Sophos Cloud OptixによるAWS環境の管理

Sophos Cloud Optixをご紹介します。Cloud Optixはパブリッククラウドを対象にしたエージェントレスのSaaS型サービスです。クラウド環境の可視化をできるほか、設定がコンプライアンスに沿っているか確認できます。

環境のセットアップ

https://optix.sophos.comからログインすると、ポップアップが表示されるので、AWSのセットアップを開きます。検証用に30日間の利用が可能です。

セットアップは、CLIかTerraformで行います。Terraformでできるのは素晴らしいですね。

CLIでの手順を紹介します。セットアップスクリプトをダウンロードします。

$ curl -s https://avidcore.s3-us-west-2.amazonaws.com/configScript.sh -o cloudOptixConfigScript.sh 

Custom settingsを選択します。

VPCフローログを有効にするリージョンを選びます。デフォルトでは全てのリージョンで有効になりますが、今回は東京のみ有効にしました。

Lambda関数などが作成されるデフォルトのリージョンは東京にしました。

既存のCloudTrail設定をそのまま使いたいため、CloudTrailの名前を入力しました。デフォルトでは、新しいCloudTrail設定が作成されます。

コマンドが表示されるので、実行します。コマンドに必要な権限はこちらをご覧ください。今回はAdministrator権限でMacから実行しました。スクリプトが行う変更はこちらをご覧ください。ざっくりいうと、CloudTrailやVPCフローログの設定を行い、CloudOptixがそれらの情報を閲覧できるようにします。

香港リージョン(ap-east-1)でエラーが発生しましたが、リージョンを有効化していないためであると考え、無視しました。

Doing region specific operations for region:  ap-east-1

An error occurred (UnrecognizedClientException) when calling the CreateFunction operation: The security token included in the request is invalid
LAMBDA_FN:   created in Region:  ap-east-1

連携状態は、Settings>Environmentsで確認できます。

環境の削除

セットアップで作成されたリソースは、以下のスクリプトで削除できます。

curl -s https://avidcore.s3-us-west-2.amazonaws.com/undo-add-account.sh -o undo-add-account.sh
undo-add-account.sh

ダッシュボード

CloudOptixの機能を見ていきます。ダッシュボードではアラート件数などを確認できます。

アラート

Critical/Hight/Medium/Lowの4段系でアラートが表示されます。テスト用のIAMユーザーにMFAを割り当てなかったところ、Criticalでアラートが上がりました。

インベントリ

Host、IAM、Network、Serverless、Storageの情報を確認できます。

トポロジ

トポロジでは、AWS環境の可視化が可能です。以下の例では東京リージョンに3つのVPCがあることがわかります。

VPCを選択すると、VPC内のリソースを確認できます。

EC2を選択すると、EC2のインバウンドとアウトバウンドのトラフィックを確認できます。

コンプライアンス

コンプライアンスでは以下のルールの適合状況やレポートを確認できます。

  • AWS - CIS Benchmark v1.1
  • AWS - EBU R 143
  • AWS - FEDRAMP-LowBaseline Compliance
  • AWS - FEDRAMP/NIST800-53-High Compliance
  • AWS - FEDRAMP/NIST800-53-Low Compliance
  • AWS - FEDRAMP/NIST800-53-Moderate Compliance
  • AWS - FFIEC Cybersecurity Assessment
  • AWS - GDPR
  • AWS - HIPAA Security Rule
  • AWS - ISO 27001
  • AWS - PCI DSS 3.2
  • AWS - SOC2 (TSP Section 100A-1)
  • AWS - Sophos Cloud Optix Best Practices

設定

Jira、Slack、PagerDutyなどとの連携が可能です。今風ですね!

最後に

Sophos Cloud Optixをご紹介しました。大規模にAWSを利用すると、用途が不明なEC2が発生したり、セキュリティ設定に不備のあるリソースが大量に作成されるなどするため統制が必要になってきます。Cloud OptixはAWS環境を可視化したり、ポリシーに沿っているか自動的に確認することで統制を支援してくれます。今後の記事では、各機能について深掘りして紹介していきます。

参考