Amazon Web Services ブログ

VPC エンドポイント向けの AWS CloudTrail ネットワークアクティビティイベントの一般提供開始

2 月 13 日、AWS CloudTrailAmazon Virtual Private Cloud (Amazon VPC) エンドポイントのネットワークアクティビティイベントの一般提供を発表できたことを嬉しく思います。この機能を使用すると、VPC エンドポイントを通過する AWS API アクティビティを記録および監視できるので、データ境界を強化し、より優れた発見的コントロールを実装するのに役立ちます。

以前は、潜在的なデータ漏洩を引き起こすための試みや、VPC エンドポイントを介したネットワーク内のリソースへの不正アクセスを検出することは困難でした。VPC エンドポイントポリシーを設定して外部アカウントからのアクセスを禁止することができますが、拒否されたアクションをログに記録したり、外部認証情報が VPC エンドポイントで使用されたことを検出したりする組み込みのメカニズムはありませんでした。TLS トラフィックを検査および分析するためのカスタムソリューションを構築するという選択肢もありましたが、運用面でのコストがかかり、暗号化された通信のメリットが損なわれる可能性がありました。

この新機能により、VPC エンドポイントを通過するすべての AWS API アクティビティをログに記録するようオプトインできるようになりました。CloudTrail はこれらのイベントをネットワークアクティビティイベントと呼ばれる新しいイベントタイプとして記録し、VPC エンドポイントを通過するコントロールプレーンとデータプレーンの両方のアクションをキャプチャします。

CloudTrail に記録されるネットワークアクティビティイベントには、次のような主なメリットを提供します。

  • 包括的な可視性 – アクションを開始した AWS アカウントに関係なく、VPC エンドポイントを通過するすべての API アクティビティがログに記録されます。
  • 外部認証情報の検出 – 組織外の認証情報を使用して VPC エンドポイントへのアクセスが行われたときを特定します。
  • データ漏洩の防止 – 不正なデータ移動の潜在的な試みを検出して調査できます。
  • セキュリティモニタリングの強化 – TLS トラフィックを復号化する必要なく、VPC エンドポイントでのすべての AWS API アクティビティのインサイトを取得できます。
  • 規制へのコンプライアンスの可視性 – 通過するすべての API アクティビティを追跡することで、規制要件を満たす能力を向上させることができます。

ネットワークアクティビティイベントでの VPC エンドポイントログの開始方法
ネットワークアクティビティイベントを有効にするには、AWS CloudTrail コンソールに移動し、ナビゲーションペインで [証跡] を選択します。[証跡の作成] を選択して新しい証跡を作成します。[証跡名] フィールドに名前を入力し、イベントログを保存する Amazon Simple Storage Service (Amazon S3) バケットを選択します。CloudTrail で証跡を作成するとき、既存の Amazon S3 バケットを指定するか、証跡のイベントログを保存する新しいバケットを作成することができます。

[ログファイルの SSE-KMS 暗号化][有効] に設定する場合、[新規] を選択して新しい AWS Key Management Service (AWS KMS) キーを作成するか、[既存] を選択して既存の KMS キーを選択します。[新規] を選択する場合、[AWS KMS エイリアス] フィールドにエイリアスを入力する必要があります。CloudTrail は、この KMS キーでログファイルを暗号化してポリシーを追加します。KMS キーと Amazon S3 は同じ AWS リージョンにある必要があります。この例では、既存の KMS キーを使用します。このデモでは、[AWS KMS エイリアス] フィールドにエイリアスを入力し、残りの設定はデフォルトのままにします。[次へ] を選択して次のステップに進みます。

[ログイベントの選択] ステップでは、[イベント][ネットワークアクティビティイベント] を選択します。[cloudtrail.amazonaws.com][ec2.amazonaws.com][kms.amazonaws.com][s3.amazonaws.com][secretsmanager.amazonaws.com] などの AWS のサービスのリストからイベントソースを選択します。このデモでは、2 つのネットワークアクティビティイベントソースを追加します。最初のソースには、[ec2.amazonaws.com] オプションを選択します。[ログセレクターテンプレート] では、一般的なユースケース用のテンプレートを使用するか、特定のシナリオ用にきめ細かいフィルターを作成することができます。例えば、VPC エンドポイントを通過するすべての API アクティビティをログに記録するには、[すべてのイベントをログに記録する] テンプレートを選択できます。ここでは、[ネットワークアクティビティアクセス拒否イベントをログに記録] テンプレートを選択して、アクセス拒否イベントのみをログに記録します。オプションで、[セレクター名] フィールドにログセレクターテンプレートを識別する名前を入力できます (「Amazon EC2 のネットワークアクティビティイベントを含める」など)。

2 番目の例として、[カスタム] を選択して [eventName][vpcEndpointId] などの複数のフィールドにカスタムフィルターを作成します。特定の VPC エンドポイント ID を指定するか、結果をフィルターして特定の条件に一致する VPC エンドポイントのみを含めることができます。[高度なイベントセレクター] で、[フィールド] から [vpcEndpointId] を選択し、[次と等しい][オペレーター] として選択して VPC エンドポイント ID を入力します。JSON ビューを展開すると、指定したイベントセレクターが JSON ブロックとして表示されます。[次へ] を選択し、選択内容を確認した後に [証跡の作成] を選択します。

設定が完了すると、CloudTrail は VPC エンドポイントのネットワークアクティビティイベントのログ記録を開始するので、このデータを分析して必要な対応を取ることができます。AWS CloudTrail ネットワークアクティビティイベントを分析するには、CloudTrail コンソール、AWS コマンドラインインターフェイス (AWS CLI)AWS SDK を使用して関連するログを取得できます。CloudTrail Lake を使用して、ネットワークアクティビティイベントをキャプチャ、保存、分析することもできます。Trails を使用している場合は、Amazon Athena を使用して、特定の条件に基づいてこれらのイベントをクエリおよびフィルターできます。これらのイベントを定期的に分析することで、AWS でセキュリティを維持し、規制に準拠してネットワークインフラストラクチャを最適化することができます。

今すぐご利用いただけます
VPC エンドポイントをログに記録するための CloudTrail ネットワークアクティビティイベントは、セキュリティ体制の強化、潜在的な脅威の検出、VPC ネットワークトラフィックのより深いインサイトの取得を行うことのできる強力なツールを提供します。この機能は、AWS 環境を包括的に可視化して制御する必要のあるお客様の重要なニーズに対応します。

VPC エンドポイントのネットワークアクティビティイベントは、すべての商用 AWS リージョンで利用できます。

詳細については、「AWS CloudTrail の料金」をご覧ください。

CloudTrail ネットワークアクティビティイベントの使用を開始するには、AWS CloudTrail にアクセスしてください。CloudTrail とその機能の詳細については、AWS CloudTrail のドキュメントを参照してください。

– Esra

原文はこちらです。