AWS CIS Check

前回、Part1でCIS AWS Foundations Benchmarks v1.2のIAMのカテゴリについて解説させていただきました。

今回はLoggingについて解説させていただきます。
ざっとおさらいしますと、CIS AWS Foundations Benchmarks v1.2は4つのカテゴリに分類されており、各カテゴリでどのくらいセキュリティコントロールが有効になっているのか確認することができます。

  • Identity and Access Management(22項目)
  • Logging(9項目)
  • Monitoring(14項目)
  • Networking(4項目)
Loggingのカテゴリは9項目あります。それではそれぞれ確認してみましょう。

2.1 Ensure CloudTrail is enabled in all regions (Scored)
CloudTrailはAWS上の操作、アクションなどを記録する監査機能になります。例えばあるAWSリソースにプログラムからAPIコールが行われた時にAPIをコールしたことが記録されたり、ユーザーがAWSコンソールで操作した内容が記録されたりとあらゆる実行記録を残すことができます。
契約したAWSアカウント上に不正アクセスがあった場合、また不正な操作を行われた場合、そのログが調査に大きく役に立つため、有効にすることを推奨されています。

2.2 Ensure CloudTrail log file validation is enabled (Scored)
CloudTrailのログが改竄されないように妥当性を検査する機能が有効になっているか確認します。

2.3 Ensure the S3 bucket used to store CloudTrail logs is not publicly accessible (Scored)
CloudTrailログがS3バケットに保存されますが、そのバケットが公開されていないか確認します。

2.4 Ensure CloudTrail trails are integrated with CloudWatch Logs (Scored)
CloudTrailのログがCloudWatchに出力される設定か確認します。CloudWatchでログが出力されると、あるキーワードが含むログをアラートで送信したり、検索したりすることが容易になります。

2.5 Ensure AWS Config is enabled in all regions (Scored)
AWS Configが有効になっているか確認します。AWS ConfigはAWSのリソースの設定をモニタリングし、指定された設定要件を満たしているか確認することができます。設定の変更のモニタリングと要件を満たした設定を維持させたい場合にこの機能が役立ちます。

2.6 Ensure S3 bucket access logging is enabled on the CloudTrail S3 bucket (Scored)
CloudTrailログを保存しているS3バケットへのアクセスが記録されているか確認します。ログの情報にも重要な情報が参照でき、そのログへのアクセス記録を残すことは重要です。

2.7 Ensure CloudTrail logs are encrypted at rest using KMS CMKs (Scored)
CloudTrailログが保存されている時にAWSのキー管理サービス(KMS)上のカスタマーマスターキーを使って暗号化されているか確認します。ファイルが盗難されても暗号化されている場合にはデータを保護することができます。そのため暗号化することをここでは推奨しています。

2.8 Ensure rotation for customer created CMKs is enabled (Scored)
カスタマーマスターキーがローテーションされているか確認します。

2.9 Ensure VPC flow logging is enabled in all VPCs (Scored)
VPCフローログがすべてのVPC上で有効になっているか確認します。ネットワーク上のアクセス記録をフローで取得することでIPとポートの組み合わせで記録を残すことができます。詳細なアクセス情報は取得できませんが、普段アクセス無いアクセスが突然発生したり、特定のサイトへ継続的にアクセスが発生しているなど、ネットワーク上の振る舞いから、不正なアクセスを把握できるきっかけにもなります。

ログのモニタリングはセキュリティ運用では非常に重要な役割を果たします。適切なモニタリングには適切なログ出力が必要になります。
セキュリティ監視カメラで死角できないように様にカメラの配置を設計するのと同じ様に不正アクセスが検知できるようにログを出力することは欠かせません。
今回はLoggingのカテゴリをみましたが、AWSのセキュリティ運用を効果的に行うために設定を有効にしてみてください。

 

関連リンク