Red Hat Summit4.3. F5 と Event-Driven Ansible を使用した例
F5 と Event-Driven Ansible を使用したサンプルコードは GitHub で入手できます。このコードは、フィルター内で一致を見つけたウォッチャーの各インスタンスを記録し、そのコードからソース IP を CSV リストにコピーします。次に、リストはコードを実行するためのメッセージとともに、Webhook 内の変数として送信されます。
この高レベルのワークフローは、次の図とコードワークフローの例で説明されています。
+
ワークフローの手順は次のとおりです。
- F5 BIG-IP は監視ログを Elastic にプッシュします。
- Elastic は、そのフィルターと基準が設定されたウォッチャーを使用しながら、データを取り込み、保存します。
- ウォッチャーは、その基準に一致するイベントを検出し、ペイロード付きの Webhook を Event-Driven Ansible に送信します。
- Event-Driven Ansible のルールブックは、Ansible Automation Platform 内のジョブテンプレートをトリガーするイベントからトリガーされ、Elastic によって提供されるペイロードを送信します。
- Ansible Automation Platform のテンプレートは、Event-Driven Ansible (元々は Elastic によって提供) によって提供されるペイロードを使用して、F5 BIG-IP を保護するための Playbook を実行します。
4.3.1. ロギングイベントからの応答の駆動
Ansible 検証済みコンテンツは、事前にテストおよび検証された、信頼できる Ansible ロールと Playbook のコレクションです。このコンテンツは、デプロイメント全体にわたってインフラストラクチャーを管理するためのセキュアで信頼性が高く一貫性のある方法を容易に提供できるように設計されています。検証済みのコンテンツはそのまま使用できるため、カスタム Ansible コンテンツの作成に必要な時間と労力が削減されます。次のユースケースは、ログイベントに対する Event-Driven Ansible の応答の例を示しています。
4.3.2. ユースケース: AWS CloudTrail
AWS CloudTrail は、他の AWS サービスによって行われた API 呼び出しを含む、AWS アカウントで行われたすべての API 呼び出しをログに記録するサービスです。デフォルトでは、CloudTrail ログは暗号化されていない形式で S3 バケットに保存されます。CloudTrail ログがセキュアであることを確認するには、AWS KMS を使用して CloudTrail ログの暗号化を有効にします。CloudTrail ログが保存される S3 バケットを暗号化するために使用される KMS キーを作成して、CloudTrail ログの暗号化を有効にします。次に、このキーを使用してログを暗号化するように CloudTrail を設定します。
暗号化を有効にすると、すべての CloudTrail ログは、S3 バケットに書き込まれる際に自動的に暗号化されます。ログは、指定した KMS キーを使用してのみ復号化できます。これにより、ログがセキュアあり、許可されたユーザーとサービスのみがアクセスできることが確立されます。
AWS CloudTrail ログの暗号化は、いくつかの理由で重要です。
- 機密情報の保護: CloudTrail ログには、API 呼び出し、ユーザーアイデンティティー、リソース情報など、AWS アカウントに関する豊富な情報が含まれています。CloudTrail ログを暗号化すると、この機密情報を不正アクセスや改ざんから保護できます。
- コンプライアンス要件: HIPAA や PCI DSS などの多くのコンプライアンス標準では、機密情報を保護するためにログの暗号化が必要です。CloudTrail ログを暗号化すると、これらの標準に準拠できるようになります。
- 改ざんの防止: CloudTrail のログ暗号化は、ログの改ざんを防ぐのに役立ちます。これにより、ログの整合性が維持され、AWS アカウントへのすべての API 呼び出しの正確な記録が維持されます。
- データの保護: CloudTrail ログの暗号化は、データに追加のセキュリティー層を提供します。S3 バケットが侵害された場合でも、暗号化キーがなければ、暗号化されたログにアクセスすることはできません。
Event-Driven Ansible ルールブックは、ログファイルに対するアクションを支援するため、以下のコンポーネントで構成されています。
- ソース: 使用するイベントソースを定義します。
- ルール: イベントソースからどの条件が一致するかを定義します
- アクション: 条件が満たされたときにイベントをトリガーします
次の例では、ルールブックは次のように 3 つのルールを含むルールセットを実装します。
ルール #1: トレイルの暗号化を有効にする
このルールは、トレイルの暗号化が無効になっている場合に対応します。これは、トレイルに対して UpdateTrail 操作が実行され、UpdateTrail 要求に含まれるパラメーターが次の条件に一致するときにトリガーされます。
event.CloudTrailEvent.requestParameters.kmsKeyId=="" であり、かつ event.CloudTrailEvent.requestParameters.name==vars.cloudtrail_name. と一致する
このドリフトを軽減するために実行されるアクションは、
'playbooks/eda/aws_restore_cloudtrail_encryption.yml playbook` を実行します。この Playbook は、トレイルの暗号化を再有効化してシステムを元の状態に復元する、Ansible 検証済みロール cloud.aws_ops.enable_cloudtrail_encryption_with_kms を実行します。
ルール #2: トレイルの再作成
このルールは、トレイルが削除された場合に対応します。
以下の条件が満たされた場合:
event.CloudTrailEvent.eventName=="DeleteTrail" であり、かつ event.CloudTrailEvent.requestParameters.name==vars.cloudtrail_name と一致する
アクションとして、playbooks/eda/aws_restore_cloudtrail.yml Playbook を実行します。この Playbook は、まず Ansible 検証済みコンテンツ cloud.aws_ops.awsconfig_multiregion_cloudtrail ロールを実行してトレイルを再作成し、次に cloud.aws_ops.enable_cloudtrail_encryption_with_kms ロールを実行して、新しく作成されたトレイルの暗号化を有効にします。
ルール #3: KMS キーの削除をキャンセルし、再度有効にする
このルールは、KMS キーが削除または無効化された場合に対応します。これにより、条件は以下のようになります。
event.CloudTrailEvent.eventName=="ScheduleKeyDeletion" または event.CloudTrailEvent.eventName=="DisableKey"
誰かが意図的または偶発的に KMS キーを削除しようとすると、AWS CloudTrail に ScheduleKeyDeletion イベントが表示されます。KMS キーを削除すると破壊的になり、潜在的な危険性があるため、KMS キーはすぐには削除されません。AWS KMS では、7 - 30 日間の待機期間を設定する必要があります。この状況は、playbooks/eda/aws_restore_kms_key.yml Playbook を実行して KMS キーの削除をキャンセルすることですぐに処理されます。同様に、KMS キーが無効が無効化されると、Playbook はそれを再有効化してシステムの元の状態に復元します。Playbook は KMS キー ARN を設定し、それを使用して KMS キーの削除をキャンセルするか、KMS キーを再度有効化するか、またはその両方を行うかを決定します。
cloud.aws_ops 向けの Ansible 検証済みコンテンツと Event-Driven Ansible は、クラウドコンピューティング環境における問題の自動解決や監視のための多くの機会を創出します。これにより、自動化を容易にし、セキュリティー問題を軽減して、クラウド環境の習熟度を最大限に高めることができます。ルールブックの使用に関する詳細は、Validated content for Event-Driven ansible for AWS を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}