AWSのサービスを色々試してみると気になる点、それはセキュリティですね。
無料枠でもAWSのセキュリティに穴がないか、Trusted Advisorというサービスでチェックできるのでお勧めです。
Trusted Advisorとは
AWSのサービスの一つで、AWSアカウント環境の状態をチェックしてベストプラクティスをレポート形式で示してくれます。
![](https://mosomoso-history.com/wp-content/uploads/cocoon-resources/blog-card-cache/c94cb44bac0b155cad9e923137017c79.png)
チェック視点は5つ
以下5つの視点でAWSアカウント環境をチェックしてくれます。
- コスト最適化
- パフォーマンス
- セキュリティ
- フォールトトレランス(耐障害性)
- サービス制限
無料枠では、セキュリティとサービス制限の一部のみ
AWSのプランによって、チェックできる内容が異なります。
私が使っている無料枠(ベーシックプラン)だと一部のチェックしかできません。
ただし、特に重要なセキュリティの6項目はチェックできます。
- ルートアカウントのMFA
- セキュリティグループ – 開かれたポート
- Amazon EBS パブリックスナップショット
- Amazon RDS パブリックスナップショット
- Amazon S3バケット許可
- IAMの使用
実際にTrusted Advisorでチェックしてみた
使ったことがなかったので使ってみました。
赤(即時対応必要)がチェックにかかった
ルートアカウントのMFA(多要素認証)が有効になっていないのでヤバいと警告です。
![](https://mosomoso-history.com/wp-content/uploads/2020/07/362da429649aacede4eb93a7ed98526d-500x259.png)
お試しだから気にせずいましたが、対策しておくべきですね。
AWSのルートアカウントのMFAを有効化
セキュリティチェックにかかったので、MFAを有効にしておきました。
1.セキュリティ認証情報の設定項目で、[MFAの有効化]を行います。
![](https://mosomoso-history.com/wp-content/uploads/2020/07/1c050e7603288837894a732dcf93e7c5-500x316.png)
2.MFAは3つの種類から選べるのですが、ハードウェアが不要な「仮想MFAデバイス」を選択します。
![](https://mosomoso-history.com/wp-content/uploads/2020/07/19d8e1f5586b044c40265003a579e8cb-500x302.png)
※ハードウェアデバイスの方がセキュリティは上ですが、手軽さからいうとソフトウェアですね。
3.ソフトウェアでのMFAは別のシステムを使います。
私は、スマートフォンにインストールしているGoogle Authenticatorを使いました。仮想通貨取引とかで入れたやつです。一度入れれば汎用的に使えますね。
※この手順はこちらのWebサイトが分かりやすいです↓
![](https://mosomoso-history.com/wp-content/uploads/cocoon-resources/blog-card-cache/81e3ffb0dcde24b2beb97303e6f97092.png)
4.MFAが有効になったことを確認しました。
設定が完了したら、AWSコンソールから一旦サインアウトして、サインイン。
するとMFAが有効になっていることを確認できました。
![](https://mosomoso-history.com/wp-content/uploads/2020/07/abd9b9ce78bd1fcc73c1b76d43ecdd26-445x500.png)
Trusted Advisorのチェック結果が改善
ルートアカウントのMFAを有効にしてから、再度、Trusted Advisorでチェックをかけると、赤警告が消えてセキュリティが改善していました!
![](https://mosomoso-history.com/wp-content/uploads/2020/07/cc6165e9d21774b09265106c4063f1a2-500x344.png)
まとめ
1.AWSのTrusted Advisorは無料枠でも使えて、重要なセキュリティチェックができます。是非活用しましょう。
2.AWSで初めてMFA(多要素認証)を設定しましたが、大きな迷いなくできます。面倒くさがらずにやってみましょう。
コメント