share facebook facebook twitter menu hatena pocket slack

2020.06.23 TUE

AWSのセキュリティ系サービスをごく簡単にまとめる

廣山 豊

WRITTEN BY 廣山 豊

AWSは常に成長を続けています。
サービス数もすごい勢いで増えています。
すべてのサービスをそらで列挙できる人は、もはやほとんどいないかも知れません。

今回は、セキュリティ系のものに絞って、ごく簡単に紹介します。
(すべてのセキュリティ系サービスではありません。)

確認テスト

各サービスがどの部分に適用されるか、把握できていますでしょうか?
簡単なパズルゲームを作ってみたので、まずは試してみてください。

ごくシンプルなAWSアーキテクチャ図に対し、下の部分にあるセキュリティサービスのアイコンを、もっとも関連性が高い箇所(赤枠)にドラッグアンドドロップするパズルです。

https://aws-puzzle.pict3.org/aws-security-puzzle/index.html

各サービスの3行紹介

AWS WAF

ALB, CloudFront, API Gatewayに簡単に適用できるサーバーレスなWAFです。
マネージドルールという提供された汎用ルール群を使うパターンと、自前でルール群を運用するパターン、そのハイブリッド構成があります。
2019年の年末に、大幅なアップデートが入りました。

AWS Firewall Manager

AWS Organizationsをベースに複数アカウント間でのセキュリティルールを統合管理します。
セキュリティルールとは、AWS WAFのルール、セキュリティグループ、AWS Shieldのルールになります。
複数のアカウントを横断的に保護する必要がある場合に有効です。

Amazon GuardDuty

アカウント内のログを機械学習にかけ、異常を検知するサービスです。
AWS CloudTrailイベントログやVPCフローログ、DNSログなどをベースに判断します。
攻撃通信に限らず、いつもと違う使い方をしても検知する可能性があります。

Amazon Inspector

EC2インスタンスの脆弱性を診断するサービスです。
エージェントをインストールして使用します。
診断のスケジュール実行も可能です。

Amazon Macie

S3バケット内に機密情報が保持されていないかを検査します。
機械学習とパターンマッチングにより、PIIや機密情報の疑いのあるデータを判断します。
カスタムパターンも設定可能です。

AWS Security Hub

様々なAWSセキュリティサービスについて、集中管理できます。
いくつかのサードパーティー製品も連携可能です。
複数のAWSアカウントを一元管理することも可能です。

AWS Shield

DDoS対策サービスです。
スタンダードとアドバンスドの2種類があり、スタンダードは標準的に全アカウントに導入されています。
前者はレイヤー3, 4、後者はレイヤー7を対象とし、より高精度で高機能になります。

1枚図で表す(確認テストの答え)

元記事はこちら

AWSのセキュリティ系サービスをごく簡単にまとめる

廣山 豊

廣山 豊

もっか修行中

cloudpack

cloudpackは、Amazon EC2やAmazon S3をはじめとするAWSの各種プロダクトを利用する際の、導入・設計から運用保守を含んだフルマネージドのサービスを提供し、バックアップや24時間365日の監視/障害対応、技術的な問い合わせに対するサポートなどを行っております。
AWS上のインフラ構築およびAWSを活用したシステム開発など、案件のご相談はcloudpack.jpよりご連絡ください。