SEC 1: ワークロードを安全に運用するには、どうすればよいですか?
ワークロードを安全に運用するには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。組織レベルおよびワークロードレベルにおいて、運用上の優秀性で定義した要件とプロセスを抽出し、それらをすべての領域に適用します。AWS や業界のレコメンデーションおよび脅威インテリジェンスを最新に保つことで、脅威モデルと管理の目標を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティオペレーションをスケールできます。
リソース
Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in
your AWS Organization
ベストプラクティス:
-
アカウントを使用してワークロードを分ける: 会社のレポート構造をミラーリングするのではなく、機能または共通のコントロールセットに基づいて、ワークロードを別々のアカウントに整理し、アカウントをグループ化します。セキュリティとインフラストラクチャを念頭に置いて、ワークロードが増大するにつれて組織が共通のガードレールを設定できるようにします。
-
AWS アカウントのセキュリティを確保する: たとえば、MFA を有効にしてルートユーザーの使用を制限したり、アカウントの連絡先を設定したりすることで、アカウントへのアクセスを保護します。
-
管理目標を特定および検証する: 脅威モデルから特定されたコンプライアンス要件とリスクに基づいて、ワークロードに適用する必要がある管理目標および管理を導き出し、検証します。管理目標と管理を継続的に検証することは、リスク軽減の有効性を測定するのに役立ちます。
-
セキュリティ脅威に関する最新情報を入手する: 最新のセキュリティ脅威を常に把握して攻撃ベクトルを認識し、適切な管理を定義して実装できるようにします。
-
セキュリティのレコメンデーションに関する更新情報を入手する: AWS と業界の両方のセキュリティのレコメンデーションを常に最新に保ち、ワークロードのセキュリティ体制を進化させます。
-
パイプラインのセキュリティコントロールのテストと検証を自動化する: ビルド、パイプライン、プロセスの一環としてテストおよび検証されるセキュリティメカニズムの安全なベースラインとテンプレートを確立します。ツールとオートメーションを使用して、すべてのセキュリティコントロールを継続的にテストおよび検証します。たとえば、マシンイメージやインフラストラクチャなどの項目をコードテンプレートとしてスキャンして、セキュリティの脆弱性、不規則性、およびドリフトを各ステージで確立されたベースラインから確認します。
-
脅威モデルを使用してリスクを特定し、優先順位を付ける: 脅威モデルを使用して潜在的な脅威を特定し、その登録を最新の状態に維持します。脅威に優先順位を付け、セキュリティコントロールを調整して防止、検出、対応を行います。進化するセキュリティ環境の状況に応じてセキュリティコントロールを再確認および維持します。
-
新しいセキュリティサービスと機能を定期的に評価および実装する: AWS および APN パートナーは、ワークロードのセキュリティ体制を進化させることができる新しい機能とサービスを継続的にリリースしています。
改善計画
アカウントを使用してワークロードを分ける
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization
AWS Control Tower
AWS アカウントのセキュリティを確保する
Getting started with AWS Organizations
How to use service control policies to set permission guardrails across accounts in your AWS Organization
AWS Tasks That Require AWS Account Root User Credentials
Lab: AWS account and root user
Root user
Changing the AWS account root user password
How to receive notifications when your AWS account's root access keys are used
Setting permissions to enable accounts for upcoming AWS Regions
Use CloudFormation StackSets
管理目標を特定および検証する
https://aws.amazon.com/compliance/
https://aws.amazon.com/artifact/
セキュリティ脅威に関する最新情報を入手する
Common Vulnerabilities and Exposures List
AWS Shield
セキュリティのレコメンデーションに関する更新情報を入手する
AWS Well-Architected Labs
AWS security blog
AWS service documentation
Example: Common Vulnerabilities and Exposures List
パイプラインのセキュリティコントロールのテストと検証を自動化する
AWS Systems Manager
AWS CloudFormation
Set Up a CI/CD Pipeline on AWS
脅威モデルを使用してリスクを特定し、優先順位を付ける
NIST: Guide to Data-Centric System Threat Modeling
新しいセキュリティサービスと機能を定期的に評価および実装する
AWS security blog
AWS security bulletins
AWS service documentation
Remediating non-compliant AWS resources by AWS Config Rules