【aws】アーキテクト②ガバナンス

前回は、第１回目としてawsへの接続方式について見てきました。本記事からでは"ガバナンス"観点での観点での推奨構成を見ていきたいと思います。

教材は前回と同様で「ガバメントクラウド利用における推奨構成（AWS編）.pdf」を見ていきいます。

ガバナンス構成
Security Hub：セキュリティのダッシュボード
Control Tower：アカウント払い出し自動化
参考資料

ガバナンス構成

早速、推奨構成図です。ざっと見たところ、認証・ログ・侵入検知周りに特化したセキュリティ機能を"ガバナンス"と命名しているようです。

引用元：ガバメントクラウド利用における推奨構成（AWS編）.pdf（デジタル庁）P.22

アイコン	名称	機能
	Security-Hub	セキュリティ関係の機能を一括管理するシステム。GuardDutyも管理下における
	GuardDuty	ビヘイビア監視の脅威検出ツール。いわゆる侵入検知システム（IDS）に該当するが、通信を監視するわけではなく、ログを監視している。GuardDuty Malware Protectionという機能はウィルス対策ソフトのような位置づけとなる
	Control-Tower	AWSアカウントの自動構築（払い出し、ルール適用等）ができる機能。内部でCloudFormationを利用して環境構築して、Organizations基板上で動作するアカウントを作成する。自動構築機能内でCloudTrailとConfigも自動設定される
	CloudFormation_Template	環境構築をコードにより自動化する仕組み。いわゆるInfrastructure as Code（IaC）
	Organizations	AWSアカウントの管理（請求・組織構造・SCP）ができる機能
	CloudTrail	ユーザー操作のログ。似た機能としてCloud Watchがあるが、これはサーバーの動作ログという点で異なる。
	Config	設定変更のルールを定義したり、設定変更履歴を確認できる機能
	IAM-Identity-Center	シングルサインオン（SSO）を提供してくれるIAMアカウントのIDプロバイダー
	IAM-Access-Analyzer	アクセス権限周りの静的解析ツール。IAM周りの脆弱性診断をしてくれるイメージ
	Trusted-Advisor	セキュリティに限らず、非機能全体の観点で推奨設定やアドバイスをしてくれるツール
	Budgets	予算オーバーアラートなどのコスト管理ツール。似た機能としてCloud Watchがあるが、こちらはリソースの利用量を監視している

大きく分けると、「Securty Hub」「Control Tower」の２つが中心となり、その周りに「認証」「アラート」「アドバイス」機能があるといったイメージでしょうか。

ガバメントクラウド特有の特徴としては、ユーザー管理（IAM IOdentity Center、Control Tower）や、セキュリティ課題の検出（Security Hub）はデジタル庁が運用・管理・提供していて、事業者は申請などによってアカウントを払い出してもらうと、これらの設定がデフォルトで適用されたアカウントが払い出されるような運用になっていそうです。

Security Hub：セキュリティのダッシュボード

Security Hubは、awsの各種セキュリティ機能を１画面で確認できる統合ツールというイメージのようです。推奨構成に記載されている「GuardDuty、Config、IAM-Access-Analyzer、Security Hub」の情報を表示できる他、AWS公式ブログの記事によると「Amazon Amazon Inspector（リソースの脆弱性検査ツール）、Amazon Macie（S3の機密データチェック）」等の機能も連携可能なようです。

引用元：Amazon Web Services ブログ – 新しい AWS Security Hub でセキュリティを統合し、リスクの優先順位付けと大規模な対応を実現 (プレビュー)

Control Tower：アカウント払い出し自動化

Control Towerは、デジタル庁がアカウントを払い出すときにセキュアな環境構築を自動的にやってくれる仕組みとして動いていそうです。自動化の基盤としてCloudformationかAWS CDKを利用していて、「Organizations、IAM Identity Center、CloudTrail、Config」等を自動構築できるようです。

同機能のリリース時の資料を確認すると、以下のように既存サービスが連動して環境構築してくれるようです。