はじめに
こんにちは!DreamHanksのjiniです。
前回の記事ではIAMユーザの作成方法について記載しました。
前回の記事はこちらへクリックしてください。
今回は、「AWSのセキュリティ対策」について説明していきたいと思います。
なぜセキュリティ対策が必要なのか?
AWSユーザーの増加に伴い、AWSアカウント情報を奪取し濫用する被害事例が発生しています。 特に、ルートアカウントを奪取して、高コストのリソースを生成したり、高コストのサービスを申請して短期間で数万ドルに達する費用を発生させる被害などがあります。
今回の記事では、このような悪用事例を予防するために実際にどんな対応が必要か、何を設定すればいいのか確認し、設定しておくべきなサービスについて説明します。
ルートユーザーのMFA設定
MFA(Multi-Factor Authentication)とは,ネットワークサービスやWEBアプリケーションなどを利用する時、IDとパスワード以外の手段で本人確認を行う認証方式です。
アカウントの奪取による被害を予防できる効果的な方法になります。
そしたら、実際手を動かしてAWSルートユーザーにMFA設定をしてみましょう。
①AWSルートユーザーでログインして、AWSのIAMサービスペイジーに移動します。
②MFAに対して何も設定しなかった場合、「セキュリティに関するレコメンデーション」のところに赤いビックリマークになっています。該当項目に対して「MFAを追加」ボタンをクリックします。
③「MFAの有効化」ボタンをクリックします。
④MFAで認証する手段を選択します。今回はモバイルデバイスを使用して認証する方法について説明しますので「仮想MFAデバイス」を選択します。
⑤どんなアプリケーションに対して利用できるかは赤枠になっているリンクをクリックすると確認することができます。
⑥⑤で確認したアプリケーションの中、いずれかをインストールして、上記の画面で表示されたQRコードをアプリケーションで読み込んでください。
⑦⑥を行いとMFAコードが表示されます。表示されたMFAコードを2回分入力します。
⑧⑦までして頂くとMFA設定は完了になります。
ルートユーザーのAccess Key削除
Access Keyは、ID/パスワード認証と同じ権限を持ちます。なので全てのリソースなどにアクセスすることができ、奪取されて悪用されると、広範囲な領域で被害がある恐れがあります。特別な理由がなければ、ルートユーザーのAccess Keyを削除したり無効化するのを推奨します。
①Access Keyは上記MFA設定する時にも開いた「セキュリティ認証情報」ページで削除したり追加したりすることができます。
請求関連サービスの使用
請求とセキュリティがどんな関係があるかと説明すると、アカウントが奪取された場合、一番問題になることが料金だと思います。つまり、自分が使用してないサービスやリソースに対して高額が請求される恐れがあるため、AWSでは請求データに対して色んなサービスを提供しています。
AWS Budgets
自分が設定した金額を超えた場合にメールとかでアラートをもらえます。
つまり、予算設定サービスです。
・メリット
①予算の管理をしやすい
②条件に該当する予算管理が可能
AWS Cost Explorer
時間に応じたAWS費用と使用量を視覚化して、使用した料金に対して状況と分析など管理しやすいサービスです。
・メリット
①今後の費用と使用量予測可能
②時間設定可能:月または日など期間を設定し、詳細データを見ることができます。
操作履歴とリソース変更履歴の記録設定
セキュリティ対策として利用者の操作ログを記録と管理することは不可欠です。
いつ誰が、どのリソースに対してどの操作をしたかそういう内容をログとして保存見ることができるサービスがあります。
AWS CloudTrail
AWSのサービスを利用する場合、ユーザーの操作履歴をモニタリングしてログを(※)AWS S3に保管するサービスです。
※AWS S3:AWSが提供しているオブジェクトストレージサービスです。
・メリット
誰が又は何がどんな作業を行ったか、いつ操作が発生したか識別することができます。
終わりに
今回の記事は以上になります。
ご覧いただきありがとうございます。
コメント