Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

まるクラ勉強会#2_CloudTrail管理戦略

 まるクラ勉強会#2_CloudTrail管理戦略

h-ashisan

May 15, 2024
Tweet

More Decks by h-ashisan

Other Decks in Technology

Transcript

  1. 2 自己紹介 あしさん / 芦沢 広昭 (ASHIZAWA Hiroaki) ❖ 所属

    AWS事業本部 コンサルティング部 / ソリューションアーキテクト ❖ 担当業務 AWS設計構築・コンサルティング ★ 好きなAWSサービス AWS Control Tower、Amazon Security Lake
  2. 8 アジェンダ 1. AWS CloudTrailとは ◦ サービスの概要 2. CloudTrail管理について ◦

    CloudTrailの管理とは ◦ 3つの代表的な手法 3. CloudTrail管理戦略 ◦ CloudTrail設計パターンの紹介
  3. 14 CloudTrailのサービス概要 • AWSアカウント作成の時点で すべてのリージョンで無料で利用できるサービス。 • 無料利用の範囲で AWSマネジメントコンソールから 直近90日間の管理イベントを検索できる。 •

    以下の要件がある場合は、別途設定が必要。 ◦ ログの長期間保存 (90日以上) ◦ 外部ストレージ(S3など)へのログ出力 ◦ 管理イベント以外のログ出力
  4. 16 CloudTrailイベントの一覧 管理イベント データイベント インサイトイベント 概要 AWSアカウント内の リソースに対して実行 される管理操作のログ リソース上または

    リソース内で 実行されたAPI操作 CloudTrail Insightsで 取得されたAPIの 異常アクティビティ 利用料金 (証跡) イベント例 IAMロールのアタッチ (IAM:AttachRolePolicy) VPCの作成 (EC2:CreateSubnet) 証跡1つまで無料、 証跡2つ目以降は S3に配信されたイベント 100,000 あたり 2.0 USD S3バケットのオブジェクトに 対するAPI操作 (S3:GetObject/S3:DeleteO bject/S3:PutObject) 通常1分間に10回記録され る S3:DeleteBucket が 1分間に100回記録された S3に配信されたイベント 100,000 あたり 0.10 USD インサイトタイプ毎に 分析されたイベント 100,000 件あたり 0.35 USD
  5. 19 CloudTrail管理の手段 CloudTrailの管理手段は大きく分けて3パターン • 証跡の利用 • AWS CloudTrail Lakeの利用 •

    Amazon Security Lakeの利用 → これらの差異として、以下の観点に着目 ・何が ログを配信するか? ・どこに ログを保管するか? ・どのように ログが配信されるか? ・💰 利用料金
  6. 24 2つの意味を持つ「証跡」 マルチリージョン証跡の場合 • ホームリージョンの証跡 ◦ 証跡の設定管理 ◦ ログを配信するリソース •

    その他のリージョンの証跡 ◦ ログを配信するリソース 組織の証跡の場合 • 管理アカウントの証跡 ◦ 証跡の設定管理 ◦ ログを配信するリソース • メンバーアカウントの証跡 ◦ ログを配信するリソース
  7. 25 証跡の料金 証跡1つ(AWSアカウント内の1つのリージョン)毎に以下の料金が発生 • 管理イベント ◦ 1つ目の証跡:無料 ◦ 2つ目以降の証跡:S3に配信されたイベント(※)100,000 あたり

    2.0 USD • データイベント ◦ S3に配信されたイベント(※)100,000 あたり 0.10 USD • インサイトイベント ◦ インサイトタイプ毎に分析されたイベント 100,000 件あたり 0.35 USD ※配信先のS3バケットの保存料金は別途必要 参考:AWS CloudTrail の料金 ※S3に配信されたイベント数に対して課金されるため、S3に配信されなかったイベントは課金対象外
  8. 26 証跡の4点まとめ • 何が? ◦ 各アカウント・各リージョン毎に作成された証跡が • どこに? ◦ 指定された任意のS3バケットに

    • どのように? ◦ イベントをキャプチャし、ログを配信する • 料金 ◦ 1つ目の証跡 (管理) :無料 🆓 ◦ 2つ目以降の証跡 (管理) と証跡 (データ / インサイト) :有料 💰
  9. 28 AWS CloudTrail Lakeとは? 以下の機能が利用できます。 • イベントデータストアを利用したログ集約 • ダッシュボード •

    SQLライクなクエリエディタ 参考リンク:[アップデート] CloudTrailログ分析環境が超絶簡単に手に入る! 「CloudTrail Lake」がリリースされました
  10. 32 CloudTrail Lakeの料金 • 2パターンの料金オプション ◦ 1年間の延長可能な保持料金 (One-year extendable retention

    pricing) ▪ データ取り込み:管理、データイベント:0.75 USD / GB から ▪ データ保持  :無料 (取り込みコストに含まれる) ▪ データクエリ :スキャンされたデータ 0.005 USD/GB ◦ 7年間の保持料金 (Seven-year retention pricing) ▪ データ取り込み:管理、データイベント:2.5 USD / GB から ▪ データ保持  :無料 (取り込みコストに含まれる) ▪ データクエリ :スキャンされたデータ 0.005 USD/GB 参考:AWS CloudTrail の料金 ※イベントデータストアが配置されているアカウントにのみ料金が発生します
  11. 33 CloudTrail Lakeの4点まとめ • 何が? ◦ イベントデータストア自身が • どこに? ◦

    イベントデータストアに • どのように? ◦ 直接ログを配信する • 料金 ◦ 1年間保持料金:有料 💰 (比較的安価) ◦ 7年間保持料金:有料 💰💰💰 (少し高め)
  12. 36 AWSネイティブログの収集 2024年5月時点で以下のログの自動収集 ※ & 正規化 が可能 • CloudTrailイベント (管理、データ)

    ※ • Security Hub Findings (検出結果) • Route 53 DNS クエリログ • VPCフローログ • EKS監査ログ ※CloudTrailイベントを除き、サービス側での明示的なロギング設定は不要  CloudTrailイベントを収集するためにマルチリージョン証跡の作成が前提となる (収集の仕組みは証跡と同じ)
  13. 39 Security Lakeの料金 • データ取り込み ◦ CloudTrailログ:0.75USD / GB ◦

    その他のログ ▪ 10TBまで :0.38USD / GB ▪ 〜30TBまで:0.228USD / GB ▪ 〜50TBまで:0.114USD / GB ▪ 50TB〜  :0.076USD / GB • データの正規化 ◦ 0.035USD / GB • データ保持 ◦ ※ S3 Standardの料金 (0.025USD/GB) が適用 参考:Amazon Security Lake の料金
  14. 40 Security Lakeの4点まとめ • 何が? ◦ 各アカウント・各リージョン毎に作成された証跡が • どこに? ◦

    Security Lakeが管理するデータレイク(S3)に • どのように? ◦ イベントをキャプチャし、ログを配信する • 料金 ◦ データ取り込み + 正規化 + データ保持(S3 Standard)
  15. 41 各管理方法の比較 証跡 CloudTrail Lake Security Lake 保存先 任意のS3バケット イベントデータストア

    Security Lake管理の S3バケット 利用料金 対象のイベント 管理イベント データイベント インサイトイベント 証跡(1つ目):無料 証跡(2つ目〜): 2.0 USD / 100,000イベント + S3保存料金 0.75 USD / GB 〜 (取り込み + データ保持) 0.75USD / GB (取り込み) + 0.035USD / GB (正規化) + S3保存料金 管理イベント データイベント インサイトイベント 管理イベント データイベント
  16. 42 ここまで話したこと 全体統制を掛けつつ • ログ取得設定の一括設定 ▪ 組織証跡、CloudTrail Lake(組織)、Security Lake(組織) •

    ログの集約 ▪ 任意のS3、イベントデータストア、Security Lake管理のS3 運用上必要な権限を持ちつつ • (後半パートでお話しします) セキュアに環境分離する
  17. 45 ログの運用といっても、さまざまあるけど... • 取得 • 分析 • 可視化 • 監視

    → 「取得 (閲覧) + 分析」にフォーカスして考えてみましょう :みんながログを確認できるようにするという一番基本の話
  18. 対策案③:個別証跡 + CloudTrail Lake • 組織証跡は使わない • CloudTrail Lakeで管理アカウントに集約 ◦

    コストは管理アカウントのみに発生 • メンバーアカウントは個別の証跡でログを確認 ◦ コストは無料枠の範囲 51 過去ログへのアクセス対策
  19. 対策案④:Amazon Security Lake • Security LakeでセキュアなCloudTrailロギング環境 をマネージドに構築 ◦ コストはちょっとお高め •

    メンバーアカウントからのログアクセスは サブスクライバー設定で対応 52 過去ログへのアクセス対策
  20. 54 まとめ 全体統制を掛けつつ • ログ取得設定の一括設定 ◦ 組織証跡、CloudTrail Lake(組織)、Security Lake(組織) •

    ログの集約 ◦ 任意のS3、イベントデータストア、Security Lake管理のS3 運用上必要な権限を持ちつつ • 必要なログ閲覧権限を付与したい ◦ 要望に合わせた構成を検討しよう セキュアに環境分離する
  21. 55