(レポート) SEC318: AWS CloudTrail Deep Dive #reinvent

2015.10.10

はじめに

川原です。

現在、弊社ブログはラスベガスの re:Invent 2015 一色となっています、今さら言うまでもないことではありますが。。。 ということで、私は日本からですが、CloudTrailに関するセッション資料を紹介したいと思います。

概要

タイトル:AWS CloudTrail Deep Dive 講話者:Sivakanth Mundru, Product Manager, AWS CloudTrail

スライドの目次:

  • Introduction to AWS CloudTrail and use cases
  • Deep dives on use cases
  • CloudTrail for multiple AWS accounts
  • Encryption using KMS and Log file integrity validation
  • AWS Partner solutions integrated with CloudTrail

CloudTrail の紹介ではじまり、CloudTrailの応用的な使い方や新機能に関する紹介がされています。

Use cases enabled by CloudTrail

CloudTrail のユースケース(使用場面、用途)として以下が挙げられています。

  1. セキュリティ管理者がセキュリティ分析を行う。
  2. セキュリティ管理者やDevOpsエンジニアがAWSリソースの変更をトレースする。
  3. DevOpsエンジニアがオペ操作のトラブルシュートを行う。
  4. IT監査人がコンプライアンス補助のためにロギング(蓄積)する。

私の場合は役割上、3のユースケースとして活用することが多いかな、と思います。

What can you answer using a CloudTrail event?

CloudTrail イベントに記録されるものは? ということで以下が挙げられています。

  • Who made the API call? (誰がそのAPIをコールした?)
  • When was the API call made? (いつそのAPIをコールした?)
  • What was the API call? (そのAPIは何?)
  • Which resources were acted up on in the API call? (そのAPIはどのリソースに影響を与えた)
  • Where was the API call made from and made to? (そのAPIはどこからコールされて、どこにコールした?)

次の(CloudTrailが記録したイベントと思われる)JSONファイルを見て頂けると雰囲気がつかめると思います。

スクリーンショット 2015-10-10 7.44.26

CloudTrail for multiple AWS accounts

スクリーンショット 2015-10-10 7.48.35

複数のAWSアカウントのCloudTrailログを1つのS3バケットに集約することができるようです。 これは便利です。ログを収集するのに、1つのAWSアカウントのS3にアクセスできればいいことになります。

Encryption using KMS (New)

スクリーンショット 2015-10-10 7.49.02

KMSを使ってCloudTrailログを暗号化できるようになったようです。 記録されている内容からして秘匿性が高い情報ですので、これは嬉しい機能追加です。

Log file integrity validation (New)

スクリーンショット 2015-10-10 7.50.48

ハッシュを使ったログの完全性確認ができるようになったようです。 これにより、CloudTrailログファイルの改竄を行うことは難しくなりました。 監査ログとしての精度があがりました。 CloudTrailログの用途を考えると嬉しい機能追加です。

まとめ

いかがでしたでしょうか? 個人的には複数AWSアカウント分のCloudTrailログを1つのS3バケットに集約できる、という事を知れたのは収穫でした。