2021年4月28日水曜日

AWS ConfigとTrusted Advisorの比較

 ややこしいので自分なりにまとめ。

AWS Configは、事前に分かっている設定項目に対して「設定している/いない」をウォッチしていて、「変更されていないこと」をチェックする。

Trusted Advisorは、サービスの使い方/設定に対して「AWS Well-Architected Frameworkに準じているか」を確認して、NGポイントを教えてくれる。状態/状況を見ている。

両者で同じ確認もできる。例えば、セキュリティグループや、S3のパブリック・アクセス、S3バージョニングなど。その場合の違いは、Configだと変更が起こったときに即時で通知する仕組みがかんたんに作れる(EventBridgeなど)。Trusted AdvisorではRefreshしてから取得、など手数が増える(が設定は可能)。

料金について

Configは使った分だけだが、スキャン項目数で課金されるので、思わぬ課金になり得るので注意。

TrustedAdvisorは有料サポートに入らないと使える機能が少ない(最安で月29ドル)。


AWS Config

マネージドルールは186ある(2021/05) 一覧

以下は基本的な項目の抜粋。
  • encrypted-volumes 
    • EBSボリュームが暗号化されているか
  • required-tags
    • tagが設定されているか
  • s3-account-level-public-access-blocks
    • アカウントレベルでS3のパブリック・アクセスがブロックされているか
  • approved-amis-by-id 
    • 使用しているAMIは指定したものか
  • ec2-instance-no-public-ip
    • EC2インスタンスがパブリックIPを持っていないか
  • ec2-instance-managed-by-systems-manager 
    • EC2インスタンスがSSMで管理されているか
  • access-keys-rotated 
    • アクセスキーが設定日数以内にローテーションしているか
  • rds-snapshots-public-prohibited 
    • RDSのパブリックスナップショットがないか
  • rds-snapshot-encrypted 
    • RDSスナップショットは暗号化されているか
  • s3-bucket-server-side-encryption-enabled 
    • S3バケットがSSE暗号化されているか
  • s3-bucket-public-read-prohibited 
    • S3バケットがパブリックREADされないか
  • s3-bucket-public-write-prohibited 
    • S3バケットがパブリックWRITEされないか
  • vpc-flow-logs-enabled 
    • VPCフローログが有効か
  • vpc-default-security-group-closed 
    • VPCの0.0.0.0が閉じられているか

2020年7月に28個も増えたらしい。

Trusted Advisor

以下は基本的な項目。
  • (コストの最適化)
    • 使用率の低いEC2,EBS, Redshift
    • アイドル状態のRDS, LB
    • 各種リザーブド購入の最適化
    • 関連付けられていない Elastic IP アドレス
  • (セキュリティ)
    • セキュリティグループが無制限アクセスでないか(無料)、RDS、LBも
    • ルートアカウントのMFA(無料)
    • Amazon S3 バケットのアクセス許可(無料)
    • 公開されているアクセスキーがないか
    • EBS, RDS パブリックスナップショットがないか(無料)
  • (耐障害性)
    • EBSのスナップショットの確認
    • RDSのバックアップ、マルチAZか
    • ELB Connection Draining, Cross zone LBか
    • S3バケットバージョニングしているか、バケットのログがあるか
    • VPN, AWS Direct Connect 接続の冗長性
  • (パフォーマンス)
    • 高い使用率の Amazon EC2 インスタンス
    • EC2 セキュリティグループのルールが多すぎないか
    • Amazon CloudFront でS3のデータ転送を高速化できないか
  • (サービスの制限)
    • 制限の80%を超えていないかを確認する。反映に最大24hかかかる

===
以下はおまけです。

Amazon Security Hub

Security standardというベストプラクティスや経験則をまとめたもの(?)がある。

CIS AWS Foundations

Center for Internet Securityのセキュリティベンチマークをクリアしたもの。
https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html

妥協してもよいもの。主にAWS Configコスト面で。
https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-cis-to-disable.html

Payment Card Industry Data Security Standard (PCI DSS)

PCIセキュリティ標準に適合するためのAWS設定。
https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-pci-controls.html

AWS Foundational Security Best Practices

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html

ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)