Zenn
スタフェステックブログPublicationへの投稿
🛡️

Cloudbaseを使ってAWSの設定ミスを自動検知して、安心安全なAWS環境を実現するよ

koonagi (kohei yamazaki)
2022/12/15に公開
AWS
Security Hub
#
cspm
Cloudbase
tech

こんにちは!
インフラエンジニア兼データエンジニアの@koonagiです。

昨日は石田さんのSwagger定義から生成したAPIのテストをCIで実行するでした!
自分があまり知らない領域の話でしたが、丁寧に解説されていて、とてもわかりやすかったです。CIでのAPIテストめっちゃよさそっ。

それでは、15日目の記事ですが、最近AWSのセキュリティ強化の一環でとして、CloudbaseというCSPMを導入したのでそのことについて書いていこうと思います。

CSPMとは

そもそも、CSPMとは、Cloud Security Posture Managementの略で日本語だとクラウドセキュリティポスチュア管理と呼ばれる機能です。 AWSなどのパブリッククラウドを使うことが多い時代となりましたが、そこで発生した設定ミスによるセキュリティリスクを検知、可視化してくれます。
AWSのCSPMサービスだとSecurity Hubが該当するかなと思います。

CSPMが必要な理由

セキュリティ インシデントの原因は設定ミスが殆どのようで、2020年では95%を占めていたそうです。
確かにS3バケットを意図せず外部公開されていて顧客情報が漏洩したような話をよく聞きましたね😨

https://www.itmedia.co.jp/enterprise/articles/1707/13/news055.html

そんなセキュリティリスクにつながる設定ミスをしてしまった場合に、CSPMを導入しておくと設定ミスを検知し、リスクが顕在化する前に対応することができるようになります!

Cloudbaseを使ってみた所感

Cloudbaseは日本のスタートアップ企業のCloudbase(旧:Levetty)さんが2022年に開発/リリースしたCSPMサービスです。

https://prtimes.jp/main/html/rd/p/000000013.000056572.html

2022年11月からCloudbaseを本格導入したのですが、日本企業が開発しているのでドキュメントやサービスが日本語であったり、営業さんとのやり取りもスムーズに行えるため導入のハードルはかなり低かったです。

意図していなかったリソースの設定や棚卸しがてきていなかったIAM関連のリソースがあったのですが、Cloudbaseを使うことでその項目が可視化され、対処することができました。
インフラエンジニアが多いわけではないため、設定のチェック業務をCloudbaseが代わりにやってくれて大分助かりました...!

実はCloudbaseを導入する前は、Security Hubを使っていたのですが、検出した設定の場所を特定するのに時間かかったり、対応の内容が英語で対応に苦労していましたが、Cloudbaseを導入してその苦労が解消されました🥺

機能紹介

Cloudbase機能をいくか紹介します!
2022年12月15日現在では主に以下の機能かなと思います。

  1. 設定診断機能
  2. リソースの棚卸し機能
  3. 通知機能

日々機能アップデートされていて、この前は診断結果をダウンロードしたいなぁと思ってたら、2週後に機能リリースされていてびっくりしましたw

1. 設定診断機能

CSPMのメイン機能の一つである設定診断機能です。
検出対象のAWSアカウントを紐付けして、スキャンを実施すると以下のように各AWSアカウントでどのようなセキュリティリスクのある設定があるか可視化されます。

検出したセキュリティリスクに対してとても丁寧に対処方法がドキュメント化されているので、インフラに詳しくないメンバーでも対応できるのがいいですね。

また、セキュリティリスク数の推移が見れるのでセキュリティ対応の進捗が見えて良き。

スキャン結果はcsv、xlsx形式でダウンロードすることも可能です!

2. リソースの棚卸し機能

個人的な推し機能のリソースの棚卸し機能です。
S3やCloudWatch Logsなどの各種リソースのリソース名やそのリソースが設定リスクがあるかどうかを可視化してくれます。 (40近くのリソースに対応していました
継続的な棚卸し作業は様々なリソースがあるAWS環境だと仕組みづくりや定期的な運用負荷が結構あったのですが、かわりにやってくれるのはとてもありがたく感じています。。。

リリースの棚卸し機能もcsv、xlsx形式でダウンロードすることができます!

3. 通知機能

診断結果の内容をメールやslackに通知することができます!
通知をする最低のセキュリティリスクレベルを選べるのはとても良い。

ex. 新機能?

最近ホーム画面上に、コンテナスキャンという項目が追加されていました(゚∀゚)
まだ機能は使えないようですが、どんな機能なのか今から楽しみです。

最後に

今後さらにAWSを活用していくにつれて、意図しない設定起因のセキュリティリスクが増えていき、人力でのチェックが難しくなっていくと思います。 そのため、CloudbaseのようなCSPMをうまく活用していく必要があるなと感じました。
適切な設定を行って安全にAWSを活用していきましょう!

PR

採用情報

エンジニアを絶賛採用中ですので、気になる方は是非以下のページをご確認ください!
インフラやデータ基盤の話をもし聞きたい方がいましたら、カジュアル面談でさせてくださいっ

https://stafes.notion.site/stafes/d0996a00d77d418280982797c7e16001

スタフェステックブログ
スタフェステックブログPublication

スターフェスティバル株式会社のエンジニアが運営しています!

Discussion