☔
【AWS学習】AWSの監査ログ(CloudTrail)を保護するには??
どうしてS3にCloudTrailのログを入れるのか
- CloudTrailの証跡ログは、マネージメントコンソールから過去90日間のものを検索できますが、90日以前のものは別途S3に保存したファイルを見る必要があるからです。
- AWSリソースの棚卸しをするときや何か起こったときには、CloudTrailのコンソール画面から対象のログ(S3バケット)に対してAthenaのテーブル作って分析する。
削除保護
S3 Multi Factor Authentication (MFA) Delete
- バケットに MFA Delete を設定することで、バケット内のデータが誤って削除されないようにできる
S3 バージョニング
- 単一のオブジェクトの複数のバージョンを保持できるようになり、操作ミスによる削除に対しても、簡単に復旧できる
暗号化
Amazon S3 Server Side Encryption(SSE)
- デフォルトでは、CloudTrail ログファイルは Amazon S3 Server Side Encryption(SSE)を使用して暗号化され、S3 バケットに保存
KMS キー (SSE-KMS) を使用したサーバー側の暗号化
- 直接管理可能なセキュリティレイヤーを提供するには、代わりに CloudTrail ログファイルのAWS KMS キー (SSE-KMS) を使用したサーバー側の暗号化を使用
AWS KMS キーによる CloudTrail ログファイルの暗号化 (SSE-KMS)
整合性
CloudTrail のログファイルの整合性検証
- CloudTrail が配信した後でログファイルが変更、削除、または変更されなかったかどうかを判断する
アクセス制御
IAM
- アクセスできるIAMユーザー・ロールで付与する権限で絞る、バケットポリシーで絞る
S3バケットポリシー
- Amazon S3 のリソースへのアクセスに MFA を強制的に適用することができる
MFA を要求するバケットポリシーの追加
SCP
- SCPを適用してガチガチに制御することもできる
SCP を利用し、特定の CloudTrail と特定の S3 バケットに対して制限
Discussion