AWS_セキュリティ関係サービスについて(AWS Shield, WAF, KMS, Amazon Inspector, Amazon GuardDuty)　#160日目

クラウドプラクティショナーの資格を取るべく、一問一答を進めています。
その中で出てきた用語について、少しずつアウトプットします。進捗も記載した方がやる気が出るので、書いていきたいと思います。

現在の進捗
一問一答　　　　 ：200問／325問
AWS公式のコース：100%完了
↓こちらを進めています

本日はセキュリティ関係のサービスについてまとめたいと思います。
セキュリティ関係では、この他にも2つの記事を書きました。

AWS Shieldとは

AWSで実行されるアプリケーションをDDoS攻撃 (Dsitributed Denial of Service)から保護するマネージド型のサービスです。以下2つの種類があります。

AWS Shield Standartd
AWS Shield Standard は、すべての AWS のお客様を無料で自動的に保護します。最も一般的で頻度の高いタイプの DDoS 攻撃から AWS リソースを保護します。ネットワークトラフィックがアプリケーションに入ってくると、AWS Shield Standard はさまざまな分析手法を使用して、悪意のあるトラフィックをリアルタイムで検出し、自動的に攻撃を緩和します。

AWS Shield Advanced
AWS Shield Advanced は、詳細な攻撃診断と、高度な DDoS 攻撃の検出および緩和機能を提供する有料サービスです。また、Amazon CloudFront、Amazon Route 53、Elastic Load Balancing などの他のサービスと統合されています。さらに、複雑な DDoS 攻撃を緩和するカスタムルールを作成でき、AWS Shield を AWS WAF と統合することもできます。

AWS WAF (Web Application Firewall)とは

AWS WAF は、ウェブアプリケーションに入ってくるネットワークリクエストをモニタリングするウェブアプリケーションファイアウォールです。

AWS WAF は、Amazon CloudFront および Application Load Balancer と連動します。ネットワークACL (Access Control List) と同じような方法で機能し、トラフィックをブロックまたは許可します。ただし、WAFはウェブACLを使用して AWS リソースを保護します。

AWS WAF を使用して特定のリクエストを許可およびブロックする方法は、例えば以下のようなケースがあります。

アプリケーションが複数の IP アドレスから悪意のあるネットワークリクエストを受信しているとします。これらのリクエストがアプリケーションにアクセスし続けるのを防ぎたいと考えていますが、正当なユーザーがアプリケーションに継続的にアクセスできるようにしたいとも考えています。指定した IP アドレスからのリクエストを除くすべてのリクエストを許可するようにウェブ ACL を設定します。

AWS WAF にリクエストが入ってくると、ウェブ ACL で設定したルールのリストと照合されます。ブロックされた IP アドレスのいずれかからリクエストが送信されたのではない場合、アプリケーションへのアクセスが許可されます。

AWS Cloud Practitioner Essentialsより

ただし、ウェブ ACL で指定したブロックされた IP アドレスのいずれかからリクエストが送信された場合は、アクセスが拒否されます。

AWS Cloud Practitioner Essentialsより

いわゆる「ブラックリスト方式」というやつですね。

AWS AWS KMS (Key Management Service)とは

アプリケーションのデータでは、保存しているときの安全 (保管時の暗号化) も、転送しているときの安全 (転送時の暗号化) も確保する必要があります。

AWS Key Management Service (AWS KMS) では、暗号化キーを使用して暗号化オペレーションを実行できます。暗号化キーは、データのロック (暗号化) とロック解除 (復号) に使用されるランダムな数字の文字列です。AWS KMS によって、暗号化キーの作成、管理、使用を行うことができます。また、さまざまなサービスやアプリケーションでのキーの使用を制御することもできます。

AWS KMS では、キーに必要なアクセスコントロールの特定のレベルを選択できます。例えば、キーを管理する IAM ユーザーとロールを指定できます。また、キーを一時的に無効にして、誰も使用できないようにすることもできます。キーが AWS KMS の外に出ることはなく、常にキーを管理できます。

Amazon Inspectorとは

自動化されたセキュリティ評価を実行できるサービスです。
新たなアプリケーションを開発しセキュリティをテストしたいときで、テストに多くの時間を費やせない場合などに役立ちます。AWSにおけるセキュリティとコンプライアンスのベストプラクティスに従ってアプリケーションが開発されているか、自動で評価してくれる仕組みです。

このサービスは、アプリケーションをチェックして、Amazon EC2 インスタンスへのオープンアクセスや脆弱性のあるソフトウェアバージョンのインストールなど、セキュリティの脆弱性やセキュリティのベストプラクティスからの逸脱を検出します。

Amazon Inspector による評価の実行後、セキュリティ調査結果のリストが表示されます。このリストには、重大度の優先順位が付けられ、各セキュリティ問題の詳細な説明や修正方法の推奨事項などが記載されます。ただし、記載されている推奨事項は、すべての潜在的なセキュリティ問題が解決されることを AWS が保証するものではありません（責任共有モデルでは、AWS のサービスで実行されるアプリケーション、プロセス、ツールに関するセキュリティの責任は利用者側にあるため）。

Amazon GuardDutyとは

Amazon GuardDuty は、AWS インフラストラクチャとリソースのインテリジェントな脅威検出を提供するサービスです。AWS 環境内におけるネットワークとアカウントのアクティビティを継続的にモニタリングし、脅威を特定します。

AWS アカウントで GuardDuty を有効にすると、GuardDuty はネットワークとアカウントのアクティビティのモニタリングが開始され、追加のセキュリティソフトウェアをデプロイまたは管理する必要がなくなります。GuardDuty では、VPC フローログや DNS ログなど、複数の AWS ソースからのデータを継続的に分析します。

GuardDuty によって脅威が検出された場合、AWS マネジメントコンソールで脅威に関する詳細な調査結果を確認できます。調査結果には、推奨される修復手順が記載されます。また、GuardDuty のセキュリティ調査結果に応じて自動的に修復手順を実行するように AWS Lambda 関数を設定することもできます。

公式のコースはようやく100%完了することができました。
AWSの勉強をすることで、ITインフラ周りの基礎知識は補完されてきた気がします。

ここまでお読みいただきありがとうございました！！