SRE部の今福です。
今回はマルチプロダクトでのAmazon GuardDutyとAmazon Inspectorの設定方法についての記事です。
現在社内でセキュリティに関するアセスメントが実施されており、その一環としてGuardDutyとInspectorの導入を行いました。
今回はプロダクト横断で設定するため、まず管理を委任するようのAWSアカウントを用意し、委任されたアカウントからAWS Organizationで管理された各プロダクトのアカウントに対してGuardDutyとInspectorの設定を行います。ただし、アカウントの作成についての手順は省略しています。
そもそも GuardDuty / Inspector とは
- Amazon GuardDuty
- AWS 上のログやイベント(CloudTrail、VPC Flow Logs、DNS など)を元に、不審な挙動や侵害の兆候を検知するサービスです。
- Amazon Inspector
- EC2 やコンテナイメージ(ECR)などを対象に、既知の脆弱性や露出(設定起因を含む)を継続的に見つけるサービスです。
では設定手順についてです。
設定の都合上、説明に管理アカウントが2種類出てくるので本記事内ではアカウントは以下であるとします。
- Organizations 管理用アカウント:
org-root - セキュリティ管理用アカウント:
security-admin
GuardDuty の設定手順
1. (org-root)信頼されたアクセスの有効化(Organizations)
AWS Organizations > サービス > GuardDuty の画面を開き「信頼されたアクセスを有効化」を押下
2. (org-root)委任(委任管理者に security-admin を設定)
GuardDuty > 設定 > 委任された管理者 の設定で security-admin アカウントIDを入力し「委任」
3. (security-admin)GuardDuty の有効化
security-admin で GuardDuty > アカウント の画面を開き、「有効にする」を押下
※有効化はリージョンごとであることに注意
なんだか変な日本語ですが有効化できました。
ただしこの時点で有効化されている機能は拡張脅威検出のみです。
その他のS3やRDSなどの保護プランは追加で有効化する必要があり、別途料金が発生します。
一応30日間の無料トライアル期間があるのでコストを確認し必要に応じて設定できます。
追加の設定は GuardDuty > アカウントの画面でアカウントごとに簡単に設定できますし、自動有効化設定をしておけば新規アカウントも自動で追加することができます。便利ですね。
Inspector の設定手順(委任管理者で横断有効化)
1. (org-root)信頼されたアクセスの有効化(Organizations)
AWS Organizations > サービス > Inspector の画面を開き「信頼されたアクセスを有効化」を押下
2. (org-root)委任(委任管理者に security-admin を設定)
Inspector > Inspectorをアクティブ化 > 委任された管理者 の設定で security-admin アカウントIDを入力し「委任」
3. (security-admin)組織配下アカウントへのスキャン設定
security-admin で Inspector > アカウント管理 の画面を開き、組織の欄から各アカウントに対してスキャン設定をする
これでInspectorの設定もできました。
GuardDutyと同様こちらもリージョンごとの設定で、自動有効化設定もアカウント管理の画面で設定できます。
またどのスキャン設定もトライアル期間が15日です。
まとめ
本記事では、Organizations 配下の複数アカウントに対して GuardDuty / Inspector を有効化するための流れを整理しました。
両サービスとも設定の流れはほぼほぼ同様で、簡単に設定できます。
いずれも対象範囲とコストが増えやすいため、トライアル期間での観測や、リージョン・機能の絞り込みも含めて運用設計するのがポイントです。