Zenn
スタフェステックブログPublicationへの投稿
🏃

CSPMのCloudbaseに登録して最初にやること

koonagi (kohei yamazaki)
2023/03/20に公開
#
初期設定
Cloudbase
tech

こんにちは! スターフェスティバルでインフラエンジニア/データ基盤エンジニアをやっております @koonagiです。

昨年のアドベントカレンダーに書きましたが、AWS環境のセキュリティ強化の一貫として、CloudbaseというCSPMを導入しました。Cloudbaseと契約して、まずこんなことやったよというのを本ブログに書いていこうと思います!

Cloudbaseってなんぞやという方はアドベントカレンダーに記載していますので、是非こちらをご連絡ださい🙋
https://zenn.dev/stafes_blog/articles/fed870d0886a0c

初期設定

初期登録は概ね以下の通りです。5.管理者登録と6.閲覧者登録については必要に応じて実施していただければと思います。

  1. プロジェクト作成
  2. クラウドアカウント作成
  3. スキャン時間の設定
  4. 通知設定
  5. 管理者登録
  6. 閲覧者登録

1.プロジェクトの作成

Cloudbaseに初回ログインしたら、まずはプロジェクトの登録から開始します。
Cloudbaseには以下のようなイメージで、組織とプロジェクトというグルーピングの単位があります。

組織は会社単位の枠組みでアカウント発行時にアカウントと紐付けされています。
プロジェクトは、AWSやAzureをグルーピングすることができ、プロジェクト単位で権限制御することが可能です。

プロジェクトは複数作成することが可能なため、権限を分割したいチームや部署単位ごとに分けると良いと思います。

設定箇所

  • [ホーム]-[組織]-[メンバー管理]

2.クラウドアカウントの登録

プロジェクトの登録の作成が完了したら、AWSやAzureなどのアカウント紐付けを実施します。
手順はCloudbase上に記載されているので詳細は割愛しますが、AWSの場合は、CloudformationでIAMロールを作成し、作成されてIAMロールarnをCloudbase側に登録する流れになります。

AWS、Azure、GCPを一つのプロジェクトに混ぜることも可能です!
マルチアカウントを利用している会社さんだと凄い便利ですね。

3.スキャン時間の設定

Cloudbaseでは、毎日指定した時間にスキャンが実行されます。
クラウドアカウント登録した際には、自動でスキャンの時間が割当られるので、任意の時間に設定しましょう。

弊社の場合は、複数のAWSアカウントがあるのですが、同時にスキャン結果が閲覧できるように同時刻にスキャンされるように設定しています。

設定箇所

  • [プロジェクト]-[クラウドアカウント] - [各アカウントの設定(歯車マーク)] - [定期スキャン実行時間の確認]

4.通知設定

現在Cloudbaseには以下の3つの通知方法が用意されています。

  • Slack
  • メール
  • Microsoft Teams

定期スキャンの結果で、新しい驚異を検出した際にすぐに気がつける仕組みとなっているので設定するのがオススメです!

重大なセキュリティリスクが発生した場合のみ通知したいという方もいると思いますが、通知する最低のセキュリティリスクを設定することができるので、CRITICALが増えた場合のみ通知するということも可能です。
弊社では、slackにインフラのアラートを通知するチャンネルがあるのですが、そこに飛ばすように設定しています。

設定箇所

  • [プロジェクト]-[設定]-[通知設定]

5.管理者の登録

次に管理者の登録をしてきましょう。
管理者の種類については、以下の2種類ありますので、役割に応じて設定していきましょう。

① 組織レベルの管理者 : プロジェクトの作成削除/すべてのプロジェクトの編集権限
② プロジェクトレベルの管理者 : 特定のプロジェクトの編集権限

①に関しては、すべてのAWSやAzureアカウントを管理しているインフラチームなどを登録し、②については各種アカウントのオーナーであるチームや部署単位の担当者を登録するイメージです。

ちなみにどちらの管理者も複数名登録可能かつ後から管理者へ昇格することも可能です!

設定箇所

①②で登録箇所が異なり、設定箇所は以下の通りです。

  • ① [ホーム]-[組織]-[メンバー管理]
  • ② [プロジェクト]-[設定]-[ユーザー管理]

6.閲覧者の登録

最後に必要に応じて診断結果やリソースについて、参照権限のみ付与したいユーザーを招待していきましょう。
こちらも管理者同様に、2種類の閲覧者が存在します。

① 組織レベルの閲覧者 : プロジェクトの参照権限 / すべてのプロジェクトの参照権限
② プロジェクトレベルの閲覧者 : 特定のプロジェクトの参照権限

今は閲覧者は利用していませんが、今後はアプリチームのメンバーにプロジェクトレベルの閲覧者権限を付与して、誰でもクラウドのリスクを確認できる状態にしていこうと考えています。

設定箇所

  • ① [ホーム]-[組織]-[メンバー管理]
  • ② [プロジェクト]-[設定]-[ユーザー管理]

以上で初期設定は完了です!
指定したスキャン時間に定期実行されて、必要に応じてメールやslackに通知されるようになります🙌🏼

最後に

Cloudbaseに登録して最初に実施したことを書いてみました。インフラ詳しくない人でも簡単に設定できるくらいシンプルな操作になっているのでありがたいですね..!
Cloudbaseを数ヶ月利用したので、次はどのようにセキュリティリスクを解決していったのかについても書いていきたいなーと思っております。

スタフェステックブログ
スタフェステックブログPublication

スターフェスティバル株式会社のエンジニアが運営しています!

Discussion