[Dome9] Compliance Policies による継続的なコンプライアンス評価結果を Slack に通知できるようになりました

Dome9 に追加された新機能 Slack Integration を紹介します。
2020.06.26

こんにちは。岩城です。

本日は、Dome9 に追加された新機能である Slack Integration を紹介したいと思います。

Dome9 には、SOC2、PCI-DSS などのコンプライアンスフレームワークを元に AWS/Azure/GCP/k8s 環境に対してセキュリティやコンプライアンスが遵守されているか評価できる機能があります。これを Compliance Rulesets と呼びます。 Compliance Rulesets は、Compliance Polices と呼ばれる機能と組み合わせることで継続的に評価することが可能です。

また、継続的な評価の際、ポリシーに反した設定があれば通知することも可能です。従来の通知先は、メール、Amazon SNS、HTTP エンドポイント(Splunk や ServiceNow などへの連携)、Securyty Hub でしたが、 今回のアップデートにより、Slack も選択できるようになりました。

なお、本エントリでは Dome9 の基礎的なことは扱いません。Dome9 について、より詳細に知りたい方は以下のエントリを参照してください。とても分かりやすくまとめられており、私も勉強になっています。

やってみた

それでは試してみます。

Compliance Policies -> ADD POLICY-> Cloud Account Policy をクリックします。

AWS を選択します。

Dome9 と連携が済んでいるアカウントのリストが表示されます。評価したいアカウントを選択します。

様々な Ruleset がありますが、本エントリでは AWS Dome9 Checkup を利用して検証します。

ADD NOTIFICATION から通知方法を設定します。

色々設定項目はありますが、今回は Slack 通知のみ設定します。 Send report summary to Slack channel(Compliance only) をチェックします。Slack's webhook URL を入力後、SAVE します。

ちなみに、webhook URL は Slack アプリの Incoming Webhook の設定を行うと知ることができます。詳細は省略します。

Slack チャンネルとの連携がうまくいくと以下のようにチャンネル上にメッセージが表示されます。

通知設定は以上です。通知設定が完了するとリストに表示されるので選択して SAVE します。

AWS Dome9 CheckUp と Test_Skack が関連付いたポリシーが作成されました。

このポリシーをトリガーとした継続的な評価は、ASSESSMENT HISTORY を見る限り大体 1 時間ごとに行われているようです。

評価のタイミングでルールに反している設定があれば、以下のような内容で通知されます。

Detailed Report をクリックすると、Dome9 のコンソールに移動して Compliance Rulesets の評価結果を確認できます。

おわりに

一点注意が必要なのですが、Compliance Rulesets による評価は、前回評価からの差分を通知してくれるものです。このため、次回評価時に通知がないからといって問題が解消されたわけではない場合がありますので注意してください。

本エントリがどなかたのお役に立てれば幸いです。