SEC 1: ワークロードを安全に運用するには、どうすればよいですか?

ワークロードを安全に運用するには、セキュリティのすべての領域に包括的なベストプラクティスを適用する必要があります。組織レベルおよびワークロードレベルにおいて、運用上の優秀性で定義した要件とプロセスを抽出し、それらをすべての領域に適用します。AWS や業界のレコメンデーションおよび脅威インテリジェンスを最新に保つことで、脅威モデルと管理の目標を進化させることができます。セキュリティプロセス、テスト、検証を自動化することで、セキュリティオペレーションをスケールできます。

リソース

Security Best Practices the Well-Architected Way
Managing Multi-Account AWS Environments Using AWS Organizations
Enable AWS adoption at scale with automation and governance
AWS Security Hub: Manage Security Alerts and Automate Compliance
Using AWS Control Tower to Govern Multi-Account AWS Environments
IAM Best Practices
Getting started with AWS Organizations
AWS Control Tower
Security Bulletins
AWS Security Audit Guidelines
How to use service control policies to set permission guardrails across accounts in your AWS Organization

ベストプラクティス:

改善計画

アカウントを使用してワークロードを分ける

  • AWS Organizations を使用する: AWS Organizations を使用し、複数の AWS アカウントにポリシーベースの管理を一元的に適用します。
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • AWS Control Tower を検討する: AWS Control Tower では、ベストプラクティスに基づいて、新しいセキュアなマルチアカウントの AWS 環境を容易にセットアップおよび管理できます。
    AWS Control Tower
  • AWS アカウントのセキュリティを確保する

  • AWS Organizations を使用する: AWS Organizations を使用し、複数の AWS アカウントにポリシーベースの管理を一元的に適用します。
    Getting started with AWS Organizations
    How to use service control policies to set permission guardrails across accounts in your AWS Organization
  • AWS ルートユーザーの使用を制限する: 特定のルートユーザーを必要とするタスクについては、当該ルートユーザーのみを使用します。
    AWS Tasks That Require AWS Account Root User Credentials
  • ルートユーザーの MFA を有効にする: AWS Organizations がルートユーザーを管理していない場合は、AWS アカウントのルートユーザーで MFA を有効にします。
    Lab: AWS account and root user
    Root user
  • ルートユーザーパスワードを定期的に変更する: ルートユーザーのパスワードを変更することにより、保存したパスワードが使用できる状態となっていることによるリスクが軽減されます。AWS Organizations を使用しておらず、あらゆるユーザーが物理的にアクセスできる場合に特に重要です。
    Changing the AWS account root user password
  • AWS アカウントのルートユーザーが使用された場合に通知を送信するようにする: 通知を受け取ることで、リスクは自動的に軽減されます。
    How to receive notifications when your AWS account's root access keys are used
  • 新しく追加されたリージョンへのアクセスを制限する: 新しい AWS リージョンについて、ユーザーやロールなどの IAM リソースは、有効にしたリージョンのみに伝播されます。
    Setting permissions to enable accounts for upcoming AWS Regions
  • CloudFormation StackSets について検討する: CloudFormation StackSets を使用すると、IAM ポリシー、ロール、グループなどのリソースをさまざまな AWS アカウントとリージョンに承認されたテンプレートからデプロイできます。
    Use CloudFormation StackSets
  • 管理目標を特定および検証する

  • コンプライアンス要件を特定する: ワークロードが準拠する必要のある組織要件、法的要件、規制要件を確認します。
  • AWS コンプライアンスリソースを確認する: コンプライアンスを支援するために使用できる AWS のリソースを特定します。
    https://aws.amazon.com/compliance/
    https://aws.amazon.com/artifact/
  • セキュリティ脅威に関する最新情報を入手する

  • 脅威インテリジェンスソースを購読する: ワークロードで使用しているテクノロジーに関連する、複数のソースからの脅威インテリジェンス情報を定期的に確認します。
    Common Vulnerabilities and Exposures List
  • AWS Shield Advanced サービスについて検討する: ワークロードがインターネットにアクセスできる場合、インテリジェンスソースについてのほぼリアルタイムでの可視性を提供します。
    AWS Shield
  • セキュリティのレコメンデーションに関する更新情報を入手する

  • AWS の更新情報をフォローする: 新しいレコメンデーション、ヒント、コツをサブスクライブまたは定期的に確認します。
    AWS Well-Architected Labs
    AWS security blog
    AWS service documentation
  • 業界ニュースを購読する: 複数のソースから、ワークロードで使用しているテクノロジーに関連するニュースフィードを定期的に確認します。
    Example: Common Vulnerabilities and Exposures List
  • パイプラインのセキュリティコントロールのテストと検証を自動化する

  • 設定管理を自動化する: 設定管理サービスやツールを使うことで、自動的に安全性の高い設定を適用および検証します。
    AWS Systems Manager
    AWS CloudFormation
    Set Up a CI/CD Pipeline on AWS
  • 脅威モデルを使用してリスクを特定し、優先順位を付ける

  • 脅威モデルを作成する: 脅威モデルは、潜在的なセキュリティ脅威を特定して対処するのに役立ちます。
    NIST: Guide to Data-Centric System Threat Modeling
  • 新しいセキュリティサービスと機能を定期的に評価および実装する

  • 定期的なレビューを計画する: コンプライアンス要件、AWS の新しいセキュリティ機能とセキュリティサービスの評価、業界の最新ニュースの入手を含むレビューアクティビティのカレンダーを作成します。
  • AWS のサービスと機能について調べる: 使用中のサービスで利用可能なセキュリティ機能について調べ、新しい機能がリリースされた時には、それについて確認します。
    AWS security blog
    AWS security bulletins
    AWS service documentation
  • AWS のサービスの導入プロセスを定義する: 新しい AWS サービスの導入プロセスを定義します。新しい AWS のサービスの機能とワークロードのコンプライアンス要件を評価する方法を含めます。
  • 新しいサービスと機能をテストする: 新しいサービスと機能がリリースされたら、本稼働環境に近いかたちで複製する本稼働環境ではない環境でテストします。
  • その他の防御メカニズムを実装する: ワークロードを保護するための自動化されたメカニズムを実装し、利用可能なオプションを確認します。
    Remediating non-compliant AWS resources by AWS Config Rules