目次

AWSの統合

Conformity Botは、組織に追加したAWSアカウントからのAPI呼び出しを介してメタデータを取り込みます。

Trend Micro Cloud One™–Conformityのデータアクセス要件は、アカウントごとに有効になっている製品サブスクリプションによりアカウントレベルで決定されます。

サポートされる地域

AWS Well-Architected Tool

パッケージ 種類 アクセス設定
セキュリティ ベース AWS Custom Policy
リアルタイム監視 アドオン Real-Time Threat Monitoring 設定
Cost Optimisation アドオン AWS Cost Billing バケットにアクセスする

サポートされる地域

Conformity Bot は、AWSがサポートする3つを除くすべてのリージョンからデータを取り込むことができます。

サポートされていないリージョン

  1. 中国の2つの地域
  2. AWS GovCloud (米国)

Conformity AWSアカウントにアクセスする方法

Conformity は、 AWS Custom Policy を使用してAWSアカウントのメタデータを表示します。データへの読み取りまたは書き込みアクセス権はありません。

Conformity が収集するデータとその保存方法

Conformity は、AWSインフラストラクチャに関連付けられたメタデータにのみアクセスします。たとえば、AWSアカウントには12個のS3バケットと20個のEC2インスタンスがあることを認識していますが、これらのリソースに関連付けられたデータ/アプリケーションを確認できません。

有効なアカウントのメタデータは12か月間保持され、その後自動的に削除されます。イベントの場合は、UI経由でログをクエリし、API経由で1200件のイベントを表示できます。アカウントの無効化を選択した場合、無効化の時点ですべてのデータが自動的に削除されます。

Conformity の誰かがこのデータを確認していますか?

いいえ、 Conformity のスタッフには、 ダッシュボード やアカウント情報を表示する権限がありません。テクニカルチームの承認されたメンバーは、コンプライアンスチェックの実行数など、アカウントに関連付けられたメタデータを表示するためのアクセスが制限されています。ただし、AWSアカウントに関連付けられた特定の違反については確認できません。

メタデータ

インフラストラクチャ設定(メタデータ)は機密と見なされる可能性があることを理解しており、このメタデータが安全に取得、保存、およびアクセスされるように、複数のセキュリティ層を設定しています。

AWSのインフラストラクチャ内のすべてのタッチポイントで顧客のメタデータが暗号化されます。署名済みリクエストと AWS Security Token Service (STS)を使用したデータ収集から、 AWS Key Management Serviceを使用した保存時の暗号化の使用まで。すべての社内スタッフは、強力なパスワードポリシーに準拠し、MFAを有効にする必要があります。 Conformity インフラストラクチャへのすべてのアクセスは監視され、アクセスレベルは定期的に見直され、最小限の権限が適用されます。実稼働システムにアクセスできるのは、 Conformity エンジニアのみです。

Conformity のスタッフは、 Technical Account Manager に読み取り専用のアクセス権を付与することをお客さまが選択しないかぎり、お客さまの Conformity アカウントにアクセスできないことに注意してください。

AWS Well-Architected Tool

  • AWS-Well Architect Toolの仕組み
  • ツールの使用を開始する方法

Trend Micro Cloud One™– Conformity は、 AWS Well-Architected Tool と統合され、お客様がAWSでワークロードを360度レビューして、リソースがAWS Well-Architected Frameworkに準拠していることを確認できるようになりました。

AWS Well-Architected Tool の仕組み

AWS Well-Architected Toolは、AWS Well-Architected Framework を使用して、セキュリティ、信頼性、パフォーマンス効率、運用効率、コストの最適化、および持続可能性の5つのアーキテクチャの柱におけるベストプラクティスとクラウドアプリケーション環境を比較します。

ユーザは一連の質問に答えてワークロードを確認および評価し、見返りに改善するための手順を追ったガイダンスを受け取ります。

AWS Well-Architected Toolの使用を開始する方法

  1. Custom Policyのアップデート:AWS Well-Architected ToolのデータにConformityがアクセスできるようにします。新しい権限は次のとおりです。

      * wellarchitected:ListWorkloads
      * wellarchitected:GetWorkload
    


  2. Conformityで次のルールが有効になっていることを確認します。詳細については、「 Configure Rules」を参照してください。


    1. WellArchitected-001: AWS Well-Architected Tool を使用中

    この Ruleを設定することで、 Conformity を有効にして、 AWS Well-Architected Tool が使用されているかどうかを検出できます。


2. WellArchitected-002: AWS Well-Architected Tool の検出結果

この Rule を設定すると、 Conformity で、ツールからのAWSアカウントの検出結果の概要を表示できます。

[ Resolve ]ボタンをクリックすると、 Knowledge Base ページが表示され、ツールの使用およびFailureの解決に関する手順を追ったガイダンスが表示されます。



ルールを有効にしてカスタムポリシーをアップデートすると、 AWS Well-Architected Tool と Conformityを使用できるようになります。