AWS-チープなりなセキュリティとコンプラ その1

去年の緊急事態宣言の折りに急増でもリモートワークを始める環境を作ってみようなんてことをことをやっておりました。

もうすうぐ一年になるのね、

まずは何もないより、急造でもテレワークらしきことはできるだろうというこというのが始まりだったわけです。

なんとなくステートレスでステートフル
何となくVDIも使える
管理、共有、コミニケーションの仕組み入り

低コストでそれなりに使える環境ということでありものかき集めてみたんですが、それなりにあれば便利っぽいんですね。
とりあえず需要はあったんだなぁといい気づきになりました。
正直焼けっぱちと勢いだけでやったわけですが、
ぶっちゃけこんなに長く使われることなんて考えてなかったですわ
急場しのぎなんいいとこ3ヶ月から半年ぐらい仕組みだけ提供できればいいかなんて甘く考えていました。
本気で一年ぐらい状況変わってないっす。

実際お仕事で使い続けるとなると、品管とか情フラとか関わる人も増えるわけでアレ大丈夫?コレ大丈夫?となって来るわけです。
「やかましい!今さら口だけ出すんかい!そもそも一人シス管状態なの前提ですよコレ・・・」
なんて開きなおっても仕方ないので前向きに「かかるお金は増えますよ?」は前提でそれでもコンパクトに根本部分をある程度強化してかなくてはならんようになりました。
少なくとも長期で使い続けるなら以下ぐらいは部分は最低限、手を入れておかないといけないですわな。

アカウント内のリソース・イベントの変更の追跡とコンプライアンスの監査
(以下のような物をチェックする)

  • 不要なリソースの検出・通知(長期停止放置されたEC2など)
  • VPC内にイカんセキュリティグループの定義の検出・通知
  • パブリックアクセス許可のS3の検出・通知

検出イベントの通知。
(モバイルへのPushとかもでますが、メール通知ですな)

Apllication Load Balancer(ALB)でのWeb Application Firewall(WAF)の構成
(まあ、お手軽環境なので、ALBに適用で宜しいかと)

configで本格的に監査するのでSSHとかメンテで開けようとか止めるので、
セキュアな接続やら管理を集約するのに必要

ということで、前回同様ですが

  • お安く
  • 簡単に
  • 最低限

コレを前提に設定を進めていきたいたいと思います。