fbpx

【やってみた】CSPMの導入からクラウドアカウントに対するスキャンまで #aqua #aquawave #セキュリティ #CSPM #クラウド #cloudsploit

この記事は1年以上前に投稿されました。情報が古い可能性がありますので、ご注意ください。

はじめに


AWS をはじめとした各種クラウドベンダーは日々新しい機能、サービスを提供しています。これはユーザにとっては嬉しい面もあります。しかし、これらによってクラウドがより複雑化しているという反面もあります。さらに、以下のような要件/規約などセキュリティを考慮すること、それがまたその複雑さを増している理由の一つといっても過言ではありません。

  • CIS
  • PCI-DSS
  • HIPAA
  • AWS Well-Architected
  • etc,,,

そのせいか、クラウド設定や権限設定の不備によるセキュリティ事故の事例については枚挙にいとまがありません。

新たなサービス/機能、セキュリティ要件/規約、各種設定の確認、これら全て「人の力」で追従/実行し続けることはほぼ不可能であり、現実的ではありません。

CSPM とは


ガートナー社の定義によれば、クラウドセキュリティには3つのカテゴリがあります。

  • CWPP:VM、コンテナ、サーバレス等のワークロードが対象
  • CSPM:IaaS と PaaS のアカウントやサービスのアクセス関連や設定情報が対象
  • CASB:SaaS アプリのアクセス関連や設定情報が対象

クラウドセキュリティのカテゴリの一つである CSPM は主に以下の事ができること、を指します。

  • クラウドのセキュリティ構成のスキャン、監視、それらに基づく自動修正機能(製品によって修正方法の提示にとどまるもの、自動修正の有効/無効を選べる製品など様々です)
  • ユーザの役割と権限、証明書とMFA、特定のサービス構成、データ暗号化、ネットワーク、監査機能、仕様傾向、異常検知を調査
  • コンプライアンスのためのアラートとレポートを提供

なぜ必要か


先述の通り、クラウドのサービス/機能は日々生まれており、加えてセキュリティ要件/規約の考慮、各種設定の確認を全て「人の力」で追従/実行し続けることは難しいです。先述のセキュリティ事故などもそのような基本的なミスに起因しています。CSPM を導入することでこれらを可視化することはセキュリティ事故を防ぐ第一歩であり、設定に問題がないことを担保または修正できます。また、セキュリティ担当者の運用コスト・懸念を低減できます。

Aqua Wave をはじめよう


Aqua 社は昨年11月、CloudSploit 社を買収し、CSPM の領域へと拡張しました。そして、今年 Aqua 社のプロダクトのリブランド化により、CloudSploit 商用版として Aqua Wave と命名しました。

今回はその Aqua Wave を試すためのトライアル登録から初回スキャンまでの手順を説明します。クラウドは AWS を使用します。
※手順や画面は2020年9月時点で確認したものになります。
※トライアルは14日間の利用が可能です。

Aqua Wave アカウント作成

ブラウザで Aqua Wave サインアップページにアクセスし、 Aqua Wave のアカウント登録画面に遷移します。
業務用メールアドレスとパスワードを記入し、「Sign Up」をクリックします。
※パスワードは、8文字以上、数字を最低一つ、大文字小文字を最低一つ含める必要があります。

「件名:Aqua Wave - Please Confirm Your Email」で登録したメールアドレス宛にアクティベート用のメールが届きます。メールの「Confirm Email」をクリックします。
ブラウザ上で「Your account has successfully been confirmed.」と表示されれば登録完了です。「You may now sign in.」をクリックし、先ほど登録したアカウント情報で Aqua Wave にアクセスしてください。

クラウドアカウント登録方法とスキャン

Aqua Wave にアクセスするとダッシュボードが表示されます。画面の「Connect A Cloud Account」の「Connect」をクリックします。

「Cloud Account Type」で AWS を選択すると、Method が表示されます。推奨が CloudFormation の利用なのでこれを選択します。
ブラウザ上で新規タブを開き、AWS にログインしておきます。Aqua Wave の画面に戻り、「Launch Stack」をクリックします。

AWS のCloudFormation のスタックの作成画面が表示されます。内容を確認し、そのまま「スタックの作成」をクリックします。

スタックが作成されたら、「出力」の画面に遷移し、ARN 情報をコピーしておきます。

Aqua Wave の画面に戻り、ARN 情報をペーストし、「Connect Account」をクリックします。「Success!」と表示されれば完了です。

登録した AWS アカウントに対してスキャンが実行されます。反映されるまで5分ぐらい待ちます。ダッシュボードに以下のような画面が表示されればスキャン完了です。

左メニューバーの「Scans > Scan Reports」に遷移し、対象のアカウントの「View Report」をクリックすると、より詳細なスキャン結果を確認できます。

また、「Report Summary」から CSV や PDF 形式のレポートファイルをダウンロードできます。

他に何ができるのか?

Aqua Wave の主な機能についてドキュメントに記載されているものをまとめてみました。

Cloud Scan

  • スキャンは日時で実施されます。
  • スキャンの際に前日から増えた新しいリスクについて差分で確認できます。
  • 不要なスキャン対象項目がある場合、除外できます。

Remediations

  • 検知されたセキュリティリスクについて修正手順を提供します。
  • 手順の提示のみならず、Aqua Wave 上で修正することも可能です。(手動/自動のいずれも可能です)

IaC Scan

  • 構成管理ツールで使用するインフラ定義ファイルに対して、セキュリティ問題がないことを事前にチェックできます。
  • Terraform、Cloud Formation で利用できます。

Compliance
以下のベンチマークテストが利用できます。独自のテスト(Custom Compliance)を入れることもできます。

  • PCI Compliance Checklist
  • HIPAA Compliance Checklist
  • AWS Well-Architected Framework - Security Checklist
  • AWS CIS Benchmarks Checklist
  • Azure CIS Benchmarks Checklist
  • GCP CIS Benchmarks Checklist
  • General Data Protection Regulation (GDPR) EU
  • SOC 2 Type 2

他にも有償版を利用していただくと、 Aqua Enterprise と同様のコンテナイメージスキャンや Aqua DTA も利用可能です。
詳細な情報については、アカウントを登録する際にドキュメントサイトの URL が案内されるので、そちらを参照してみてください。

まとめ


利用しているクラウドベンダー、またはアカウントの数が増えると Aqua Wave のような CSPM ツールが非常に役立ちます。ぜひとも一度 Aqua Wave をお試し頂き、CSPM 導入の検討となれば幸いです。Aqua Wave は現在 AWS、GCP、Azure、Oracle でご利用頂けます。

その他にも Aqua について興味がございましたら弊社ブログを是非ともご覧ください。

New call-to-action
新規CTA