Control Tower機能強化(包括的な制御管理)
投稿日: 2023/01/19
はじめに
こんにちは、高橋です。
今回はControl Towerを利用している中で、欲しいと思っていた機能がプレビュー版としてですが追加されたため、その機能と実際に設定方法、動作についてご紹介したいと思います。なお、Control Towerをまだご存じない方は、このページの下部にある連載コラムをご確認ください。
1.包括的な制御管理とは?
Control Towerでは事前に定義されたガードレールというルールに基づいてAWSアカウントのセキュリティやガバナンスの統制を効かせて、管理下のAWSアカウントを利用させることが可能です。これまでのガードレールに設定されているルールはAWS利用におけるベストプラクティスに沿った汎用性の高いものが用意され、当社でControl Towerを利用されているお客様は、ほぼ全てのルールを適用しています。一方でより細かな統制を行いたいというお客様のニーズには十分に答えられず、特に公共系や金融系の業界で定められたセキュリティ基準に対応するためには、ホワイトペーパーを元に独自に設定を行ったりSecurity Hubやサードパーティツール等、他のツールを利用しなければなりませんでした。
それに対してこの度プレビュー版ですが、いくつかのセキュリティ基準をサポートする包括的な制御管理機能がControl Towerに実装されました。
2022/12月時点では以下の3つのセキュリティ基準に対応いています。
- NIST 800-53 Rev 5
- PCI DSS version 3.2.1
- CIS AWS Benchmark 1.4
いずれもメジャーなセキュリティ基準であり、実際当社のお客様でもこれらの要件への適合を求められていた方が数社ございましたので、Control Towerの大幅なアップデートと言えるのではないかと思います。
2.ガードレールを見てみよう
では具体的なルールを定めたガードレール見てみたいと思います。 下記は今期追加された3つのセキュリティ基準とそれ以前のControl Towerのガードレールの数です。
| セキュリティ基準 | ガードレールの数 |
|---|---|
| Control Tower標準 | 64 |
| NIST 800-53 Rev 5 | 344 |
| PCI DSS version 3.2.1 | 292 |
| CIS AWS Benchmark 1.4 | 54 |
一目瞭然ですが、NISTは6倍弱、PCI DSSでも5倍弱とこれまでに比べて大幅にガードレールの数量が増えており、各セキュリティ基準に準拠するために大幅に機能強化が行われていることが分かります。
こちらはNISTのAPI Gatewayのために用意されたガードレールを抜粋した画面となりますが、ロギングや暗号化等8個のガードレールが追加され、セキュリティ基準に準拠するためにサービス毎に細かなルールが用意されていることが分かります
3.新しいセキュリティ基準を適用してみる
それではここからは新しいセキュリティ基準を実際に適用してみたいと思います。
AWSコンソールにてControl Towerの画面に移動すると見狩りのメニューにコントロールライブラリーのメニューが追加され、その下にプレビューとしてカテゴリとすべてのコントロールリンクが追加されていることが分かります。カテゴリを選択し、フレームワークタブをクリックすると、現在サポートされているセキュリティ基準を確認することができます。
適用したいフレームワークをクリックすると、そのフレームワークを構成するガードレール一覧が表示されます。
さらにフィルターにてAWSサービスやロギングなどの制御・監視対象をフィルタリングすることが可能です。 実際にルールを適用する場合は、該当のルールにチェックを入れて、「コントロールを有効にする」をクリックします。
次に管理対象とするOU(ここではSandbox)を選択し、OUの「コントロールを有効にする」をクリックします。
確認画面が表示されるので、チェックボックスにチェックを入れて、「確認」をクリックし、設定を適用します。
各ルールにはOUとアカウントタブがあり、そこからそのルールが適用されている組織やアカウントを簡単に確認することができます。
この操作を繰り返す(一括適用機能を希望)ことによって利用している環境を、各セキュリティ基準にこれまでに比べてはるかに簡単に準拠させることが可能となります。また、設定の流れを見て頂ければ分かりますが、ルールは個別に設定できるため、全てを適用する必要はありませんし、なんだったら自分たちの目的のために必要なものだけを採用するといった利用方法も可能です。
4.さいごに
今回は待望していた各種セキュリティ基準に準拠することを容易にする包括的な制御管理機能を紹介いたしました。これまでの話からこの機能アップデートはセキュリティ基準への適合がメインと考えられた方もいらっしゃるかもしれませんが、追加されたガードレールはそのためだけにしか使えないものではなく、これまでのガードレールと同様に一般的な用途に利用することができるので、これまでControl Towerを使用していて、今一歩自身のやりたいことができていたかったなと感じている方も、一度ガードレールを確認し、必要と感じたものを適用し、自身が利用している環境の統制を強化してみるのもありかと思います。
CTCは、AWSのビジネス利活用に向けて、お客様のステージに合わせた幅広い構築・運用支援サービスを提供しています。
経験豊富なエンジニアが、ワンストップかつ柔軟にご支援します。
ぜひ、お気軽にお問い合わせください。
お客様のAWSビジネス利活用をCTCの経験豊富なエンジニアがサポート!
コンサルティング・構築・運用までをワンストップかつ柔軟にご支援します。
