APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

BLEAとは?AWSのセキュリティベースラインを自動で構築

はじめに

こんにちは、エーピーコミュニケーションズ クラウド事業部の髙野です。
最近業務でCDKを使うことがあり、CDKを触っていく中でBaseline Environment on AWS(BLEA)の存在を知りました。

このBLEAがAWSのシステムにおけるセキュリティのベースラインを素早く構築できる点で非常に便利だと思ったので紹介したいと思います。

目次

  • CDKとは
  • BLEAとは
  • BLEAのいいところ
  • さいごに

CDKとは

BLEAの話に入る前にCDKについて軽く説明をしておきます。

CDKはコードでクラウドインフラストラクチャを定義しプロビジョニングするためのフレームワークで、いわゆるIaCと呼ばれるものを実現するためのやつです。

そしてBLEAもこのCDKを使用して実装されています。

BLEAとは

BLEAはAWSが開発しているOSSで、AWSのセキュリティのベストプラクティスを実装した環境を迅速に構築するためのテンプレート群です。GitHubで公開されています。

BLEAの公開GitHubは以下になります。

github.com

前述のとおりテンプレートはCDKで実装されており、システムの利用用途に合わせたカスタマイズを少ないコード量で容易に行えるようにデザインされています。

数回のコマンドで以下のようなアーキテクチャを構築できます。

Standalone版 引用:AWS 環境にセキュアなベースラインを提供するテンプレート「Baseline Environment on AWS」のご紹介 | Amazon Web Services ブログ

BLEAのいいところ

基本的なセキュリティを効率的に実装できる

AWSは AWS Well-ArchitectedAWS Security Reference Architecture (AWS SRA) といったセキュリティのベストプラクティスをドキュメントとして提供しています。しかしこれらを見て0から設計をおこない、手動で構築していくのはなかなか骨が折れますし、作業ミスも起こりやすいです。

BLEAのテンプレートを使用して自動構築することで、基本的なセキュリティを確保できます。下記がBLEAを使用したときにセットアップされる機能です。

  • CloudTrailによるAPIのロギング
  • AWS Configによる構成変更の記録
  • GuardDutyによる異常なふるまいの検知
  • SecurityHubによるベストプラクティスからの逸脱検知 (AWS Foundational Security Best Practice, CIS benchmark)
  • デフォルトセキュリティグループの閉塞(逸脱した場合自動修復)
  • AWS Healthイベントの通知
  • セキュリティに影響する変更操作の通知(一部)
  • セキュリティイベントを通知するSNSトピック (SecurityAlarmTopic) の作成
  • 上記SNSトピックを経由した、メールの送信とSlackのセキュリティチャネルへの通知

マルチアカウント環境にも対応

AWSのベストプラクティスのひとつにマルチアカウントという考え方がありますが、いざ自社のAWS環境をマルチアカウント化させようとすると、設計が複雑でなかなか取り掛かりにくいという状況もあるかと思います。

しかしBLEAではAWS Control Towerを利用したテンプレートも提供されており、マルチアカウント環境に対しても以下のようなアーキテクチャでセキュアなベースラインを確立できます。

マルチアカウント版 引用:AWS 環境にセキュアなベースラインを提供するテンプレート「Baseline Environment on AWS」のご紹介 | Amazon Web Services ブログ

READMEがわかりやすい

本記事の冒頭でも記載しましたが、BLEAのテンプレートはGitHub で公開されており、環境へのデプロイ手順や各テンプレートの詳細な説明などもGitHubのREADMEにまとまっております。

そしてこのREADMEは日本語版も用意されており、個人的にはかなり読みやすく、CDKをほとんど触ったことのないときの私でも内容を理解することができました。

AWS公式ブログでもBLEAをCDKを使い始めるための学習用リソースとして紹介しているので、これからCDKを勉強してみようと思っている方も一読してみるといいかもしれません。

さいごに

AWSのセキュリティを0から設計するのはかなりの重労働なので、「いつかやろう」「落ち着いたらやろう」で後回しにしてしまっている方もいるのではないでしょうか。

BLEAを採用することでその負担は一定軽くなるかと思います。CDKを使用しているということで、多少の学習コストはかかりますが検討する価値はあると思います。

より詳細にBLEAを知りたい方は以下のAWSブログを参照してください。

aws.amazon.com

お知らせ

弊社はAWSアドバンスドティアサービスパートナー認定を受けております。また以下のようにAWSの活用を支援するサービスも行っているので、何かご相談したいことがあればお気軽にご連絡ください。

www.ap-com.co.jp

また、一緒に働いていただける仲間も募集中です!
今年もまだまだ組織規模拡大中なので、ご興味持っていただけましたらぜひお声がけください。

www.ap-com.co.jp

本記事の投稿者: sk07103
AWSをメインにインフラ系のご支援を担当しています。