柔軟性の高いシステムとトレードオフの関係にあるセキュリティリスクをどう担保するかは、クラウドインテグレーターとしての腕の見せ所でもあります。よくある状況として利用部門からはクラウドをスピード感ある自由に使いたいという要求を受ける反面、経営層からはセキュリティリスクに対して厳しい目が向けられます。
AWSは、多数のセキュリティ関連サービスが提供されておりますが、今回はその中から以下の3つのサービスを中心に紹介します。
- AWS Config (仮想マシンなどリソース構成変更を検知)
- Inspector(セキュリティ評価)
- AWS WAF(アプリケーション攻撃の保護)
1.AWS Config
AWS Config は、AWS リソースの設定を評価、監査、審査できるようにするサービスです。Config では、AWS リソースの設定が継続的にモニタリングおよび記録されるため、必要な設定に対する記録された設定の評価を自動的に実行できます。Config を使用すると、AWS リソース間の設定や関連性の変更を確認し、詳細なリソース設定履歴を調べ、社内ガイドラインで指定された設定に対する全体的なコンプライアンスを確認できます。これにより、コンプライアンス監査、セキュリティ分析、変更管理、運用上のトラブルシューティングを簡素化できます。また、AWS Config を使用すると、AWS リソースの設定変更における包括的な履歴を取得できるため、運用上の問題に関するトラブルシューティングを簡単に行えます。Config では、お客様のアカウントに対する API コールに関連したイベントを記録するサービスである AWS CloudTrail との統合により、運用上の問題の根本原因を特定できます。
2.Inspector
Amazon Inspector は、AWS にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための、自動化されたセキュリティ評価サービスです。Amazon Inspector は、自動的にアプリケーションを評価し、脆弱性やベストプラクティスからの逸脱がないかどうかを確認します。評価が実行された後、重大性の順にセキュリティの所見を示した詳細なリストが Amazon Inspector によって作成されます。この所見は直接取得することもできますが、Amazon Inspector コンソールまたは API から入手可能な評価に関する詳細レポートの一部でも確認できます。
手動でセキュリティ評価を実行することもできますが、Lambdaと組み合わせて定期的に自動実行する構成も可能です。2017年4月には、レポート機能など強化などサービスとして魅力は一段と高まっています。
3.AWS WAF
AWS WAF は、ユーザが作成したルールに基づいてトラフィックをフィルタリングすることにより、ウェブアプリケーションを攻撃から保護します。例えば、ウェブリクエストを IP アドレス、HTTP ヘッダー、HTTP 本文、または URI 文字列に基づいてフィルタできるので、SQL インジェクションまたはクロスサイトスクリプトのような一般的な攻撃パターンをブロックすることが可能になります。AWS WAF では、お客様が利用された分に対してのみお支払いいただきます。AWS WAF の料金は、デプロイするルール数およびウェブアプリケーションが受け取るリクエスト数によって決まります。
一般的なWAFは、外部から不正なアクセスについて通信の中身を見て、遮断したり変換して無害化させたりします。AWS WAFは遮断させたり無害化させたりするルールをユーザが作成する必要があります。そこが大きな違いです。
ひと言コメント
セキュリティ意識が高まる中で、AWSでもセキュリティ関連サービスが充実し、機能強化を繰り返しています。ひと昔まえは、サードパーティー製の仮想アプライアンスを利用するケースが多かったと思いますが、今後は要件次第ではAWSサービスで強固なセキュリティ確保も可能となります。