AWS - Trusted Advisor Enum

AWS - Trusted Advisor Enum

AWS Trusted Advisor 概要

Trusted Advisorは、AWSアカウントを最適化するための推奨事項を提供するサービスで、AWSのベストプラクティスに沿っています。これは複数のリージョンで動作するサービスです。Trusted Advisorは、主に4つのカテゴリで洞察を提供します：

1. コスト最適化： 経費を削減するためのリソースの再構成方法を提案します。

2. パフォーマンス： 潜在的なパフォーマンスのボトルネックを特定します。

3. セキュリティ： 脆弱性や弱いセキュリティ構成をスキャンします。

4. フォールトトレランス： サービスの回復力とフォールトトレランスを向上させるための実践を推奨します。

Trusted Advisorの包括的な機能は、AWSビジネスまたはエンタープライズサポートプランでのみアクセス可能です。これらのプランがない場合、アクセスは主にパフォーマンスとセキュリティに焦点を当てた6つのコアチェックに制限されます。

通知とデータの更新

• Trusted Advisorはアラートを発行できます。

• チェックからアイテムを除外できます。

• データは24時間ごとに更新されます。ただし、最後の更新から5分後に手動で更新することも可能です。

チェックの内訳

カテゴリコア

1. コスト最適化

2. セキュリティ

3. フォールトトレランス

4. パフォーマンス

5. サービス制限

6. S3バケットの権限

コアチェック

ビジネスまたはエンタープライズサポートプランのないユーザーに制限されています：

1. セキュリティグループ - 特定のポートが無制限

2. IAMの使用

3. ルートアカウントのMFA

4. EBSのパブリックスナップショット

5. RDSのパブリックスナップショット

6. サービス制限

セキュリティチェック

主にセキュリティの脅威を特定し、修正することに焦点を当てたチェックのリスト：

• 高リスクポートのセキュリティグループ設定

• セキュリティグループの無制限アクセス

• S3バケットへの書き込み/リストアクセスのオープン

• ルートアカウントでのMFAの有効化

• RDSセキュリティグループの許容度

• CloudTrailの使用

• Route 53 MXレコードのSPFレコード

• ELBのHTTPS設定

• ELBのセキュリティグループ

• CloudFrontの証明書チェック

• IAMアクセスキーのローテーション（90日）

• アクセスキーの露出（例：GitHub上）

• EBSまたはRDSスナップショットの公開可視性

• 弱いまたは存在しないIAMパスワードポリシー

AWS Trusted Advisorは、確立されたベストプラクティスに基づいてAWSサービスの最適化、パフォーマンス、セキュリティ、フォールトトレランスを確保するための重要なツールとして機能します。

参考文献

• https://cloudsecdocs.com/aws/services/logging/other/#trusted-advisor