目次

AWSのセキュリティ診断を設定する

[診断]ビューの利点は簡単に設定して使用できます。

  1. AWSアカウントへのアクセスを設定して、サーバレスの資産情報を取得します。
  2. 報告されたセキュリティ診断情報を確認し、セキュリティスコアの改善を開始します。

AWSアカウントへのアクセスを設定する

Application Security は、アカウントの Lambda 関数だけでなく、これらの関数の設定方法も確認できるように、AWSアカウントから情報を取得する必要があります。セキュリティ診断は、 Lambda 関数設定、および Application Securityで設定されたセキュリティコントロールとポリシーから取得されます。

AWSアカウントへのアクセスを設定するには、次の手順に従います。

  1. 左側のパネルで姿勢アイコンをクリックして、[Application Security Assessment]ビューにアクセスします。

    スクリーンショット

  2. 同じブラウザの別のタブで、AWSアカウントにログインします。

    アカウントにログインしているユーザに、AWS Cloud Formationスタックを作成するために必要な権限があることを確認します。

  3. [Assessment]ビューで、[Cloud Providers Account]を選択します。

    クラウドプロバイダアカウントビュー

  4. 右上で、 Add Cloud Provider Accountを選択します。

    Add Cloud Provider Accountを選択するとダイアログが開きます Cloud Formationスタックの必要な設定を完了すると、必要なアクセスが提供されます。

    スクリーンショット

  5. プロバイダアカウントの名前を指定します。AWSアカウントへの接続を参照するために使用される名前です。

  6. Nextを選択します。

  7. AWSアカウントにCloudFormationスタックを作成します。

    スクリーンショット

    Cloud Formationでスタックを作成するには、次のいずれかを実行します。

    1. Application Security に、AWSアカウントのスタック作成をテンプレートから自動的にプッシュさせる。

    2. AWSでCloud Formationスタックを手動で作成する。

  8. ARNの役割を設定します。

    Cloud Formationスタックが作成されたら、AWSコンソールの[Outputs]タブに移動し、作成したロールARNを取得します。Cloud One - Application Security Cloud Formationスタックビューで、 ARN Role テキストボックスにロールARNを追加します。次に Nextを選択します。

ロールが作成されると、 Application Security は Lambda 関数設定にアクセスして、サーバレス関数のセキュリティ評価を提供できるようになります。 Application Security とAWSアカウント間のアップデートは10分ごとに同期されます。

セキュリティ評価の評価と改善

Application Security は、AWSアカウント設定へのアクセスを設定すると、 Lambda関数 設定を処理し、次の3つの主要な要素についてレポートします。

  1. AWSアカウントで設定された Lambda 関数の診断

  2. Lambda 機能と Application Securityで作成された保護グループとの関連付け

  3. 全体的な保護ステータス

スクリーンショット

Lambda 機能保護の評価

セキュリティ評価の最前線は、AWSアカウントでプロビジョニングされた Lambda 関数の保護の評価です。Application Security は、AWSアカウントに Lambda 関数の設定を照会します。各関数の保護ステータスは、次のいずれかのセキュリティステータスで評価されます。

  • 保護されていません。関数が Application Security 保護ランタイムで設定されていないか、すべてのセキュリティコントロールが無効になっている保護ランタイムで設定されています。

  • 部分的に保護されています。関数は、 Application Security 保護レイヤまたはランタイムで設定されます。セキュリティコントロールの一部の保護の種類がレポート対象に設定されています。

  • 保護されています。関数は、 Application Security 保護レイヤまたはランタイムで設定されます。セキュリティコントロールで有効になっている保護の種類はすべて軽減に設定されています。

Application Security では、技術的な理由で無効にする必要がある場合があるため、すべての種類の保護を有効にすることは強制されません。

  • 除外されました。(オプション)[Exempted]とマークされている関数。これらは、[Include Exempted Functions]が有効な場合にのみ表示されます。

Lambda 関数と保護グループの関連付け

Application Security 保護ランタイムによって関数が保護されるように設定され、保護ランタイムがアクティブになると、 Application Security は Lambda関数 を保護グループに関連付けることができます。

スクリーンショット

Lambda 関数は、次の3つの属性でグループ化して表示できます。

  1. AWSリージョン

  2. 保護ステータス:[Protected]、[Partially Protected]、または[Unprotected]のステータスでグループ化されます。

  3. Application Security 保護グループ別

フィルタは、同じ3つの属性を使用して適用することもできます。

  1. AWSリージョン

  2. 保護ステータス:[Protected]、[Partially Protected]、または[Unprotected]のステータスでグループ化されます。

  3. Application Security 保護グループ別

グループ化とフィルタを組み合わせることで、保護されていない注意が必要な Lambda 関数を迅速かつ簡単に確認できます。たとえば、保護ステータス別にグループ化してフィルタすることで、保護されていない Lambda 関数をすばやく確認できます。

同様に、保護グループでグループ化することで、保護グループに関連付けられた Lambda 関数のリストを簡単に特定できます。

全体的な保護ステータス

Application Security セキュリティ評価では、すべてのリージョンと保護グループにまたがるすべての Lambda 関数の全体的な保護ステータスが提供されます。 全体的な保護機能により、すべての機能の全体的な保護ステータスをすばやく簡単に確認できます。

スクリーンショット