Amazon Web Servicesの年次イベント「AWS re:Invent 2018」において、セキュリティ関連の新サービスとして「AWS Control Tower」「AWS Lake Formation」「AWS Security Hub」が発表された。AWS Control Towerは複数のAWSアカウントを扱うためのベースラインプラットフォーム、AWS Lake Formationはデータレイクの作成と運用を簡素化するサービス、AWS Security Hubはさまざまなセキュリティワーニングを統合して管理するためのサービスとなっている。以下、それぞれの特徴を紹介しよう。
AWS Control Tower
ある程度以上の規模の企業が既存のオンプレミスプラットフォームをクラウドプラットフォームに移行しようとした場合、通常は複数のプロジェクトや複数のチームを作って移行作業を行うことになる。こうした環境ではそれぞれのチームが作業しやすいように複数のAWSアカウントを作成して作業を行うが、最終的にはそれらアカウントは連動して動作する必要がでてくる。この時に利用するサービスが「AWS Control Tower」だ。
AWS Control Towerを利用することで、セキュアなAWSマルチアカウントプラットフォームを作成することができる。ランディングゾーンはこれまで数千のクライアントとのやり取りの中で培われたベストプラクティスに基づく設定が適用される。
AWS Control Towerではランディングゾーンの設定と管理やセキュリティに関する設定は自動的に作成される仕組みになっており、それぞれのアカウントが自由に作業しつつも協調した環境を構築できる。
AWS Lake Formation
データを分析する場合、まずデータソースからデータを取得し、それを分析できる形式のデータへ変換する必要がある。さらに、変換したデータに関するアクセス権を設定するなどして、適切な権限のユーザーが適切なデータにアクセスできるようにする必要があるが、こうした作業は繁雑で大きな手間になっている。今回発表された「AWS Lake Formation」はこうした一連の作業を自動化し、セキュリティに関する設定を簡単なものにしてくれる。
-
AWS Lake Formation
-
AWS Lake Formationの動作ダイアグラム
AWS Lake Formationを使ってデータレイクを作成する場合、どこからデータを持ってくるのかなどについてアクセスポリシーを設定する。その後、AWS Lake Formationがデータストレージからデータやカタログデータを収集し、データの分類と整理、アクセス権限の設定などを行ってくれる。
AWS Security Hub
AWSのサービスはそれぞれがセキュリティに関する機能を備えており、セキュリティ上問題があると判断した場合はユーザーに警告などを上げるようになっている。多くのAWSサービスを利用するようになると、場合によっては日々セキュリティに関する警告を大量に処理することになる。扱うサービスの数が増えてくると、こうした警告に対処するだけでも多くの時間が費やされることになる。こうした問題を解決するための新しいサービスが「AWS Security Hub」だ。
-
AWS Security Hub
AWS Security Hubはさまざまなセキュリティに関する警告を整理して、管理者に対して視覚的に情報を提供してくれる。また、警告の優先順位を決定し、どの問題に対して優先的に対処すべきかを教えてくれる。こうしたツールを使うことで、警告に対処する作業を効率化することが可能になり、作業時間の短縮とセキュリティ対策の迅速化が実現される。
AWSは提供しているサービスの数がとにかく多い。複数のサービスを利用するようになれば、それだけ管理が煩雑になってくる。しかし、セキュリティ対応に関しては優先的に取り組む必要がある。AWS Security Hubはそうした管理者の手間を減らすツールとして有効だろう。
