完全保護モード


CloudGuard では、Amazon AWS セキュリティグループを管理する2 つの方法があります。

  • 完全保護

  • 読み取り専用

フルプロテクションにより、CloudGuard管理者は、AWSセキュリティポリシーの定義、アクセスリース、およびダイナミックポリシーオブジェクトを操作する機能を完全に制御できます。

完全保護

フルプロテクションモードでは、CloudGuard 経由でのみ AWS セキュリティグループを管理できます。CloudGuard は、Tamper Protection をトリガーするAWS environment (AWS コンソールなど) からセキュリティグループを変更しようとする試みを検出し、アラート/通知を送信することもできます。CloudGuard は、行われた変更を上書きし、CloudGuard で定義されているセキュリティグループの定義に戻ります。

タンパー保護から開始されたアラートと通知は、クラウドアカウント内の目的のリージョンの完全保護をオンにしたときに発生します。CloudGuard は、そのリージョン内のセキュリティグループの設定をロックダウンして、セキュリティグループが適切に設定されていることを確認します。

タンパプロテクションが有効になっているセキュリティグループを変更するには、CloudGuard で変更を行います。

  1. Network Security(ネットワークセキュリティ)メニューの Security Groups(セキュリティグループ)ページに移動します。

  2. 変更するセキュリティグループを選択します。

  3. セキュリティグループに必要な変更を加えます(インバウンドサービスやアウトバウンドサービスの追加や変更など)。セキュリティグループの作成または変更方法の詳細については、AWS セキュリティグループを参照してください。

  4. 変更を保存します。

改ざん防御に関する警告または通知を受け取ると、CloudGuard監査ログに表示されます。CloudGuard タンパプロテクションの動作とその関連情報を表示および確認するには、監査ログに移動してCloudTrail の詳細を表示します。

  1. Events メニューからAudit Logs を選択します。

  2. 監査ログ履歴でタンパ保護イベントを検索します。システムイベントの右側には、CloudTrail Details を示す情報 (i) アイコンがあります。

  3. CloudTrail Details アイコンを選択すると、CloudTrail イベントのタイムスタンプ、ユーザ名、イベント名、詳細が表示されます。

  4. 詳細を選択して、特定のエンティティイベントおよびアクションに関する追加情報を表示します。