AWS Hands-on for Beginners Security「アカウント作成後すぐやるセキュリティ対策」を試してみた

AWS

AWS Hands-on for Beginners

hisacomです

以前行ったハンズオンのネクストステップとして「アカウント作成後すぐやるセキュリティ対策」を試してみました。

AWS Hands-on for Beginnersは2020年に収録された、手を動かしながらAWSを学習することのできるハンズオン動画集です。

今回のハンズオンではAWSアカウントを取得後に、サービスを使い始める前にやっておきたいセキュリティ対策を実施するハンズオンとなっています。

osushi-engineer.hatenablog.com

 アカウントのセキュリティ対策に関しては、アカウント作成時すでに個人で行っていたのですが、中身を理解していたわけではないことと、気づかないだけで漏れがある可能性も考慮してこのハンズオンを試すことにしました。

ハンズオンをやりながら気になったことや、用語の補足説明も混ぜて記述しているので、同様にハンズオンを試す予定の方やの参考になれば幸いです。

pages.awscloud.com

 

以下の10ステップでハンズオンが行われます。

1.  ハンズオンの概要
2.  AWSのセキュリティ
3.  IDアクセス権管理 (1)✋
4.  IDアクセス権管理 (2)✋
5.  請求データの確認とアラート✋
6.  操作履歴とリソース変更履歴の記録✋
7.  脅威検知✋
8.  ベストプラクティスの確認✋
9.  まとめ
10. 作成したリソースの削除

AWSのセキュリティ

AWSのセキュリティについてAmazonではどのように考えていて、どのような情報を公開しているのかの説明を受けます。
何か疑問を持った時は下記サイトにアクセスすることで調べることができるようです。

aws.amazon.com

 IDアクセス権管理

rootユーザー:メールアドレスとパスワードでログインできる。すべての操作ができる管理者権限をもつアカウント
IAMユーザー:サービスを使用するだけのアカウント
リージョン:このハンズオンではリージョンの設定を”北部バージニア”に設定してくださいと繰り返し伝えられます。AWSでの"リージョン"というのは世界21箇所にあるデータセンターのことです。
なぜ北部バージニアリージョンを設定するのかについての説明はありませんでしたが、おそらくリージョンによって使えるサービスの種類やコストに違いがあるとのことなので、それを利用者で合わせる目的だと思います。


IDアクセス権管理1とIDアクセス権管理2では、IAMのダッシュボードにあるセキュリティステータスをオールグリーンにすることをゴールとしています。

f:id:osushi_engineer:20200711221327p:plain

セキュリティステータスの表示画面

オールグリーンまでの道程

(1)ルートアカウントのMFAを有効化を行います
MFA:Multi-Factor Authentication(多要素認証)。本人確認のための要素を複数ユーザに要求する認証方式です。

(2)ルートアクセスキーの削除
通常AWSアカウントを作成した場合は、アクセスキーは生成されない。

(3)パスワードポリシーの設定
パスワードのルールを設定する。所属グループのルールを設定すれば良い。

f:id:osushi_engineer:20200711224232p:plain

(4)グループを使用したアクセス許可の割り当て
(5)個々のIAMユーザーを設定
IAMポリシーをIAMグループに設定し、そのグループ内にIAMユーザーを作成する。
(1)で行った作業と同じようにIAMユーザーのMFAを有効化する。

請求データの確認とアラート

AWS Billing and Cost Managementというサービスを用いてコスト管理を行う方法を学びます。
AWSは従量制での課金となるので、このサービスを用いてコスト管理を行う必要があります。

AWS Budgets
一定額以上の請求が発生した場合に、アラートメールを送る設定します。
たとえば設定額$10の8割の課金量に利用料金が達したら、
アラートメールが送られるという設定なので、利用時の安心度がかなり上がりますね。

f:id:osushi_engineer:20200711224159p:plain

AWS Cost Explorer
AWS Cost Explorerをで月にどのくらいのコストがかかっているのか、サービス単位で調べる事ができます。

Cost & Usage Reports
コストの使用状況をレポートをS3に自動保存していく仕組みを作る。

操作履歴とリソース変更履歴の記録

AWS CloudTrail:AWSのサービスを利用するさいの行動履歴をログに記録し、継続監視、保持する事ができる。
AWS CloudTrailはイベント履歴の表示を行う事ができるが、過去90日間のイベントまでしか履歴を表示する事ができないので
証跡の作成を行いS3に自動保存していく仕組みを作成します。

AWS Configの有効化
S3のバケットがどんな風に変更が行われたのかを確認します。
AWS Configではサービスごとに設定変更を継続的にモニタリングし記録できます。

脅威検知

脅威インテリジェンス:脅威の防止や検知に利用できる情報の総称

Amazon GuardDutyの有効化して、サンプルをもとに脅威の種類を判定します。

f:id:osushi_engineer:20200712061707p:plain


これを見ればどの様なAWSが脅威に晒されているかがわかります。

docs.aws.amazon.com

まとめ

AWSのサービスは便利だな。と感じながらも料金やセキュリティに関する不安は拭い去れていなかった。このハンズオンを通して、料金アラームやセキュリティ対策に対応するサービスも沢山あること、その使い方を網羅的に知ることができありがたかったです。