Azure Security Center (ASC)を用いて、AWS環境を統合監視する
1. はじめに
皆さん、Azure Security Center (以下 ASC )を活用されていらっしゃいますか?
ASC の機能の一つに、マルチクラウド環境に対応しており、AWS / GCP を統合して監視することができるようになっています。本記事では、AWS を実際に接続して試してみます。
2022/1現在、ASC は Microsoft Defender for Cloud となり、マルチクラウドに対しては API を用いた直接構成監査を行えるようになりました。本記事の設定は古い方法であり新方式が推奨されていますのでご注意下さい。
2. 何ができるのか
Azure 公式ドキュメントからは以下の記載があります。
-
エージェントの自動プロビジョニング
- Security Center は Azure Arc を使用して、Log Analytics エージェントを AWS のEC2 インスタンスにデプロイします
- ポリシー管理
- 脆弱性の管理
- 埋め込まれたエンドポイント検出と応答 (EDR)
- セキュリティ構成ミスの検出
- Security Center の推奨事項と AWS Security Command Hub の検出結果を 1 つのビューに表示
- Security Center のセキュリティ スコアの計算への AWS リソースの組み込み
- AWS リソースの規制コンプライアンスの評価
見たところ、エージェントの自動プロビジョニングは Azure Defender を自動導入することによるサーバー保護になるかと思います。後者は AWS Security Hub のコンプライアンス機能(AWS Config Ruleによる検知)を ASC 側で統合監視することが目的になります。
3. 構成イメージ
- ASC は提供されているクロスアカウント経由で IAM ロールを用いて AWS 側に接続します。
- IAMユーザー( API アクセスキー/パスワード)を用いる方法も可能ですが、セキュリティ上非推奨なため、IAMロール経由がお勧め
- AWS 側のセキュリティ監視については、AWS Security Hub を有効にすることで実現されます。
- AWS Security Hub の裏側では、各種ベースラインに応じたルールが AWS Config を利用してデプロイされます。
- AWS Security Hub はマルチアカウント構成にも対応しているので、集約された Security Hub に対して接続すれば、ASC 側からの監視も出来ると思われます。
- AWS側 EC2 内の OS 側の保護については、Azure Arc を通じて、Azure Defender 保護を用います。
- AWS SSM を通じて、Azure Arc 側からデプロイがかかります
4. やってみる ~各種設定~
詳細は公式ドキュメントの手順通りです。ここでは概要だけご紹介します。
4.1 AWS 側準備
- 手順 1. AWS Security Hub を設定する
- 手順 2. AWS で Security Center から接続されるIAMロールを作成する
- 手順 3. 管理する EC2 に対して、SSMを導入する
4.2 Azure 側準備
-
手順 4. Azure Arc の前提条件を満たす
- こちらは公式ドキュメント通りの手順で進めます。
- PowerShell経由で作成します。
$sp = New-AzADServicePrincipal -DisplayName "Arc-for-servers" -Role "Azure Connected Machine Onboarding"
$sp
出力される ApplicationIdを記録します。
Secret : System.Security.SecureString
ServicePrincipalNames : {ad9bcd79-be9c-45ab-abd8-80ca1654a7d1, https://Arc-for-servers}
ApplicationId : ad9bcd79-be9c-45ab-abd8-80ca1654a7d1
ObjectType : ServicePrincipal
DisplayName : Hybrid-RP
Id : 5be92c87-01c4-42f5-bade-c1c10af87758
Type
同様にパスワードを生成し、記録します。
$credential = New-Object pscredential -ArgumentList "temp", $sp.Secret
$credential.GetNetworkCredential().password
- 手順 5. Azure Security Centerで設定する
5. 何が出来るようになるのか?
ASC から AWS アカウントの接続が成功すると、ASC のインベントリ画面、推奨事項画面から AWS Security Hub で吸い上げた情報を確認することができます。
- インベントリ画面の例
- 推奨事項の例
Amazon EC2 の構成チェックも SSM 経由で LogAnalyticsエージェントの導入などで監視ができるようになるのですが、公式ドキュメントのFAQに記載されている通り、Amazon Linuxは現在未サポートなんですね。。AWSと言ったら、Amazon Linux運用が多いと思いますので、この辺りは対応待ちといったところですね。
自身の EC2 インスタンスのではどのオペレーティングシステムがサポートされていますか?
- Ubuntu 16.04 - SSM エージェントは既定でプレインストールされています
- Ubuntu 18.04 - SSM エージェントは既定でプレインストールされています
- Windows Server - SSM エージェントは既定でプレインストールされています
- CentOS Linux 7 - SSM は手動でインストールするか、個別にオンボードする必要があります
- SUSE Linux Enterprise Server (SLES) 15 (x64) - SSM は手動でインストールするか、個別にオンボードする必要があります
- Red Hat Enterprise Linux (RHEL) 7 (x64) - SSM は手動でインストールするか、個別にオンボードする必要があります
6. まとめ
ASC でマルチクラウドに対応しているとのことで、今回 AWS との接続を試してみましたが、マルチクラウドのベースライン準拠を統一して監視したユーザーや、Defender Endpoint による運用を統一したい方向けなのかなと思います。AWS 側でも Security Hub の可視化画面などで運用しているお客様も多いと思いますが、クラウド毎に個別に監視するのが良いのか、今回のように統合監視するのが良いのかは要検討といったところになるのかなと思いました。どなたかの参考になれば幸いです。
*本稿は、個人の見解に基づいた内容であり、所属する会社の公式見解ではありません。また、いかなる保証を与えるものでもありません。正式な情報は、各製品の販売元にご確認ください。
Author And Source
この問題について(Azure Security Center (ASC)を用いて、AWS環境を統合監視する), 我々は、より多くの情報をここで見つけました https://qiita.com/hisnakad/items/7ee01f45be7a28f0b8ae著者帰属:元の著者の情報は、元のURLに含まれています。著作権は原作者に属する。
Content is automatically searched and collected through network algorithms . If there is a violation . Please contact us . We will adjust (correct author information ,or delete content ) as soon as possible .