一元化されたパッチコンプライアンスレポート
パッチコンプライアンスと は何ですか?
パッチコンプライアンスとは、組織のポリシーに従って、すべてのコンピューティングリソースに最新のセキュリティアップデートとバグ修正が適用されていることを確認するプロセスです。パッチベースラインで定義されたすべての必須パッチが正常に適用されている場合、システムは「パッチコンプライアント」とみなされます。コンプライアンスに準拠していないシステムには、重要なセキュリティアップデートが適用されていない可能性があり、悪意のある攻撃者に悪用される可能性のあるセキュリティ脆弱性に組織がさらされるリスクがあります。
複数の AWS アカウントとリージョンにまたがる現代のクラウド環境では、分散化されたパッチ管理により、可視性のギャップ、一貫性のないレポート、脆弱性への対応の遅延、複雑な監査プロセス、チーム間での作業の重複など、重大な課題が生じます。これらの課題は、組織全体でセキュリティリスクへの露出が長期化し、リソースの非効率な使用につながる可能性があります。
集中型パッチコンプライアンスレポートは、すべてのアカウントとリージョンのデータを単一の場所に統合し、セキュリティ体制の包括的なビューを提供することで、これらの課題に対処します。このアプローチは、コンプライアンスステータスの単一の信頼できる情報源、脆弱性のリアルタイム把握、環境全体にわたる一貫したメトリクス、簡素化された監査、トレンド分析機能、リソース効率の向上、および自動修復ワークフローの基盤など、多くのメリットをもたらします。
AWS Systems Manager は、パッチプロセスを自動化する Patch Manager、コンプライアンスデータを中央の S3 バケットに集約するリソースデータ同期、そしてデータを変換・クエリ・可視化する AWS Glue、Amazon Athena、Amazon QuickSight などの分析サービスを通じて、この一元化の基盤を提供します。このレシピで説明するソリューションは、これらのコンポーネントを活用して、AWS 組織全体にわたる包括的なレポートシステムを構築し、より効率的な運用と迅速な脆弱性修復を実現します。
リソースデータ同期は、JSON ファイルの形式でインベントリおよびパッチコンプライアンスのメタデータを提供します。Athena と QuickSight を使用する代替手段として、S3 バケットからデータを取得できる任意の BI またはアナリティクスツールを使用することができます。
目的
このレシピの目的は、集中型パッチコンプライアンスレポートに必要なリソースをプロビジョニングするために使用できる CloudFormation テンプレートのサンプルを提供することです。このレシピでは、パッチスキャンまたはインストール操作のデプロイについては説明しません。
マネージドノードのパッチ適用の準備方法の詳細については、AWS Systems Manager とタグ付けを使用したマネージドノードのパッチ適用を参照してください。
前提条件
デプロイを開始する前に、以下を確認してください。
- AWS Organizations のセットアップ: 管理アカウントとメンバーアカウントを持つ、適切に設定された AWS Organization。
- マネージドノードの設定: パッチ操作を実行してパッチコンプライアンスをレポートするには、Amazon Elastic Compute Cloud (EC2) インスタンス、AWS Internet of Things (IoT) Greengrass コアデバイス、オンプレミスサーバー、エッジデバイス、および VM が Systems Manager マネージドノードである必要があります。
- パッチ操作の実装: 少なくとも、パッチスキャン操作を設定して 1 回以上実行する必要があります。これを行わないと、レポートするコンプライアンスデータが存在しま せん。さまざまな種類のパッチ適用とその実装方法の詳細については、パッチ管理ベストプラクティスガイドおよびさまざまな種類のパッチ適用のセクションを参照してください。
- IAM アクセス許可: CloudFormation テンプレートをデプロイし、中央レポートアカウントとメンバーアカウントの両方で必要なリソースを作成するための適切なアクセス許可。
- Amazon QuickSight: QuickSight を使用してパッチコンプライアンス情報を可視化するには、QuickSight にサインアップする必要があります。
- Amazon QuickSight の S3 へのアクセス許可: フェーズ 1: 中央アカウントのセットアップで作成された S3 バケットへのアクセス許可が QuickSight に付与されていることを確認する必要があります。詳細については、QuickSight 用 CloudFormation テンプレートをデプロイする前に完了すべき前提条件を参照してください。