AWS Startup ブログ

【週刊 Ask An Expert #49】なんだかセキュリティ成分多めでした!先週の #AWSLoft で受けた質問をざっくり紹介!

こんにちは、スタートアップ ソリューションアーキテクトの塚田 (Twitter: @akitsukada) です。雨が降る朝は自転車で保育園に子供を送っていくのが大変です。

スタートアップ企業の皆様への最近のおすすめサービスは AWS サポート です。AWS サポートをしっかり活用することで、スタートアップにおける開発・運用のスピードや確度を上げていただくことができます。エンジニアの採用がまだまだこれからのシード期からユニコーンスタートアップまで、AWSサポートは開発運用の伴走者として強い味方になります。未利用の方はぜひ一度ご検討ください。

アカツキ、スマートニュースがご紹介!AWS 運用を支えるエンタープライズサポート活用事例 | スライド資料はこちら

イマイチピンとこないな、という方は筆者あるいはお近くの AWS スタートアップチーム担当者までお気軽にご連絡くださいmm

さあ、それでは今日も先週の Ask An Expert を振り返っていきましょう!

Online Ask An Expert とは?

皆さん、AWS Loft Tokyo の Ask An Expert はご存知でしょうか?現在残念ながら、新型コロナウィルス対策のため AWS Loft は2020年3月から一時的に休館中です。
しかしそんな中、多くのお客様からのリクエストを受けて、Ask An Expert は 2020 年 12 月から Online Ask An Expert に姿を変えリモートでの対応を開始しました。そんな Online Ask An Expertはこちらからご利用いただけます

それでは、今日も先週いただいた質問から、執筆者の独断と偏見によりいくつかの質問をピックアップしてざっくり解説していきたいと思います。Let’s ask an expert!

週刊 Ask An Expert #49 (2021/03/01〜2021/03/05)

Q. Amazon GuardDuty を使いたい。そのために VPC Flow LogsAWS CloudTrail を設定する必要はあるか。また、有効にすることでパフォーマンスへの影響はあるか。

GuardDuty は、AWS CloudTrail イベント、Amazon VPC フローログ、および DNS ログで見つかったアカウントとネットワークアクティビティから生成されたメタデータの連続ストリームを継続的にモニタリングして脅威を検出するサービスですが、GuardDuty はそれらのサービスの独立したデータストリームを直接取得するため、それぞれ個別の機能を有効にする必要はありません。
ただし、いざ GuardDuty が脅威を検出したあとにご自身で実際のログを見て調査・確認を行う場合などには、別途有効化してログを保存しておくことが必要になります。

パフォーマンスについては、Amazon GuardDuty は AWS リソースとは完全に独立して動作するため、アカウントやワークロードに影響を及ぼすリスクはありません。このため、既存の操作に影響を与えることなく、組織内の多くのアカウントで GuardDuty を簡単に有効にすることができます。

Q. AWS Config を使ってみたいが、どのルールを適用すればよいのか分からないので考え方を教えてほしい。

マネジメントコンソールを一緒に見ながら具体的なユースケースについて話しました。ルールを選ぶ判断基準になるのはお客様ご自身のセキュリティ要件になること、データフローダイアグラムに基づいたリスクベースのチェックを施していくことをご案内。

また各種コンプライアンスに基づいてサービスをお客様自身で簡単に定義できるコンフォーマンスパックについてもご紹介し、それを元にルールを構成していく方法もご検討いただくようお願いしました。

Q. 新しく Amazon EC2 を使った環境を構築中。インターネットに公開するサーバーではないが、インターネットへの通信はしたい( yum などのパッケージ管理のため)。 EC2 はプライベートサブネットにおいて NAT Gateway を利用するべきという意見と、パブリックサブネットにおいてしまいセキュリティグループで防御すればよいという意見で社内が割れている。

NAT Gateway を使い、EC2 のサーバー自体はプライベートサブネットに置くのがベストプラクティスです。
参考:AWS Well-Architected フレームワーク セキュリティの柱 > 全レイヤーでセキュリティを適用する

この多重防御によって、例えばオペレーションミスでセキュリティグループの設定を緩めてしまったときにも事故を防ぐことができます。

また、Amazon Linux AMI もしくは Amazon Linux 2 をお使いの場合は、Amazon Linux リポジトリは Amazon S3 でホストされるため、S3 VPC エンドポイントを使うことでインターネットに接続することなくリポジトリにアクセスできます。

参考: Amazon Linux 1 または Amazon Linux 2 を実行している EC2 インスタンスで、インターネットにアクセスせずに yum を更新したり、パッケージをインストールしたりするにはどうすればよいですか?

Q. Amazon Athena で利用しているテーブルのデータを RDB 等に移すことは可能か?Amazon S3 に置いてある監査ログをデータベースに移し、管理用のアプリケーションからアクセスできるようにしたい。

「RDB等」について詳しくお聞きすると、まずは Amazon Aurora をイメージしているとのことでした。Athena でクエリできているということはデータは Amazon S3 上に存在しているので、Amazon S3 バケットのテキストファイルから Amazon Aurora MySQL DB クラスターへのデータのロードを行っていただくことで実現できそうでした。JOIN 等をした結果をロードしたい場合は、まず Athena で CREATE TABLE AS SELECT(CTAS) し結果を Amazon S3 に保存してからロードすることもできます。

※ もし S3 からのロードに対応していないデータベースの場合は、AWS Glue を使って S3 の Table から JDBC で接続した先のターゲットに書き込む方法も使えます。

Q: 現在 IDS/IPS を導入していないが、使ったほうがよいのか?AWS ではどのように対処できるか?

使ったほうがよいか、何を使うべきかは、お客様のセキュリティ要件や業界のレギュレーション等に沿って検討して頂く必要があることをご案内しました。

また、対応したい脅威によって利用すべきソリューションが異なり、例えば XSS や SQL Injection を考慮するのであれば IDS/IPS でなく WAF (AWS でいえば AWS WAF) が適切と言えます。一方、ミドルウェアを保護したい場合は IDS/IPS が必要になってきます。また、そもそも抽象度の高いマネージドサービス(例えば AWS FargateServerless のサービス)を利用することで、ミドルウェアのレイヤーのセキュリティを AWS にオフロードするという考え方もできます。それらを踏まえ、やはり IDS/IPS を利用する必要があれば、AWS では AWS Netowrk FirewallGateway Load Balancer を活用することができます。

週刊 Ask An Expert まとめ、今回はここまで

最後までお読み頂きありがとうございます。

冒頭に書いたように、執筆者の独断により興味深かった質問を選び、かつざっくり要約して記載しています。実際にはより具体的な質問をより多く頂いていますが、様々なご相談があることが伝わっていれば幸いです。まだ Online Ask An Expert をご利用になったことがない方も、ぜひ一度お気軽にご利用ください。

A author image of Aki Tsukadaこのブログの著者

塚田 朗弘(Aki Tsukada)
Head of Startup Solutions Architect, Japan.
AWS Amplify とか好き。

Twitter: @akitsukada