【AWS】AWSセキュリティ診断サービス概要（Well-Architected Toolが東京リージョンで使えるようになった）

2019/9/26に「AWS Well-Architected Tool」が日本語のサポートとアジアパシフィック(東京)リージョンでの提供を開始しました。
（参考：AWS Well-Architected Toolが日本語をサポートしました(東京リージョンでご利用いただけます)）
セキュリティやコストなどの様々な面についての、ベストプラクティスを提案してくれるようなのですが、他にもそのようなAWSサービスがあったような・・と思い、他のAWSセキュリティ関連サービスもついでに調べてみました。

AWS Well-Architected Tool

現在利用中の構成をAWSのベストプラクティス（いわゆるWell-Architectedな構成）と比較して、「運用の優秀性」「セキュリティ」「信頼性」「パフォーマンス効率」「コストの最適化」の5つを診断してくれるツール。後述のTrusted Advisorでもベストプラクティスの比較は行われるが、Well-Architected Toolはさらにユーザごとに定義するワークロードに従ったフレームワーク検討が実施されるため、よりユーザのポリシーに沿った評価をしてくれそうである。

以下は公式ドキュメントからの引用
AWS Well-Architected Tool とは

AWS Well-Architected Tool (AWS WA Tool) は、AWS のベストプラクティスに照らしてアーキテクチャを測定するための一貫したプロセスを提供するクラウド内のサービスです。AWS WA Tool は、製品ライフサイクル全体を通して以下のことを支援します。

・決定事項のドキュメント化を支援する
・ベストプラクティスに基づいてワークロードを改善するための推奨事項を提供する
・ワークロードの信頼性、安全性、効率性、費用対効果の向上

今日では、AWS WA Tool を活用し、AWS Well-Architected フレームワークのベストプラクティスを使用してワークロードのドキュメント化および測定ができます。これらのベストプラクティスは、AWS ソリューションアーキテクトによって、さまざまなビジネスでのソリューションの構築における長年の経験に基づいて開発されました。このフレームワークは、アーキテクチャを測定するための一貫したアプローチを提供します。また、時間の経過とともにニーズに応じてスケーリングする設計を実装するのに役立つガイダンスも提供します。

Trusted Advisor

現在利用している環境のリソース、設定情報をもとに推奨プラクティスを「コスト最適化」「パフォーマンス」「セキュリティ」「耐障害性」「サービスの制限（利用上限）」について、ダッシュボードで提示してくれるツール。Trusted AdvisorはあらかじめAWS側で定められたルールと一律かつシンプルに比較される。ここでアラート対象になったからといって急を要するとは限らないが、環境改善対策を見つける手段のひとつとしては有用である。特にセキュリティ面は、Well-Architected Toolと重複する箇所もある認識ではあるがこちらの分析結果と比較して漏れがないようにしたい。

公式ドキュメント　
AWS Trusted Advisor

Amazon GuardDuty

自アカウント内のVPC フローログ、AWS CloudTrail イベントログ、DNS ログを分析して処理する継続的なセキュリティモニタリングサービス。いわゆる侵入検知、IDSに近い。
導入に関しては、特に難しい設定をする必要はなく、ワンクリックでサービス用のポリシーを有効化すれば自動的にCloudTrailやVPCフローログを分析開始してくれる。CloudTrailを有効化しているものの、うまく検知・監査へ活用できていない方にはぜひ導入をおススメしたい。
※30日無料で利用することができ、その間にコストの想定も教えてくれる

以下公式ドキュメントより抜粋　（ Amazon GuardDuty とは ）

悪意のある IP やドメインのリストなどの脅威インテリジェンスフィードおよび機械学習を使用して、AWS 環境内の予期しない潜在的に未許可なアクティビティや悪意のあるアクティビティを識別します。このアクティビティには、権限昇格や、公開されている認証情報の使用、悪意のある IP や URL、ドメインとの通信などの問題も含まれます。たとえば、GuardDuty はマルウェアやマイニングビットコインに使われている侵害された EC2 インスタンスを検出できます。また、AWS アカウントのアクセス動作をモニタリングして、未許可のインフラストラクチャのデプロイ (これまで使用されたことのないリージョンへのインスタンスのデプロイなど) や、異常な API コール (パスワードポリシーがパスワードの強度が下がるものに変更されるなど) など、侵害の兆候を探します。

AWS Security Hub

ドキュメントからすると以下の機能を提供してくれるらしい。

• 複数のAWSセキュリティサービスの統合ビューの提供
  ＞AWS Security Hub は、ユーザー環境で有効になっている AWS セキュリティサービスから検出結果、たとえば Amazon GuardDuty からの侵入検知、Amazon Inspector からの脆弱性スキャン、Amazon Macie からの S3 バケットポリシー検出結果などを収集、統合します。

• AWS 環境全体にわたって自動コンプライアンスチェックを実行
  ＞AWS Security Hub は、AWS のセキュリティ設定のベストプラクティスセットである Center for Internet Security (CIS) AWS Foundations Benchmark を自動化します。AWS アカウントまたはリソースのいずれかがベストプラクティスから逸脱した場合は、AWS Security Hub はその問題にフラグを付け、改善手順を推奨します。

• 改善アクションの自動化
  ＞Amazon CloudWatch Events との統合を利用して、カスタマイズされたアクションを構築し、チケット発行システム、チャットシステム、E メールシステム、自動改善システムに検出結果を送信します。AWS System Manager Automation ドキュメント、AWS Step Functions、AWS Lambda 関数を使用して、Security Hub から実行できる自動改善ワークフローを構築することもできます。

すでにAWS上で複数のセキュリティサービスを利用しているユーザは、ビューが統合される利点を享受できるし、CISベンチマークとの比較でフラグ付けと改善手順を推奨してくれるのは魅力的である。また、指摘事項をアクションと紐づけて、対策漏れがないようにできるところも実効性を高めている（もちろん出力に関してはカスタマイズが必要ではあるが）。

公式ドキュメント　AWS Security Hub とは?