みなさん、こんにちは。サニービュー事業部の小寺です。

AWS環境にセキュアなベースラインを提供するテンプレート「Baseline Environment on AWS」が発表されました。

https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/

Baseline Environment on AWSとは

CDKで作られたセキュアな環境をデプロイするためのテンプレートです。
Baseline Environment on AWS(BLEA) は 単独の AWS アカウントまたは ControlTower で管理されたマルチアカウント環境で、セキュアなベースラインを確立するための リファレンス CDK テンプレートです。
AWS JapanのソリューションアーキテクトがAWS Samplesに公開しています。

BLEA は単一のアカウントをセットアップする Standalone 版と、AWS Control Tower をベースとしたマルチアカウント環境をセットアップするマルチアカウント版があります。

https://aws.amazon.com/jp/blogs/news/announcing-baseline-environment-on-aws/より引用

両方の環境で以下の2つに分かれています。
・ガバナンスベース (Governance Base)
AWS環境共通の設定です。個別のシステム要件を問わず、基本となる設定が含まれています。
名前の通り、ガバナンス強化のための設定です。
ログ出力のためのCloud TrailやAWS Configの設定やAWS Security Hub 、Amazon GuardDuty 等の基本的なセキュリティ設定が含まれます。

・ゲストシステム (Guest System)
個別のシステムで実現する設定が含まれています。
ガバナンスベースとは依存関係がなく、設定の連携も不要です。
今は、Web アプリケーションと API アプリケーションのサンプルを提供しています。

Webアプリケーション:
・Amazon CloudFront
・Application Load Balancer
・Amazon ECS
・Amazon Aurora PostgreSQL
・Amazon VPC の構成や
・Amazon S3 の暗号化など推奨する
・リソースのアラートの Slack 通知、
・Amazon CloudWatch Synthetics の監視
・CloudWatch Dashboard

API アプリケーション:
・Amazon API Gateway
・AWS Lambda
・Amazon DynamoDB

なぜベースライン(基本的な設計)が必要なの?

セキュアな環境のテンプレートはなぜ必要なのでしょうか。

AWSでは、セキュリティを担保するための基本的な考え方として、AWS Well-ArchitectedAWS Security Reference Architecture (AWS SRA)のドキュメントを提供しています。

セキュリティといってしまうと幅広くなってしまいますが、ベースラインでは最低限どのシステムでも対応をしておいた方がいいものを定義しています。

例としては、CloudTrailを利用してAPI呼び出しを記録する等、AWSアカウントのガバナンス、コンプライアンス遵守などの運用の監査ができるようにすることが挙げられます。

テンプレート化をしておけば、誰でも漏れなく確実に設定ができるため、ベースラインとして提供がされているわけです。
また、CloudTrail、GuardDutyなどの共通部分だけではなく、アプリケーションサーバやデータベースの各コンポーネントに対してもサンプルのテンプレートが提供されています。

内容としては、AWS のセキュリティ状態を包括的に把握できるサービス AWS Security Hub において、CIS AWS Foundational ベンチマークやAWSの基本的なセキュリティのベストプラクティスの「すぐに対処が必要 (CRITICAL) 」「優先して対処が必要 (HIGH) 」という事項が検出されなくなるよう実装がされているようです。

利用方法

GitHub にオープンソースとして公開されています!⇒こちら

エディタは、BLEA 開発チームが使用している Visual Studio Codeが推奨されています。

まとめ

ベストプラクティスのテンプレートである「Baseline Environment on AWS」がリリースされました。
・Standalone 版と、AWS Control Tower をベースとしたマルチアカウント環境で利用可能
・ガバナンスベース (Governance Base)共通設定と個別のゲストシステム (Guest System)の2つがある。

AWSをご利用いただくには、直接契約するより断然お得。
AWS利用料が5%割引、さらに日本円の請求書による支払いが可能です!