これから新規で構築する際は、IAMベストプラクティスに準じた設計を行いますよね。当然ですよね。
でも、こんなAWSアカウントありませんか?
- 短納期を実現するためにスピード優先で構築したAWSアカウント
- 他の会社が構築したAWSアカウントを引き継いで運用中
- AWSに理解のない担当者が初期設定をしたAWSアカウントを利用中
- 定期的なセキュリティの見直しをしていない2年以上前のAWSアカウント
便利だからこそきちんとしたセキュリティの設計と運用がAWSは重要です。 桜が咲く前に一度AWSのセキュリティを見なおしてみませんか?
■念のための操作ログチェック
大丈夫だと信じて疑いたくないけれど、念のためチェックをしましょう。
確認1:ルートアカウントで通常操作を行っていない いかいずれかの方法で確認をしてください。
確認方法1 CloudTrailからCloudWatch Logsへログ配信設定をしている場合 以下のフィルターで操作がないことを確認する
{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS }
確認方法2 CloudTrailの設定をしている場合 ユーザー名 rootの操作を確認する ただし「イベントの表示」からinvokedByが設定されているものはAPI経由の操作のためチェック対象から除外する
確認方法3 CloudTrailの設定をしていない場合 まずはCloudTrailの設定を行う
確認2:発行済のIAMユーザが不要な操作を行っていない
CloudTrailのログ,IAMアクセスアドバイザーで目視確認をしてください。
■AWS操作ログ 設定チェック
適正な設定になっていますか?以下を確認しましょう。
CloudTrailの設定
- 全リージョンに対して有効になっている
- CloudWatch Logsへログ配信設定をしている
- CloudTrailでルート操作のアラーム設定をしている
- CloudTrailまたはCloudWatch Logsのログ保存期間が適正に設定されている
Configの設定
- Configを有効化している
- Configのログ保存期間が適正に保存されている
※CloudTrailとConfigの利用にはほんの少しだけコストがかかります。 CloudTrail利用料金 Config利用料金
■IAMの設定チェック
マネジメントコンソールのIAMユーザー一覧画面で以下を確認してください。 当初はきちんとした設定でも時間が経過すると状況はかわってくるものです。
-
「パスワード認証=有効」で「アクセスキーの利用=有効」となっているユーザーがいないことを確認する
→パスワード認証とアクセスキーの利用は分離 -
「パスワード認証=有効」で「前回利用したパスワード=なし」になっているユーザーは削除できないか確認する
→必要のないIAMアカウントは削除 -
使用されていないアクセスキーがないことを確認する
→必要のないアクセスキーは削除 -
IAMユーザーに必要以上の権限が許可されていないことを確認する
→権限は必要最小限にする -
一定以上の権限のユーザーはMFAが有効になっていることを確認する
→必要に応じてMFAを設定する
■Trusted Advisor のチェック
AWSの提供する Trusted Advisor のSecurityの項目を確認しましょう。 Trusted Advisor は昔に比べてかなりおりこうさんになっています。
以下の様な項目が確認可能です。(2016-02-29現在) Trusted Advisor Best Practices
- Security Groups - Specific Ports Unrestricted(Free!)
- Security Groups - Unrestricted Access
- IAM Use (Free!)
- Amazon S3 Bucket Permissions
- MFA on Root Account (Free!)
- IAM Password Policy
- Amazon RDS Security Group Access Risk
- AWS CloudTrail Logging
- Amazon Route 53 MX and SPF Resource Record Sets
- ELB Listener Security
- ELB Security Groups
- CloudFront Custom SSL Certificates in the IAM Certificate Store
- CloudFront SSL Certificate on the Origin Server
- IAM Access Key Rotation
AWSは進化し続けています。 だからこそAWSの進化に合わせたセキュリティ運用が重要です。 AWSのセキュリティについて不安があればサーバーワークスまでお気軽にご相談ください。