Workload Security APIの使用AWS APIを使用してWorkload SecurityとさまざまなAWSサービスを統合できます。ここで紹介するワークフローの例では、次のAWSサービスとの統合方法について説明します。
  • Amazon GuardDuty
  • Amazon Macie
  • Amazon Inspector
  • AWS WAF
  • AWS Config
これらの例は、 Workload Security を統合したGitHubでホストされていたコードサンプルを、これらのセキュリティサービスのそれぞれに置き換えます。
AWS Cloudは共有責任モデルで動作します。利用するサービスに対して、AWSとユーザーは一連の運用およびセキュリティ領域において責任を共有します。Amazon EC2インスタンスおよびAmazon ECSコンテナホストの場合、OS、アプリケーション、およびデータのセキュリティはユーザーの責任です。Workload Securityはこれらの責任に対処するために設計されています。AWSはこれらの責任に対処するのに役立つ多くのセキュリティサービスを提供しており、Workload Securityに追加の洞察を提供することもできます。

ワークフローパターンファイル 親トピック

Workload Security とAWSサービスを統合するためのほとんどのワークフローは、 Workload Security がAWSが生成するイベントや情報に対応するのと同じパターンに従います。
aws-service-integration-pattern=6c4c0203-1a8b-415b-87a0-83ebf1ae08b8.jpg

手順

  1. AWSサービスは、アラートや検索などのデータポイントを生成します。
  2. CloudWatchイベントが生成されます。
  3. イベントによってAWSラムダ機能が起動します。
  4. Lambda関数は、 Workload Security APIを使用して、 Workload Securityで処理を実行します。
    このワークフローは、 Workload Security内で賢明な意思決定を行うために環境から情報を取得します。このパターンは環境に合わせて簡単にカスタマイズできます(次の例を参照)。

Amazon GuardDuty 親トピック

Amazon GuardDutyサービスは、VPCフローログ、Amazon CloudTrailログ、およびカスタムIPリストを継続的に監視し、AWSアカウントに影響を与える可能性のある問題や脅威を検出します。
これらの活動の一環として、GuardDutyはアカウントで実行されているEC2インスタンスの問題の兆候を検出することもあります。問題が検出されると、検出されます。これらの結果は、 Workload Securityで処理を実行するために使用できる優れた情報源です。
次のワークフローを使用してGuardDutyと統合します。

手順

  1. Amazon GuardDutyは、EC2インスタンスを引用する検索結果を生成します。
  2. Amazon CloudWatchは、GuardDuty検索でイベントを発生させます。
  3. Cloudwatchイベントは、CloudWatchイベントに登録されているAWSラムダ関数をトリガします。
  4. ラムダ関数は、EC2インスタンスが Workload Security によって保護されているかどうかを判断し、それに応じて応答します。
    • プロテクト: ] ラムダ関数は、推奨検索を実行し (結果を適用)、整合性検索を実行して保護が適切であることを確認します
    • 保護されていない: ] ラムダ機能は、保護されていないインスタンスを関連するチームにハイライト表示します
    GuardDutyは、可能性のある暗号化マイニングや通常と異なるネットワークトラフィックなど、EC2インスタンスに関する問題を検出すると、Workload SecurityEC2インスタンスに適用された最新のルールが適用され、適用された整合性ルールセットに従って情報漏えい対策が行われていないことを確認します。

Amazon Macie 親トピック

Amazon Macie(限定リリース) は、Amazon S3バケットの内容を調査して、機密データを発見、分類、および保護します。Macieは、個人を特定できる情報 (PII) や機密の企業データを見つけ、そのリスクを強調します。
設定が間違っていると、S3バケツが重要な情報源になります。Macieが問題を検出すると、CloudWatchイベントを介してアラートが発生します。このイベントは、 Workload Securityで処理を開始できます。
関連するEC2インスタンスに最新のルールが適用されていることを確認することで、 Workload Security がS3バケットのリスクを削減できるかどうかをバケットおよびIAMの権限で判断できます。
Macieと統合するには、次のワークフローを使用します。

手順

  1. Amazon Macieはアラートを生成します。
  2. Amazon CloudWatchは、Macieアラートからイベントを発生させます。
  3. CloudWatchイベントは、CloudWatchイベントに登録されているAWSラムダ関数をトリガします。
  4. ラムダ関数は次のタスクを実行します。
    a. S3バケットの権限でアクセスが許可されているIAMロールを検出します。 b. Workload Securityで保護されたEC2インスタンスがIAMロールを使用し、バケットにアクセスできるかどうかを判断します。 c. 推奨スキャン (結果を適用) と変更の検索を実行して、保護が適用されていることを確認します。

Amazon Inspector 親トピック

Amazon Inspectorは、EC2インスタンスおよびECSホストのセキュリティとコンプライアンスを向上させるのに役立つ自動セキュリティ評価サービスです。Inspectorはインスタンス上でエージェントとして実行され、評価リクエストの結果としてレポートを生成します。
このレポートには、インスタンスで検出された脆弱性または問題の一覧が表示されます。セキュリティ上の脆弱性については、通常、CVE識別子が含まれます。CVE識別子は、適用された Workload Security侵入防御 ルールと相互に関連付けることができ、適切なカバレッジを確保できます。
次のワークフローを使用してInspectorと統合し、 Workload Security の推奨検索を強化します。

手順

  1. Amazon Inspectorは評価を実行し、検出結果を生成します。
  2. Amazon CloudWatchはイベントをイベントから検索します。
  3. このイベントは、CloudWatchイベントに登録されているAWSラムダ関数をトリガします。
  4. ラムダ関数は次のタスクを実行します。
    a. 影響を受けたEC2インスタンスがWorkload Securityによって保護されているかどうかを判断します。 b. 保護されている場合、検出結果に記載されているCVEに対応する侵入防御ルールがあるかどうかを判断します。 c. そのルールをEC2インスタンスに割り当てられたポリシーに適用します。

AWS WAF 親トピック

AWS WAFは、AWS Edgeを構成する120以上のポイントで動作するウェブアプリケーションファイアウォールです。WAFはレイヤー7のウェブリクエストを調査して、一般的なウェブベースの攻撃を発見します。
Workload Security侵入防御 モジュールではこれらの攻撃を阻止できますが、こうした種類の攻撃は可能な限り組織のデータからは遠ざけてブロックすることが望まれます。
トレンドマイクロでは、AWS WAFの2つの管理下のルールを提供しています。
以下の簡単なワークフローを使用して、AWS WAFで保護されているEC2インスタンスとECSホストを選択し、管理下のルールセットを活用することをお勧めします。

手順

  1. Amazon CloudWatchタスクがAWSラムダ機能を起動します。
  2. ラムダ関数は次のタスクを実行します。
    a. 各CloudFrontディストリビューションに関連付けられたWAF WebACL (WACL) IDを確認します。 b. 各ELBおよびALBに関連付けられたWAF WACL IDを確認します。 c. WAFで保護されたリソースに関連付けられている各インスタンスについて、どのWorkload Securityポリシーが使用されているかを確認します。 d. ポリシーに割り当てられたIPSルール (ウェブサーバまたはウェブアプリケーション) に基づいて、適切な管理ルールセットを適用します。

AWS Config 親トピック

AWS Configサービスは、環境の変更を記録し、それらの可視化を作成します。この情報により、環境を監査、評価、査定することができます。サービスは環境を継続的に監視し、特定の変更が発生したときにルール (AWS Lambda関数) を実行し、この重要なコンプライアンスツールに情報を追加することができます。
Workload Security は、コンプライアンスに関する話題で重要な役割を果たしているため、AWS Configとの統合は非常に重要です。
AWS Configのルール機能は非常に簡単です。トリガを選択すると、そのトリガが発生したときにAWSラムダ機能が実行されます。選択する最も一般的なトリガは、「Resource / EC2 instance」です。インスタンスが変更されるたびに、ラムダ関数が実行されます。
Lambda関数は、変更が発生したときにインスタンスに関する情報を取得できます。たとえば次のようになります。
  • インスタンスが特定のポリシーで保護されているかどうか
  • 特定の保護モジュール( 不正プログラム対策など)がインスタンスでアクティブかどうか
  • インスタンスが警告をクリアしているかどうか
これらの各例は、AWS Configで簡単に記録できる重要なコンプライアンス情報を提供し、コンプライアンス監査のための単一のデータソースを作成します。