AWS Shield network security directorを触ってみた

はじめに

プレビュー版ではあるのですが、AWS Shieldに新しい機能が追加されたので触ってみました。

目次

• 概要
• 手順
• まとめ

概要

今回ご紹介するのはAWS Shield network security directorというサービスで、ざっくり説明すれば利用中のAWS環境におけるセキュリティ構成を可視化/評価してくれるというものです。

簡単なALB-EC2構成などであれば、人力でのセキュリティチェックも可能かと思いますが、EC2が10台あってELBとCloudFrontがあってWAFがあって……というような構成だと人が確認するのも大変です。
そのようなときに自動でセキュリティ設定をチェックしてくれるサービスがあると便利ですよね。

まだプレビュー版ということで正式リリースはされていないのですが、今のうちに触ってみようと思います。

ちなみに料金はプレビュー版の間は無料ということでした。

手順

それでは実際にAWS Shield network security directorを設定していきたいと思います。
設定といっても実際は有効化に近く、難しい作業は必要ありません。
コンソールをポチポチ押していくだけで終わるので、簡単に実装できると思います。

まずはAWS WAFのページに移動してください。
左ページの真ん中あたりにAWS Shield network security directorが追加されているのがわかると思います。

AWS Shield network security directorのページに遷移しました。
右ページの「始めましょう」をクリックします。

全リージョンで有効化するか、個別のリージョンで有効化するかの選択画面に遷移します。
今回は推奨ということもあり、「すべての地域からの調査結果を評価する」を選択します。
「ネットワーク分析を開始する」をクリックしてください。

数分すると検出と評価が終了しダッシュボードなどが確認できるようになります。
この画面はどのようなリソースにどのレベルの脆弱性があるのかまとめられています。

ダッシュボードのキャプチャですが、存在する脆弱性についてわかりやすくまとめられています。

また、Amazon Qとの連携もされており、生成AIに質問をすることで情報をとりまとめしてくれます。
上画面のようによく使う質問も用意されているため、操作に困ることはないかと思いました。

試しに「Summarize the network security of my environment」という質問をしてみました。
左画面で質問をクリックし、右下のコメント欄から質問を送付することでAmazon Qが自動的に答えを返してくれます。
（回答には多少時間がかかります）

このような感じで回答が返ってきます。
このアカウントはまだfree tierですが、十分利用できますね。
もちろん用意されている質問例以外にも自由な質問が可能なので、ぜひご活用ください。

ちなみにリソースをクリックすると上記のようなネットワークトーポロジが可視化されます。

Remediation recommendationsをクリックすると脆弱性の修復方法についてもガイドが出てきます。
検出して終わりではなく、検出した脆弱性を改善するところまで案内してくれるのでとても便利です。

まとめ

まだプレビュー版ということで今後機能が追加されるかもしれませんが、大まかには伝わったかなと思います。
セキュリティ事故や攻撃が多い昨今、こうしたサービスを通してセキュリティの改善ができるといいですね。