(レポート) SEC314: AWS Configによる設定の完全な可視化と制御/NEW LAUNCH! AWS Config Rules #reinvent

(レポート) SEC314: AWS Configによる設定の完全な可視化と制御/NEW LAUNCH! AWS Config Rules #reinvent

Clock Icon2015.10.10

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

森永です。
Config Rules激アツですよね。

認定者パーティが行われているのを横目に見ながらConfigセッションに行ってきました。

スピーカー

image01 copy copy

Prashant Prahlad
Senior Product Manager , Amazon Web Services

可視化

データセンターでは

データセンター時代は可視化するのが非常に困難だった

IMGP1634 copy

「誰がこのサーバを買って、何がこの上で動いているのか、わからない。」
「CMDBがあるが、ほこりをかぶっていて信じられない。」

クラウドでは

  • インフラはソフトウェアになった
  • 変更は頻繁になり、自動化され、影響も大きくなった
  • 各リソースは関係性がある

AWS Config

  • AWSリソースの一覧を取得
  • 新しいリソースや削除されたリソースを追跡
  • 常に設定の変更を記録
  • 設定変更時に通知

Configは構成、変更を「記録(Record)」→「標準化(Nomalize)」→「保管(Store)」→「配送(Deliver)」する。

IMGP1641 copy

AWS Config Rules

設定値が正しいかを検証するための機構

  • 設定変更をチェックするルールを設定
  • AWSが提供したルールを使用可能
  • Lambdaを使ったカスタムルールを設定可能
  • 自動的かつ断続的な監査
  • 設定変更や不適切な設定を確認するダッシュボード

Config Rulesの登場により、「記録(Record)」→「標準化(Nomalize)」→「保管(Store)」→「規定(Rules)」→「配送(Deliver)」となる

Get Started

使えるようになったらブログ記事書きます。お楽しみに。

ConfigのConcept

Configuration Item

設定された値やそれに関連する情報
以下の5つのコンポーネントからなる

  • Metadata
  • Common Attributes
  • Relationships
  • Current Configuration
  • Related Events

IMGP1647 copy

Relationship

AWSリソースごとの関係性 例えば、EC2インスタンスにEIPを割り当てる、セキュリティグループを割り当てるなど

ユースケース

セキュリティ分析

適切な設定がセキュリティにとっては非常に重要
設定変更を常に監視しているので、不適切な設定変更があった場合に対応できる

マネージドのルールとして以下のものがある

  • 全てのEC2がVPC内になければならない
  • 全てのEBSボリュームは暗号化されていなければならない
  • CloudTrailが有効化されている、かつ適切なS3バケット、SNSトピック、CloudWatchLogsが設定されている
  • 割り当てられているセキュリティグループに開放された22番ポートが存在しない
  • 全てのEIPがインスタンスに割り当てられている
  • 全てのリソースに必要なタグ付けがされている
  • 割り当てられているセキュリティグループに開放された特定のポートが存在しない

また、カスタムルールを作成することも可能
サンプルのLambdaファンクションがあるので、それに手を加えて作るのが楽
ガイドラインに沿ったルールを定義することが出来る AWSパートナーが提供するルールもある

監査、コンプライアンス

コンプライアンス上、システムの状態を知る必要がある
特にPCIやHIPAAなどに準拠するには必須 Configであればどのタイミングでも、設定値を確認可能

既存のCMDBと連携も可能

変更管理

変更によってどんな影響があるか

トラブルシューティング

何を変更したの?という質問に答えらるのは非常に重要
Configでは変更情報がすべて残り、履歴で閲覧可能

ディスカバリ

どんなリソースが存在しているか、どんなリソースが存在しなくなったかを確認可能

カバー範囲

Configがカバーしているリソースは以下 - Amazon EC2 - Amazon EBS - Amazon VPC - AWS CloudTrail

今後追加される新機能でIAMに対応する!!!!
ユーザ、グループ、ロール、ポリシーの設定、変更履歴が分かるようになる! 勿論、ConfigRuleを使ったチェックも可能

EC2 Dedicated Hostにも対応予定

IMGP1672 copy

価格

Configは一回の設定変更につき $0.003
ConfigRulesは一つのルールにつき $2.00
20,000回の調査までは追加費用なし、それを超えた場合1回毎に $0.0001

他のセキュリティ系サービスとの使い分けは?

  • Inspector
    • オンデマンドの調査。EC2インスタンスの中身の調査。
  • Config Rules
    • 継続的な調査。ベストプラクティスに則っているか、設定ミスがないかの調査。
  • Trusted Advisor
    • 定期的な調査。コスト、パフォーマンスなどを目的とした調査。

IMGP1682 copy

エコシステム

IMGP1676 copy

最後に

しれっとIAM対応の話があってテンション上がりました。
皆さんもこれを機にConfig使いましょう!!!

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.