AWS Solution Days 2019 にいってきました。

タイトルのとおりAWS Solution Days 2019 ～セキュリティ＆コンプライアンスにいってきました。

現時点ではまだプレビューの状態ですが、新サービス「AWS Security Hub」と「AWS Control Tower」についてのお話でした。講師が英語でしゃべり、同時通訳に戸惑いましたが、自分なりに理解できた内容をまとめてみます。

◆AWS Security Hubの機能

・CIS(Center for Internet Security)ベンチマーク
CISベンチマークを有効化すると自分のアカウント環境(EC2やネットワーク設定など)がどれだけCISのセキュリティ基準に準拠しているかチェックが行われ、準拠している割合がパーセント表示されます。継続的に監視されるため環境の内容が変わった場合、自動でチェックされパーセントが変動します。ネットワーク設定で必要に応じて外部に公開していることなどがあるため、パーセントが低いからといって必ずしも環境が悪いというわけではないようです。NG項目を確認して意図していない設定になっていないかなど確認できます。

・コンプライアンスの自動化
CISベンチマークでNGを検知した場合やAWSのセキュリティ監視サービスGuardDutyなどで検知した内容をまとめて表示したり、メール送信、lambdaに連携してアクションをおこすことができます。さらにトレンドマイクロなど一部の連携可能な外部セキュリティサービスで検知した内容も表示、アクションを起こすことが可能です。

◆AWS Control Towerの機能

・ランディングゾーンの設定を自動化
グループが大きくなるとセキュリティを担当するグループやテストを担当するグループなど、
役割に応じて必要な権限ポリシーをもったアカウントを複数作成することになります。
マルチアカウントのAWS環境セットアップを自動化できます。

・ポリシーの制御
ポリシーの制御をControl Towerで行うことで、勝手にアカウントごとにポリシー追加などできないように強制できます。

・統合ダッシュボード
管理下のアカウントに関する情報をまとめて表示できます。アカウント数、アカウント全体で有効になっているポリシーの数等、アカウントに関する詳細を表示することもできるようです。

◆まとめ
AWS Security HubでCISベンチマークを有効化することにより、お客様に自分のところのセキュリティは問題ないと明確にし、コンプライアンスの自動化を行うことにより問題が発生したときも迅速な対応ができそうです。
既に外部サービスのセキュリティを導入していたとしてもAWS Security Hubを適用できるのは、さすがＡＷＳ抜け目がないなと思いました。
AWS Control Towerについては、自分の知識不足もあり、今のところ大規模な開発で活かすことができそうだなぐらいの印象です。
AWSは鬼のような勢いでサービスが増えていくので、新サービスを確認するのは大変ですが、こうやってセミナーで新サービスにふれるのは楽しいですね。

以上　簡単ですがレポートでした。