AWSを初めて導入する運用管理者の方々、日々の業務お疲れさまです。
今現在、慣れないAWS移行プロジェクトに悪戦苦闘していたり、
日々の運用に手こずっておられる方もいられるのではないでしょうか。そんな日々苦労していらっしゃるAWS運用管理者のために少しでもお手伝いができたらと思います。

セキュリティの課題

AWS運用管理者にとってセキュリティの課題は尽きないものです。たとえば、誰かがコンプライアンスに違反するリソースや危険な設定をしていないかと心配になりませんか。小さい規模なら日々目視で確認できるでしょうが、規模がどんどん大きくなっていくと目視確認ではいずれ限界がきてしまいます。かといって放置もできません。そんなAWS運用管理者にとって
コンプライアンス違反や危険な設定を自動で評価してくれるサービスがあるとしたらどんなに嬉しいことでしょう。
今日はそんなサービスを紹介します。

『Config Rules』

Config Rulesとは、

Config Rulesの前にまず、Configを軽く説明します。Configは、各リソースの構成や設定を記録してくれるサービスです。
※Configの詳しい説明はこちらから。
そしてConfig Rulesは、Configと連動しており、リソースの構成や設定にルールを設けて、そのルールが守られているか自動で評価してくれるサービスなのです。

AWSベストプラクティスや社内のセキュリティ要件に準拠しているかどうかを評価するためのサービスです。

つまり、社内ルールやコンプライアンスに違反している構成や設定を見つけるとか、または、危険な設定をしているリソースを見つけるといったことができるようになります。以下に初心者の方に分かりやすく説明するための3つのポイントを示します。

3つの特徴

Config Rulesには、3つの大きな特徴があります。

1. ルールベースの自動監視　

2. リアルタイムの監視と非準拠通知

3. 自動修復機能

ひとつひとつ見ていきましょう。

1. ルールベースの自動監視：Config Rulesは、あらかじめ定義されたルールを使用して、AWSリソースの設定を自動的に監視します。これらのルールは、AWSが提供するものやカスタムで作成することもできます。例えば、EBSの暗号化が有効になっているか、セキュリティグループの設定が適切か、IAMロールのポリシーが正しいかなど、様々な側面でルールを設けることができます。

2. リアルタイムの監視と非準拠通知: Config Rulesは、リアルタイムでリソースの監視を行い、非準拠の状態が検出されると管理者に通知を送信することができます。これにより、問題が発生した場合にすぐに対処することができます。通知は、Amazon Simple Notification Service（SNS）を利用してメールやSlackなど、さまざまなサービスに送信することができます。

3. 自動修復機能: Config Rulesは、非準拠の状態が検出されると自動で修復させることができます。例えば、EBSデフォルト暗号化のルールに対して非準拠が検出された場合、デフォルト暗号化の設定を行うよう自動で修復されます。運用管理者の手を煩わせずに修復を行ってくれるので負荷軽減にも繋がります。

最後に

Config Rulesを使用することで、社内ルールに準拠しているかベストプラクティスに準拠しているか危険な設定がないかを継続的に監視することができるようになります。これにより、システムの信頼性とセキュリティを向上させることができます。運用者のセキュリティ不安を緩和してくれる心強いサービですね。さっそく設定を検討してみましょう。

参考

関連

【初めてのAWS】セキュリティの不安を緩和するには_①
【初めてのAWS】セキュリティの不安を緩和するには_②
【初めてのAWS】セキュリティの不安を緩和するには_③
【初めてのAWS】セキュリティの不安を緩和するには_④　←今ここ
【初めてのAWS】セキュリティの不安を緩和するには_⑤