ブログ

AWS運用はチェックリストを守ることで不安解消できる

「AWS運用を始めるにあたって、セキュリティについて何を確認すべきか分からない」というようなことはないでしょうか。そのような疑問に対して、AWSではベストプラクティスをベースにしたセキュリティチェックリストが公開されています。AWS運用に限らず、クラウドサービスはセキュリティ対策せずとも利用出来てしまいます。ですが後々問題となるケースがあり、各項目についてどのような対応が求められているか自分なりの解釈をまとめてみます。

※セキュリティチェックリストが2020年に更新されており、今回はそのチェックリストを対象としています。

AWS運用でIAMに関するチェックリスト (Identity & Access Management)

全4項目ありますが、主にIAMやAWSアカウントの扱いに関する内容です。

1. Secure your AWS account.

この項目では以下3つ対応が求められています。

  • AWS Organizations を使用したアカウント管理
  • アカウント作成時に割り振られる、rootユーザは MFA(多要素認証)を使用する
  • AWSアカウントの管理方法

2. Rely on centralized identity provider.

この項目では以下1つ対応が求められています。

  • AWS SSO を使用して、サードパーティプロバイダを利用した認証

3. Use multiple AWS accounts to separate workloads and workload stages such as production and non-production. 

この項目では以下1つ対応が求められています。

  • 複数AWSアカウントを使用して本番・非本番を分ける

複数AWSアカウントに分けるために、サービスコントロールポリシーや AWS Control Tower 等の利用が提案されています。

4. Store and use secrets securely.

この項目では以下1つ対応が求められています。

  • AWS STS, AWS Secrets Manager を使用して、トークンやパスワード等の暗号化及び管理

AWS運用でリソースの異常・変更検出に関するチェックリスト (Detection)

全3項目ありますが、主にAWSリソースの異常や変更検出方法関する内容です。

1. Enable foundational services: AWS CloudTrail, Amazon GuardDuty, and AWS Security Hub.

この項目では以下3つ対応が求められています。

  • AWS CloudTrail を有効化
  • Amazon GuardDuty を有効化
  • AWS Security Hub を有効化

2. Configure service and application level logging.

この項目では以下1つ対応が求められています。

  • アプリケーション及び VPC フローログ、S3, CloudTrail, ELB のアクセスログを特定のアカウントに保存

3. Configure monitoring and alerts, and investigate events.

この項目では以下3つ対応が求められています。

  • AWS Config を利用してリソースの履歴を追跡できるように設定
  • AWS Config のマネージドルールを使用して、アラート検知させる
  • AWS CloudTrail 及び GuardDuty, アプリケーションログ 等、優先度が高いログに対してアラートを設定

AWS運用でリソース保護に関するチェックリスト (Infrastructure Protection)

全3項目ありますが、主にAWSリソースの保護に関する内容です。

1. Patch your operating system, applications, and code.

この項目では以下1つ対応が求められています。

  • AWS Systems Manager の Patch Manager を利用した全システムのパッチ適用自動化

2. Implement distributed denial-of-service (DDoS) protection for your internet facing resources.

この項目では以下1つ対応が求められています。

  • CloudFront 及び AWS WAF, AWS Shield を使用したレイヤー7及び3, 4のDDoS保護

3. Control access using VPC Security Groups and subnet layers.

この項目では以下2つ対応が求められています。

  • セキュリティグループ及びサブネット(ルートテーブル)使用してアクセス制御する
  • AWS Firewall Managerを 使用して、セキュリティグループとWAF両方を設定する

AWS運用でデータ保護に関するチェックリスト (Data Protection)

全3項目ありますが、主にデータ保護に関する内容です。

1. Protect data at rest.

この項目では以下2つ対応が求められています。

  • AWS Key Management Service (KMS) を使用して EBS ボリュームの暗号化
  • KMS を使用して S3 の暗号化

2. Encrypt data in transit.

この項目では以下1つ対応が求められています。

  • AWS Certificate Manager (ACM) を使用して、Webに関する通信を暗号化(HTTPS)

3. Use mechanisms to keep people away from data.

この項目では以下1つ対応が求められています。

  • 全てのユーザが機密データやシステムに直接アクセス出来ないような構成や方法を採用する

直接アクセスさせないよう、機密データであれば QuickSight のダッシュボード、システムであれば AWS Systems Manager のオートメーションの利用が提案されています。

AWS運用でインシデント対応に関するチェックリスト (Incident Response)

全3項目ありますが、主にインシデント対応関する内容です。

1.Ensure you have an incident response (IR) plan.

この項目では以下1つ対応が求められています。

  • 掲載されている資料を参考にインシデント対応計画を作成する

2. Make sure that someone is notified to take action on critical findings.

この項目では以下1つ対応が求められています。

  •  GuardDuty の有効化し、必要な通知を受け取れるように設定する

「Configure monitoring and alerts, and investigate events.」と対応が類似していますが、前項は検出のみで、こちらは対応も含めた内容と考えられます。

3. Practice responding to events.

この項目では以下1つ対応が求められています。

  • 定期的にインシデント対応のシミュレーションと練習を実施する

AWS運用はチェックリストで不安解消まとめ - チェックリストを守る最適な方法

まとめてみると求められている対応の種類が多く、また直接システム開発に影響しない部分も有りました。

弊社 cloud link ではシステム開発に集中できるよう、AWS側の対応を弊社にてさせていただいています。これを機にご検討してみてはいかがでしょうか。

引用:AWS セキュリティチェックリスト
https://d1.awsstatic.com/whitepapers/Security/AWS_Security_Checklist.pdf

元記事発行日: 2020年09月07日、最終更新日: 2020年11月18日

Related Articles