re:Inventラスベガスで開催中の re:Invent イベントにおいて、Amazon Web Services (AWS) は、顧客が S3 (Simple Storage) サービスに保存されているデータを world+dog に流出させないようにするための新しいツールを公開しました。
「S3用アクセスアナライザーは、アクセスポリシーを監視し、ポリシーがS3リソースへの意図したアクセスのみを提供するようにする新しい機能です」とクラウド大手は述べた。
お客様は、IAM(Identity and Access Management)コンソールの新しいオプションからAccess Analyzerを有効化できます。バケット(S3内のストレージ領域)がパブリックアクセスまたは他のAWSアカウントへのアクセスを許可するように設定されている場合、このツールは警告を発します。もちろん、このツールは、ポリシーやアクセス制御リスト(ACL)の設定ミスによって、こうした設定が誤って行われる場合があることを示唆しています。
新しいワンクリックオプションにより、パブリックアクセスをブロックできます。これにより、手遅れになる前にデータの不正使用を回避できます。また、このツールでは、どのポリシーまたはACLがアクセスを許可しているかを確認できるため、修正すべき点を把握できます。
S3 用の AWS アクセス アナライザー (クリックして拡大)
もちろん、一部のS3バケットは意図的に公開されています。例えば、ウェブサイトのリソースや、アプリケーションのデプロイやサポートのためのダウンロードなどです。このような場合は、ツール内でそれらのバケットにマークを付けることで、意図したとおりに動作していることを示すことができます。
re:Inventの盛大なイベントで、シニアプリンシパルエンジニアのベッキー・ワイス氏がAWSセキュリティの基礎に関する満員のセッションで講演を行いました。彼女は「AWSには至る所で繰り返されるセキュリティパターンがある」と説明し、テーマを3つの部分に分けました。1つ目はIAM(キーマネジメントサービス)で、クラウドインフラストラクチャへのアクセス制御に使用されます。「すべてのAWSサービスでIAMが使用されています」とワイス氏は付け加えました。2つ目はKMS(キー管理サービス)で、データ暗号化の制御に使用されます。3つ目はVPC(仮想プライベートクラウド)で、顧客の仮想ネットワークへのアクセス制御に使用されます。
ワイス氏は、AWSにおけるIAMポリシーの仕組みと、あるAWSアカウントから別のアカウントに属するリソースへのアクセスを許可する必要がある場合の対処法について簡潔に説明しました。AWSでは、複数のアカウントの管理を容易にするために組織を使用しています。
また、VPC のプライベートおよびパブリックサブネット、これらのサブネットへのアクセスを制御するファイアウォールルールであるセキュリティグループ、S3 などの AWS サーバーレスリソースなど、VPC 外部のリソースへのネットワークアクセスを管理できる VPC エンドポイントについても紹介しました。
AWSリソースのセキュリティ確保は、多様なサービスとその利用規模の大きさから困難を極めています。まずは、AWSが提供するセキュリティパターンを理解することから始めましょう。Weiss氏は、その概要を分かりやすく解説しています。
これらはすべて、すべての AWS 顧客が理解すべきことですが、セッションの最後に、筆者は出席者の 1 人が他の出席者に「つまり、基本的にすべてを再構成する必要がある」と言っているのを耳にしました。
ユーザーが新しいアクセス アナライザーを有効にすると、かなりの数のアラートが送信されることが予想されます。®
