能が追加されたのでやってみました。

Introducing AWS Backup Audit Manager

AWSのセキュリティイベントであるre:Inforce 2021内でしれっと発表されました。

概要

バックアップは様々な意味合いで重要です。システムに障害があった場合に復旧したり、DRサイトに展開したりします。最近ではランサムウェアの対策としても重要であると言われたりしています。(re:Inforce内でも言及されました)

バックアップの役割自体はAWS Backupで行えますが、それがAWSアカウント全体で、プロジェクト全体で、あるいは組織全体のガバナンスとして適切に行えているか、これを管理していく必要があります。

AWS Backupでは今回Audit Manager機能が追加され、適切にバックアップが取得できているかチェックする「フレームワーク」機能と、チェックした結果を出力する「レポート」機能の2つが利用できるようになりました。

これらによって管理部門の以下の問に答えることが可能になります。

  • 「すべてのリソースをバックアップしていますか?」
  • 「すべてのバックアップは暗号化されていますか?」
  • 「バックアップは毎日行われていますか?」

参考: Audit backups and create reports with AWS Backup Audit Manager - AWS Backup

また、名前にAudit Managerとあり、これはAWS Audit Managerと名前被りしていますが、AWS Backup内にAudit Managerという名前の機能が追加され、さらにこれがAWS Audit Managerと連携できる様になっています。ちょっと分かりづらいですね。

すでにほとんどのリージョンで対応していて東京も対応しています。大阪は対応していません。

やってみた

今回はフレームワークとレポートを見ていきます。AWS Audit Managerとの連携は取り上げません。

AWS Backupの画面にアクセスすると左下にAWS Backup Audit Managerの2つの機能が表示されています。

フレームワークによるコンプライアンスチェック

まずフレームワークを作っていきます。

適当な名前を入れてデフォルトのフレームワークを作ってみます。

作成すると5つのコントロールが展開されました。これはAWS Config Rulesを利用したコンプライアンスチェックルールですね。

以下5つの項目になります。

  • バックアッププランによって保護されたバックアップリソース
  • バックアップ計画の最小頻度と最小保持
  • バックアップはリカバリポイントの手動削除を防止
  • 暗号化されたバックアップリカバリポイント
  • バックアップリカバリポイントの最小保持

詳細は以下のUserGuideで確認できます。

AWS Backup Audit Manager controls and remediation - AWS Backup

しばらくすると評価されます。私の環境は検証用なのであんまりバックアップできていないですね。バックアッププランによるバックアップ対象ではないリソースがたくさん検知されました。

出てきたものを是正することを検討するといいでしょう。

レポートによる確認

続いてレポート機能です。ページにアクセスしてレポートを作成します。このレポートは単発のものではなく、継続的にレポートを生成し続ける設定になります。

バックアップジョブ・復元ジョブ・コピージョブのレポートテンプレートがあります。今回はバックアップジョブを選びます。

レポート名が自動で入力されますが、日本語で生成されてうまく動かなかったので英名にしました。

出力方式としてCSVとJSONが選択できます。対象のS3バケットを選びます。バケットポリシーの変更が必要で、ポリシードキュメントを作ってくれるのでこれをコピーしてS3側で変更をかけてからレポートを作成します。

レポートの設定はできましたが実態はまだ出来上がってないので、今回は結果の更新ボタンを押して生成します。何もしないと24時間おきに自動で生成してくれるようです。

しばらくして生成されたら表示してみます。

S3の該当箇所に飛ぶのでダウンロードして見てみます。

中身は以下のようなデータがありました。

{
  "reportItems": [
    {
      "reportTimePeriodStart": "2021-08-23T18:43:37.626Z",
      "reportTimePeriodEnd": "2021-08-24T18:43:37.626Z",
      "accountId": "999999999999",
      "region": "ap-northeast-1",
      "backupJobId": "xxxxxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx",
      "jobStatus": "COMPLETED",
      "resourceType": "EBS",
      "resourceArn": "arn:aws:ec2:ap-northeast-1:999999999999:volume/vol-999999999999",
      "creationDate": "2021-08-24T18:20:03.159Z",
      "completionDate": "2021-08-24T18:29:26.365Z",
      "recoveryPointArn": "arn:aws:ec2:ap-northeast-1::snapshot/snap-99999999999",
      "jobRunTime": "00:09:23",
      "backupSizeInBytes": 32212254720,
      "backupVaultName": "Default",
      "backupVaultArn": "arn:aws:backup:ap-northeast-1:999999999999:backup-vault:Default",
      "iamRoleArn": "arn:aws:iam::999999999999:role/service-role/AWSBackupDefaultServiceRole"
    }
  ]
}

まとめ

AWS BackupでAudit Manager機能が追加され、バックアップのコンプライアンスを確認することが出来るようになりました。

バックアップ漏れが無いか全体的にチェックしたりできるので良さそうですね。

是非活用してみてください。