Amazon MacieでS3内の機密データを自動検知して脆弱性をチェックする
はじめに
AWS re:Invent 2022開催中ですね。
Lambda SnapStartなどの注目の新しいサービスや機能が続々と発表される中、ひっそりと(?)発表されたAutomated Data Discovery for Amazon Macieを試します。
どういうものかというと、Amazon S3上に機密データが存在するかを自動検知してくれるセキュリティ機能です。
Amazon Macie自体は以前からあったサービスですが、今回自動検知機能が追加になって格段に使いやすくなっています。
早速使ってみる
機能の有効化
使い方はとても簡単です。
Amazon Macieの設定に自動検出という項目が増えているので、有効化します。以上です。
結果を確認する
しばらく待つと概要ページやS3バケットのページで結果を確認できます。
(以下のキャプチャは分析が終わってないので中途半端な状態です。)
機密情報が検知され問題があるバケットが見つかると、赤くなってその内容を通知してくれるようです。残念なことに(?)スキャンが完了したバケットは問題がなかったようで、どういう表示になるのか確認できませんでした。後日テスト用の環境を使って試したいと思います。
結果を通知する
結果をEventBridgeで拾って、SNSを使って通知することが出来ます。GuardDutyと同様にEventBridge→SNS→Chatbot→Slackと通知すると使い勝手が良さそうです。もちろんSNSからメールに送ることも出来ます。
現状、残念なこことに(?)手元の環境に機密情報を含むS3がなく、通知をあげることが出来ません。後日テスト用の環境を使って試したいと思います。
最後に
とりあえずONにするだけで使える便利なセキュリティ機能です。今後はコスト面の問題がなければ、GuardDutyとセットでMacieによる自動検知をONにするのを標準にするのが良さそうです。
記事が短くて内容も中途半端ですが、速報ということで勘弁してください。
数日後、追記
検知されました!
数日経ったら、S3の検知が終わったらしく、いくつか検知されていました。
通知を作りました!
実際に検知されたので、これは活用したほうがよいな。。。
ということで、EventBridgeでルールを作りました。流石にLowは無視でもいいだろうと判断して、Medium以上を検知させます。
{
"source": ["aws.macie"],
"detail-type": ["Macie Finding"],
"detail": {
"severity": {
"score": [2, 3],
"description": ["Medium", "High"]
}
}
}
宛先はSNS経由でChatbotを通ってSlackです。
S3にテスト用のダミーのcredentialファイルを置いたので、実際に通知が来たらまた追記します。
通知が、来ました
だいたい2日くらいで検知されて、slackに通知が飛んできました!
NCDC株式会社( ncdc.co.jp/ )のエンジニアチームです。 募集中のエンジニアのポジションや、採用している技術スタックの紹介などはこちら( github.com/ncdcdev/recruitment )をご覧ください! ※エンジニア以外も記事を投稿することがあります
Discussion