Workload SecurityとAWS Servicesを統合する

Workload Security APIの使用AWS APIを使用してWorkload SecurityとさまざまなAWSサービスを統合できます。ここで紹介するワークフローの例では、次のAWSサービスとの統合方法について説明します。

  • Amazon GuardDuty
  • Amazon Macie
  • Amazon Inspector
  • AWS WAF
  • AWS設定

これらの例は、 Workload Security を統合したGitHubでホストされていたコードサンプルを、これらのセキュリティサービスのそれぞれに置き換えます。

AWS Cloudは、 共有責任モデルで動作します。使用しているサービスについて、貴社とAWSは一連の業務領域とセキュリティ領域で責任を共有します。Amazon EC2インスタンスおよびAmazon ECSコンテナホストの場合は、OS、アプリケーション、およびデータのセキュリティを守る責任があります。Workload Security は、これらの責任を果たすために設計されています。AWSには、これらの責任に対応するためのさまざまなセキュリティサービスが用意されており、 Workload Securityにさらなる洞察を提供できます。

ワークフローパターンファイル

Workload Security とAWSサービスを統合するためのほとんどのワークフローは、 Workload Security がAWSが生成するイベントや情報に対応するのと同じパターンに従います。

  1. AWSサービスは、アラートや検索などのデータポイントを生成します。
  2. CloudWatchイベントが生成されます。
  3. イベントによってAWSラムダ機能が起動します。
  4. Lambda関数は、 Workload Security APIを使用して、 Workload Securityで処理を実行します。

このワークフローは、 Workload Security内で賢明な意思決定を行うために環境から情報を取得します。このパターンは環境に合わせて簡単にカスタマイズできます(次の例を参照)。

Amazon GuardDuty

Amazon GuardDuty サービスは、VPCフローログ、Amazon CloudTrailログ、およびAWSアカウントに影響を与える可能性のある問題や脅威のカスタムIPリストを継続的に監視します。

これらの活動の一環として、GuardDutyはアカウントで実行されているEC2インスタンスの問題の兆候を検出することもあります。問題が検出されると、検出されます。これらの結果は、 Workload Securityで処理を実行するために使用できる優れた情報源です。

次のワークフローを使用してGuardDutyと統合します。

  1. Amazon GuardDutyは、EC2インスタンスを引用する検索結果を生成します。
  2. Amazon CloudWatchは、GuardDuty検索でイベントを発生させます。
  3. Cloudwatchイベントは、CloudWatchイベントに登録されているAWSラムダ関数をトリガします。
  4. ラムダ関数は、EC2インスタンスが Workload Security によって保護されているかどうかを判断し、それに応じて応答します。
    • プロテクト: ラムダ関数は、推奨検索を実行し(結果を適用)、整合性検索を実行して保護が適切であることを確認します。
    • 保護されていない: ラムダ機能は、保護されていないインスタンスを関連するチームにハイライト表示します。

GuardDutyは、可能性のある暗号化マイニングや通常と異なるネットワークトラフィックなど、EC2インスタンスに関する問題を検出すると、Workload SecurityEC2インスタンスに適用された最新のルールが適用され、適用された整合性ルールセットに従って情報漏えい対策が行われていないことを確認します。

Amazon Macie

Amazon Macie (限定版)は、Amazon S3バケットの内容を調べて機密データを検出、分類、保護します。Macieは、個人情報(PII)や企業の機密データを検索し、そのリスクを強調表示します。

設定が間違っていると、S3バケツが重要な情報源になります。Macieが問題を検出すると、CloudWatchイベントを介してアラートが発生します。このイベントは、 Workload Securityで処理を開始できます。

関連するEC2インスタンスに最新のルールが適用されていることを確認することで、 Workload Security がS3バケットのリスクを削減できるかどうかをバケットおよびIAMの権限で判断できます。

Macieと統合するには、次のワークフローを使用します。

  1. Amazon Macieはアラートを生成します。
  2. Amazon CloudWatchは、Macieアラートからイベントを発生させます。
  3. CloudWatchイベントは、CloudWatchイベントに登録されているAWSラムダ関数をトリガします。
  4. ラムダ関数は次のタスクを実行します。

    a. S3バケット許可がアクセスを許可するIAMの役割を検出します。
    b. Workload Securityで保護されたEC2インスタンスがIAMの役割を使用し、バケットにアクセスできるかどうかを決定します。
    c. 推奨検索(結果の適用)と整合性検索を実行して、保護が適切であることを確認します。

Amazon Inspector

Amazon Inspector は、EC2インスタンスとECSホストのセキュリティとコンプライアンスの向上に役立つ、自動化されたセキュリティ評価サービスです。インスペクタはインスタンスでエージェントとして実行され、診断要求の結果としてレポートが生成されます。

このレポートには、インスタンスで検出された脆弱性または問題の一覧が表示されます。セキュリティ上の脆弱性については、通常、CVE識別子が含まれます。CVE識別子は、適用された Workload Security侵入防御 ルールと相互に関連付けることができ、適切なカバレッジを確保できます。

次のワークフローを使用してInspectorと統合し、 Workload Security の推奨検索を強化します。

  1. Amazon Inspectorは評価を実行し、検出結果を生成します。
  2. Amazon CloudWatchはイベントをイベントから検索します。
  3. このイベントは、CloudWatchイベントに登録されているAWSラムダ関数をトリガします。
  4. ラムダ関数は次のタスクを実行します。

    a. 影響を受けたEC2インスタンスが Workload Securityによって保護されているかどうかを判断します。
    b. 保護されている場合は、検出されたCVEに対応する 侵入防御 ルールがあるかどうかが判断されます。
    c. ルールをEC2インスタンスに割り当てられているポリシーに適用します。

AWS WAF

AWS WAF は、AWS Edgeを構成する120以上の拠点で動作するWebアプリケーションファイアウォールです。WAFはレイヤ7のWeb要求を調べ、一般的なWebベースの攻撃を検出します。

Workload Security侵入防御 モジュールではこれらの攻撃を阻止できますが、こうした種類の攻撃は可能な限り組織のデータからは遠ざけてブロックすることが望まれます。

トレンドマイクロでは、AWS WAFの2つの管理下のルールを提供しています。

以下の簡単なワークフローを使用して、AWS WAFで保護されているEC2インスタンスとECSホストを選択し、管理下のルールセットを活用することをお勧めします。

  1. Amazon CloudWatchタスクがAWSラムダ機能を起動します。
  2. ラムダ関数は次のタスクを実行します。

    a. 各CloudFrontディストリビューションで、関連付けられているWAF WebACL(WACL)IDを確認します。
    b. 各ELBおよびALBで、関連付けられているWAF WACL IDを確認します。
    c. WAFで保護されたリソースに関連付けられているインスタンスごとに、そのポリシーを保護する Workload Security ポリシーが決定されます。
    d. ポリシー(WebサーバまたはWebアプリケーション)に割り当てられている 侵入防御 ルールに基づいて、適切な管理ルールセットを適用します。

AWS設定

AWS Config サービスは、環境内の変更を記録し、環境の可視化を作成します。この情報を使用すると、環境を監査、評価、および診断することができます。サービスは環境を継続的に監視するため、特定の変更が発生したときにルール(AWSラムダ機能)を実行し、このコンプライアンスツールに情報を追加できます。

Workload Security は、コンプライアンスに関する話題で重要な役割を果たしているため、AWS Configとの統合は非常に重要です。

AWS Configのルール機能は非常に簡単です。トリガを選択すると、そのトリガが発生したときにAWSラムダ機能が実行されます。選択する最も一般的なトリガは、「Resource / EC2 instance」です。インスタンスが変更されるたびに、ラムダ関数が実行されます。

Lambda関数は、変更が発生したときにインスタンスに関する情報を取得できます。たとえば次のようになります。

  • インスタンスが特定のポリシーで保護されているかどうか
  • 特定の保護モジュール( 不正プログラム対策など)がインスタンスでアクティブかどうか
  • インスタンスが警告をクリアしているかどうか

これらの各例は、AWS Configで簡単に記録できる重要なコンプライアンス情報を提供し、コンプライアンス監査のための単一のデータソースを作成します。