この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
コンニチハ、千葉です。
insightwatchはCISベンチマークを採用しています。 CISベンチマークは全部で52項目チェックしますが、どんな重要なリスクを低減できるかという観点でのまとめてみました。
低減できるリスク
AWSセキュリティの中心にあるIAM情報の漏洩リスクの低減
IAMは、AWSのどのサービスを利用する時にも出てくる認証情報をつかさどるサービスです。このIAMに対するセキュリティ強化はとても重要な項目です。
rootアカウントが漏洩すると悪意ある操作がされます!!
rootアカウントはAWSアカウントで最強の権限を持っています。AWSアカウント停止もできます。勝手に大きなインスタンスを建てられてびっくりするような請求がきます。そのため、常日頃の運用やアプリケーションで利用すべきではありません。rootアカウントの常用をやめ漏洩リスクを低減しましょう insightwatchでは、rootアカウントが利用されているかをチェックできます。
IAMユーザーが漏洩した場合、AWS環境を勝手に操作されます。不正ログインのリスクを低減しましょう。
AWSのコンソールはインターネット経由で、どこからアクセスできるためすごく便利です。逆にいうと、ログインID/パスワードが漏れてしまうと誰でもアクセスできちゃいます。オンプレではプライベートなネットワークで守られているため、ネットワークレベルで制限をかけることができました。インターネット接続だから危ない!って思うかもしれませんが、AWSではMFAという機能があります。これで守ります。ID/パスワードに加えてワンタイムパスワードを入力しログインします。このワンタイムパスワードは、定期的にパスワードがかわる + 特定のデバイスからのみ確認できるので、ID/パスワードが漏洩してもログインをブロックできます。 insightwatchではMFAが無効になっているユーザーが一発でわかります。
合わせて、読んでおきたい記事:AWSアクセスキーをGitリポジトリに混入させないために git-secrets を導入した これも合わせて導入しましょう!
不要なユーザー、キーの棚卸しによる不正アクセスのリスクを低減しましょう
長い間AWSを利用すると、古いIAM情報が残ったりします。そしてこの情報は古いがゆえに消していい情報なのか、判断がつかなかったりします。 insightwatchでは、利用していないIAM情報の一覧を表示できます。定期的に確認することで手間なく対策できます。
AWSへのログインパスワードが推測されて、アカウントが乗っ取られるリスクを低減しましょう
IAMのパスワードを強化し推測できないような複雑なものに設定しましょう。 insightwatchでは、IAM利用者が複雑なパスワードを設定するようにアナウンスします。
不正利用があった場合の調査するためのログを出力
AWSの操作ログを取得することで、影響範囲の調査が可能になる
AWSではCloudTrailという、AWSを操作のAuditログを取得することができます。これはデフォルトでは無効になっているので有効にする必要があります。このログがないと、何かあった時に調査ができなくなるため、必ず有効化しましょう。 insightwatchでは、全リージョンに対して適切にCloudTrailが設定されているかをチェックします。
セキュリティに関するリアルタイムモニタリング
リアルモニタリングを有効にすることで、AWSアカウントへ不正アクセスしようとしているか、また勝手に環境の変更が行われていないか、すぐに気づくことができます。
不正にAWSへログインしようとしているかに気づく
権限がないのにAPIをコールしようとしてたり、AWSへのログイン情報を盗もうとして何度もログインを試みたりされる可能性があります。 insightwatchでは、権限がないAPIコールするだったり、AWSマネジメントコンソールへのログイン失敗時に通知する設定をアナウンスします。
不正に環境の設定を変更していないかに気づく
例えばせっかく監査ログを有効にしたのに、誤ったり不正に設定変更された場合、ログを確認できなくなってしまいます。このようなことがないよう、CloudTrail、IAMポリシー、S3バケットポリシー、AWS Config、セキュリティグループなどに対して設定変更が入るとアラームを通知します。 insightwatchでは、各リソース変更に対してアラームを設定するようにアナウンスします。
リスクのあるネットワーク設定を発見する
誰でもサーバーにアクセスできる設定になっていないかを発見する
OSへのログインの口を解放していると、ブルーフォースアタックによるサーバー乗っ取りのリスクがあります。接続できるIPを絞り、安全なサーバーへのアクセス経路を確保しましょう。 insightwatchでは、誰でもサーバーにアクセスできる設定になっているないかをチェックします。
さいごに
これらの項目を全部手動で対応しようとすると骨がおれます。また、複数アカウントを持っている場合、アカウントの数だけチェックする必要があります。insightwatchだと、複数アカウントにたいしてCISベンチマークの結果を見ることができます。セキュリティリスクを低減しつつ、安心してAWSを利用できるので是非試してみてください。 チェック項目は随時追加していってるので、色々フィードバックいただけると嬉しいです!