SEC 1: ワークロードを安全に運用するには、どうすればよいですか?

ワークロードを安全に運用するには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。組織レベルおよびワークロードレベルにおいて、運用上の優秀性で定義した要件とプロセスを抽出し、それらをすべての領域に適用します。AWS や業界のレコメンデーションおよび脅威インテリジェンスを最新に保つことで、脅威モデルと管理の目標を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティオペレーションをスケールできます。

リソース

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

ベストプラクティス:

• アカウントを使用してワークロードを分ける: 会社のレポート構造をミラーリングするのではなく、機能または共通のコントロールセットに基づいて、ワークロードを別々のアカウントに整理し、アカウントをグループ化します。セキュリティとインフラストラクチャを念頭に置いて、ワークロードが増大するにつれて組織が共通のガードレールを設定できるようにします。

• AWS アカウントのセキュリティを確保する: たとえば、MFA を有効にしてルートユーザーの使用を制限したり、アカウントの連絡先を設定したりすることで、アカウントへのアクセスを保護します。

• 管理目標を特定および検証する: 脅威モデルから特定されたコンプライアンス要件とリスクに基づいて、ワークロードに適用する必要がある管理目標および管理を導き出し、検証します。管理目標と管理を継続的に検証することは、リスク軽減の有効性を測定するのに役立ちます。

• セキュリティ脅威に関する最新情報を入手する: 最新のセキュリティ脅威を常に把握して攻撃ベクトルを認識し、適切な管理を定義して実装できるようにします。

• セキュリティのレコメンデーションに関する更新情報を入手する: AWS と業界の両方のセキュリティのレコメンデーションを常に最新に保ち、ワークロードのセキュリティ体制を進化させます。

• パイプラインのセキュリティコントロールのテストと検証を自動化する: ビルド、パイプライン、プロセスの一環としてテストおよび検証されるセキュリティメカニズムの安全なベースラインとテンプレートを確立します。ツールとオートメーションを使用して、すべてのセキュリティコントロールを継続的にテストおよび検証します。たとえば、マシンイメージやインフラストラクチャなどの項目をコードテンプレートとしてスキャンして、セキュリティの脆弱性、不規則性、およびドリフトを各ステージで確立されたベースラインから確認します。

• 脅威モデルを使用してリスクを特定し、優先順位を付ける: 脅威モデルを使用して潜在的な脅威を特定し、その登録を最新の状態に維持します。脅威に優先順位を付け、セキュリティコントロールを調整して防止、検出、対応を行います。進化するセキュリティ環境の状況に応じてセキュリティコントロールを再確認および維持します。

• 新しいセキュリティサービスと機能を定期的に評価および実装する: AWS および APN パートナーは、ワークロードのセキュリティ体制を進化させることができる新しい機能とサービスを継続的にリリースしています。

改善計画

アカウントを使用してワークロードを分ける

AWS Organizations を使用する: AWS Organizations を使用し、複数の AWS アカウントにポリシーベースの管理を一元的に適用します。
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

AWS Control Tower を検討する: AWS Control Tower では、ベストプラクティスに基づいて、新しいセキュアなマルチアカウントの AWS 環境を容易にセットアップおよび管理できます。
AWS Control Tower

AWS アカウントのセキュリティを確保する

AWS Organizations を使用する: AWS Organizations を使用し、複数の AWS アカウントにポリシーベースの管理を一元的に適用します。
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization

AWS ルートユーザーの使用を制限する: 特定のルートユーザーを必要とするタスクについては、当該ルートユーザーのみを使用します。
AWS Tasks That Require AWS Account Root User Credentials

ルートユーザーの MFA を有効にする: AWS Organizations がルートユーザーを管理していない場合は、AWS アカウントのルートユーザーで MFA を有効にします。
Lab: AWS account and root user
Root user

ルートユーザーパスワードを定期的に変更する: ルートユーザーのパスワードを変更することにより、保存したパスワードが使用できる状態となっていることによるリスクが軽減されます。AWS Organizations を使用しておらず、あらゆるユーザーが物理的にアクセスできる場合に特に重要です。
Changing the AWS account root user password

AWS アカウントのルートユーザーが使用された場合に通知を送信するようにする: 通知を受け取ることで、リスクは自動的に軽減されます。
How to receive notifications when your AWS account's root access keys are used

新しく追加されたリージョンへのアクセスを制限する: 新しい AWS リージョンについて、ユーザーやロールなどの IAM リソースは、有効にしたリージョンのみに伝播されます。
Setting permissions to enable accounts for upcoming AWS Regions

CloudFormation StackSets について検討する: CloudFormation StackSets を使用すると、IAM ポリシー、ロール、グループなどのリソースをさまざまな AWS アカウントとリージョンに承認されたテンプレートからデプロイできます。
Use CloudFormation StackSets

管理目標を特定および検証する

コンプライアンス要件を特定する: ワークロードが準拠する必要のある組織要件、法的要件、規制要件を確認します。

AWS コンプライアンスリソースを確認する: コンプライアンスを支援するために使用できる AWS のリソースを特定します。
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/

セキュリティ脅威に関する最新情報を入手する

脅威インテリジェンスソースを購読する: ワークロードで使用しているテクノロジーに関連する、複数のソースからの脅威インテリジェンス情報を定期的に確認します。
Common Vulnerabilities and Exposures List

AWS Shield Advanced サービスについて検討する: ワークロードがインターネットにアクセスできる場合、インテリジェンスソースについてのほぼリアルタイムでの可視性を提供します。
AWS Shield

セキュリティのレコメンデーションに関する更新情報を入手する

AWS の更新情報をフォローする: 新しいレコメンデーション、ヒント、コツをサブスクライブまたは定期的に確認します。
AWS Well-Architected Labs
AWS security blog
AWS service documentation

業界ニュースを購読する: 複数のソースから、ワークロードで使用しているテクノロジーに関連するニュースフィードを定期的に確認します。
Example: Common Vulnerabilities and Exposures List

パイプラインのセキュリティコントロールのテストと検証を自動化する

設定管理を自動化する: 設定管理サービスやツールを使うことで、自動的に安全性の高い設定を適用および検証します。
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS

脅威モデルを使用してリスクを特定し、優先順位を付ける

脅威モデルを作成する: 脅威モデルは、潜在的なセキュリティ脅威を特定して対処するのに役立ちます。
NIST: Guide to Data-Centric System Threat Modeling

新しいセキュリティサービスと機能を定期的に評価および実装する

定期的なレビューを計画する: コンプライアンス要件、AWS の新しいセキュリティ機能とセキュリティサービスの評価、業界の最新ニュースの入手を含むレビューアクティビティのカレンダーを作成します。

AWS のサービスと機能について調べる: 使用中のサービスで利用可能なセキュリティ機能について調べ、新しい機能がリリースされた時には、それについて確認します。
AWS security blog
AWS security bulletins
AWS service documentation

AWS のサービスの導入プロセスを定義する: 新しい AWS サービスの導入プロセスを定義します。新しい AWS のサービスの機能とワークロードのコンプライアンス要件を評価する方法を含めます。

新しいサービスと機能をテストする: 新しいサービスと機能がリリースされたら、本稼働環境に近いかたちで複製する本稼働環境ではない環境でテストします。

その他の防御メカニズムを実装する: ワークロードを保護するための自動化されたメカニズムを実装し、利用可能なオプションを確認します。
Remediating non-compliant AWS resources by AWS Config Rules