SEC 5: ネットワークリソースをどのように保護しますか?

何らかの形式のネットワーク接続があるワークロードは、インターネットでもプライベートネットワークでも、外部および内部ネットワークベースの脅威から保護するために、複数の防御レイヤーが必要です。

リソース

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

ベストプラクティス:

改善計画

ネットワークレイヤーを作成する

  • VPC にサブネットを作成する: (複数のアベイラビリティーゾーンを含むグループで) 各レイヤーのサブネットを作成し、ルートテーブルを関連付けてルーティングを制御します。
    VPCs and subnets
    Route tables
  • すべてのレイヤーでトラフィックをコントロールする

  • VPC 内のネットワークトラフィックを制御する: VPC ベストプラクティスを実装してトラフィックを制御する
    Amazon VPC security
    Lab: Automated Deployment of VPC
    VPC endpoints
    Amazon VPC security group
    Network ACLs
  • エッジでのトラフィックを制御する: Amazon CloudFront などのエッジサービスを実装して、追加の保護レイヤーやその他の機能を提供します。
    Amazon CloudFront use cases
    AWS Global Accelerator
    AWS Web Application Firewall (AWS WAF)
    Amazon Route 53
    Amazon VPC Ingress Routing
  • プライベートネットワークトラフィックを制御する: ワークロードのプライベートトラフィックを保護するサービスを実装します。
    Amazon VPC Peering
    Amazon VPC Endpoint Services (AWS PrivateLink)
    Amazon VPC Transit Gateway
    AWS Direct Connect
    AWS Site-to-Site VPN
    AWS Client VPN
    Amazon S3 Access Points
  • ネットワーク保護を自動化する

  • ウェブベースのトラフィックの保護を自動化する: AWS では、AWS CloudFormation を使用して、一般的なウェブベースの攻撃をフィルタリングするために設計された AWS WAF ルールセットを自動的にデプロイするソリューションを提供しています。ユーザーは、AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) に含まれるルールを定義する事前設定された保護機能から選択できます。
    AWS WAF security automations
  • APN パートナーソリューションを検討する: APN パートナーは、オンプレミス環境の既存のコントロールと同等、同一、またはそれらと統合される、業界をリードする多くの製品を提供しています。これらの製品は既存の AWS サービスを補完します。包括的なセキュリティアーキテクチャーをデプロイして、クラウド環境およびオンプレミス環境全体にさらにシームレスなエクスペリエンスを得ることができます。
    Infrastructure security
  • 検査および保護を実装する

  • Amazon GuardDuty を設定する: Amazon GuardDuty は脅威検出サービスです。悪意のある動作や不正な動作を継続的にモニタリングし、AWS のアカウントとワークロードを保護できるようにします。GuardDuty を有効にし、自動アラートを設定します。
    Amazon GuardDuty
    Lab: Automated Deployment of Detective Controls
  • VPC フローログを設定する: VPC フローログは、VPC のネットワークインターフェイス間を行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログデータは、Amazon CloudWatch Logs および Amazon S3 に公開できます。フローログを作成した後、選択した送信先でデータを取得したり表示したりできます。
  • VPC トラフィックのミラーリングを検討する: トラフィックミラーリングは、Amazon EC2 インスタンスの Elastic Network Interface からネットワークトラフィックをコピーし、コンテンツ検査、脅威のモニタリング、トラブルシューティングのために帯域外セキュリティおよびモニタリングアプライアンスに送信するために使用できる Amazon VPC の機能です。
    VPC traffic mirroring