AWSには多種多様なサービスがあり、それぞれ設定が必要です。また設定は一度行えば済むものではなく、自社が行いたいことが変われば設定を変える場合もあります。AWS Configは、Amazon EC2インスタンスやセキュリティグループ、Amazon RDSなどの設定情報とその変更履歴を記録してくれるサービスです。さらには設定のチェックや、必要なら自動的に設定を修正することもできます。AWSアカウントごとにAWS Configを利用でき、アカウントの設定画面でAWS Configをオンにするだけで利用できます。
セキュリティ・コンプライアンス管理に使えるAWS Config
AWS Configは、Amazon EC2インスタンスやセキュリティグループといったAWSリソースの設定を、記録、評価、監査できるサービスです。設定を記録しておけば、何らかのトラブルが発生したときに、設定に変更があったか、どう変更されたかを確認すれば、トラブル解決に役立つ場合があります。また任意の設定値をルールという形で保存でき、さらにルールと現在の設定を比較することもできるので、クラウド利用におけるコンプライアンス監査、セキュリティ分析などにも役立ちます。
比較については、マルチアカウントやマルチリージョンに対しても可能なので、クラウドを利用する企業全体のコンプライアンス監査も行えます。もし現在の設定に問題があれば、メールなどで通知をしてくれる機能もあります。さらに設定を修正したい場合、AWS Systems ManagerのAutomationという機能を併用して自動で修正を行うこともできます。
AWS Configでできること・メリット
AWSを継続的に利用するうえでAWS Configは重要な役割を担っています。ここではAWS Configの仕組みの概要と、設定の継続的な監視や、変更があった場合は通知ができるといったAWS Configでできること、そしてそれらによって生まれるメリットを紹介します。
AWS Configの仕組み
AWS Configは、AWSアカウント内のリソースの設定変更を継続的にモニタリングして記録します。リソースとは、Amazon EC2インスタンスやAmazon EBSボリューム、Amazon VPCなどを指します。Route53やAmazon ECSのように、対応していないリソースもあります。現在、40ほどのリソースが対応しており、どのリソースが対応しているかは、AWSのドキュメント「サポートされているリソースタイプ」に記載されています。
設定の変更が検出されると、Amazon SNSから該当するアカウントに通知が送られます。継続的なモニタリングによって設定の履歴も記録されます。設定履歴は、リソースタイプとリソースIDを指定すると、表示できます。履歴は規定値で約7年間保持されますし、Amazon S3バケットに出力して保管することもできます。
Amazon EC2などのリソースのログなどを継続的に監視
任意のAmazon EC2インスタンスやオンプレミスサーバーの設定は、 これらを一括して管理できるAWS Systems Manager で行いましょう。そうすれば、これらのサーバー上のソフトウェアの設定変更もAWS Configで記録できます。さらには他のクラウドにおけるサーバーや仮想マシンで実行されるソフトウェアの設定変更も記録できます。AWS Systems Managerは、AWSのリソースやオンプレミスに構築したサーバーも一緒に管理できるサービスです。もちろん変更があればAmazon SNSで通知されます。
AWSリソースを継続的に評価して通知
AWS Configは設定の確認に加え、ある設定値(内容)に対して現在の設定が準拠しているか、いないかの監査を行うこともできます。このとき準拠すべき設定内容をルールと呼びます。AWS Configには多数のルールがすでに用意されていて「ECインスタンスに対して詳細モニタリングが有効になっているかどうか確認します」「アタッチ状態のEBSボリュームが暗号化されているかどうかを確認します」など202個あります(2022/2時点)。
企業のセキュリティやコンプライアンスに沿ったルールを用意し、それをAWS Configで確認するようにすれば、正しい運営がなされているかどうかを監視できます。すでに用意されているものをマネージドルールと呼びます。ルールはAWS Lambdaで作ることもでき、それはカスタムルールと呼びます。
サードパーティーのリソースも監視
AWS Configは、AWSのリソースだけでなく、GitHub リポジトリ、Microsoft アクティブディレクトリリソース、オンプレミスサーバーといったサードパーティーリソースの設定を監査したり、コンプライアンス検証を実行したりできます。専用のAPI(PutResourceConfig API および DeleteResourceConfig API)を使うと、これらのリソース設定をAWS Configコンソールで確認したり監査したりできます。このためAWSリソースに対して行えるように、サードパーティーのリソースに対してもルールを使った監査を行うことができます。
設定変更履歴を管理
AWS Configは、アカウント内の AWSリソースを自動で検出して、リソース同士の関係をAWS Config コンソール上に可視化できます。たとえば、Amazon EC2インスタンスAにセキュリティグループBが関連付けられている場合、リソース間の関係をマップとして出力できます。セキュリティグループなど多種のリソースにアタッチできるものは、設定変更の影響が多数のリソースに及ぶことはよくあります。そのようなときは、AWS Configで事前にどのリソースが他のリソースとどう関係しているのか確認しておけば、リソースの設定変更に関連した問題を最小限に抑えられます。
AWSの運用や監視にお困りな方必見!
こんなことを感じていませんか?
・AWS運用のために社内のリソースが足りずに困っている
・障害発生時の対応に不安がある
・運用だけでなく構成のアドバイスもあると嬉しい
AWS運用のトラブルを解消
AWS Configを使えば、アカウント内の AWSのリソースで行われた設定変更の履歴を保管できますから、設定変更に起因するトラブルシューティングを行えます。トラブル発生と設定変更のタイミングを比較して原因を調査できるのです。
またAWS CloudTrailを併用すれば、さらにトラブルの根本原因を特定しやすくなります。AWS CloudTrailは、「誰がこのリソース変更のために、どんなAPI呼び出しを実行したか」といった操作記録を残すことができます。ですからAWS CloudTrailの記録を活用すれば、アカウント内の設定変更と特定のイベントが関連付けられ、よりトラブルシューティングを正確に行うことができます。
組織で利用するアカウントのコンプライアンスを監視
AWS Configは、複数のアカウントやリージョに渡るAWS Configのデータを、単一のアカウントやリージョンに集約することができます。このため企業の業務遂行のために多数のアカウントがあっても、AWS Configを使えばコンプライアンスが保たれていないアカウントをすぐに特定できます。企業全体におけるセキュリティやコンプライアンスの監視もできます。なお対応しているリージョンについてはAWSのDocumentation「Multi-Account Multi-Region Data Aggregation」を参照ください。
当社NHNテコラスでは、お客様のAWS活用を支援する「AWS総合支援サービス C-Chorus」から、システム構築、AWS環境最適化のご提案や技術支援をおこなっており、
サービス資料のAWS総合支援サービス C-Chorus では、サービス詳細をはじめ、当社で支援を手掛けたお客様の導入事例もご紹介しています!
AWS Configの料金
AWS Configは有料のサービスです。実際に利用した分のみに課金されます。最低利用料金や前払いはありません。個々のアカウントごとに、記録された設定項目の数、アクティブなAWS Configルールの評価数が課金対象で、リソースの範囲は、AWS、サードパーティー、カスタムが含まれます。
AWS Config
AWSリージョンごと、AWSアカウントに記録された設定項目ごと、0.003USDが課金されます。記録はリソースの設定や関係に変更があったときに行われます。他にもアクティブなAWS Configルールによる評価を行った数量や、コンフォーマンスパック(多数のルールをまとめたもの)での評価数量に基づいて課金されます。
AWS Config ルール
AWS Configルールによる評価とは、AWSアカウント内のリソースのコンプライアンス状態を、AWS Configルールに適しているかどうかを評価(監査)することです。この評価を行った数に対して課金されます。なお2019年8月1日以降は、リージョンごとのアカウント内のアクティブなルールの数ではなく、評価した数量に基づいての課金に変更されました。ルールがあっても評価に使わなければ料金は発生しません。逆にルールが1つでも、それによる評価件数が多ければその分課金されます。
コンフォーマンスパック評価
コンファーマンスパックとは、AWS Configルールを企業のコンプライアンスチェックを行うといった利用目的ごとにまとめたものです。AWS Configルールは200近く用意されているので、このようにルールをまとめる仕組みがあれば、設定の工数を大幅に省けます。コンフォーマンスパックの料金は、パック内のルールによる評価の数量によって決まります。ただし使えば使うほど、単価が下がる階層料金制になっていて、100万件までは評価ごとに0.0012USB、2500万件までは0.001USD、それ以上は0.0008USDになっています。
追加料金
AWS Configの基本的な料金は、リソース設定変更の履歴やルール評価などの課金ですが、他にも以下の場合追加料金が発生します。設定のスナップショットや設定履歴ファイルを指定したAmazon S3バケットに送信する、設定変更に関する通知をAmazon SNSで受信する、ルールを個別に用意するときにAWS Lambdaの関数を利用する、これらを行った場合、それぞれAmazon S3、Amazon SNS、AWS Lambdaの標準料金が適応されます。
最適なAWS Configの設定など、AWS環境の構築・運用をサポートします
AWS Configを使うだけでしたら、AWSマネジメントコンソール上で数回クリックすれば設定できます。自動的に設定変更の履歴が保存され、確認したいリソースの履歴を見ることができます。しかし、それは「見る」だけです。見ることによって、企業のAWSリソースのコンプライアンスを確認したりセキュリティの問題を把握するといった、意味ある行動に移す必要があります。
NHNテコラスでは、AWS Configなどサービスを活用して、AWSによるシステムのセキュリティを強化し、コンプライアンス評価による企業ガバナンスの的確な執行を専門のエンジニアがサポートするマネージドセキュリティサービスをご要件に応じてご用意しています。自社のAWS運用に関して、セキュリティやコンプライアンスに不安を感じられたら、ぜひNHNテコラスにご相談ください。「AWSのセキュリティ設定をお願できますか?」「脆弱性診断のみだけ依頼することは可能ですか?」といったお問い合わせにも対応可能です。小さなことでもNHNテコラスにお気軽にご相談ください。
ガバナンスを強化し、情報漏えいを根本から防ぐ
・クラウドならではのセキュリティの考え方とは
・特権アクセスの徹底した管理
・“動的な対応”により保護を行う「Aegis Wall」