SEC 5: ネットワークリソースをどのように保護しますか?
何らかの形式のネットワーク接続があるワークロードは、インターネットでもプライベートネットワークでも、外部および内部ネットワークベースの脅威から保護するために、複数の防御レイヤーが必要です。
リソース
Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC
ベストプラクティス:
-
ネットワークレイヤーを作成する: 到達可能性要件をレイヤーに共有するコンポーネントをグループ化します。たとえば、インターネットアクセスを必要としない VPC 内のデータベースクラスターは、インターネットへのルート、またはインターネットからのルートがないサブネットに配置する必要があります。VPC を使用せずに稼働するサーバーレスワークロードでは、マイクロサービスを使用した同様の階層化とセグメント化でも同じ目標を達成できます。
-
すべてのレイヤーでトラフィックをコントロールする: インバウンドトラフィックとアウトバウンドトラフィックの両方について、多層防御アプローチでコントロールを適用します。たとえば、Amazon Virtual Private Cloud (VPC) の場合、これにはセキュリティグループ、ネットワーク ACL、サブネットが含まれます。AWS Lambda の場合は、VPC ベースのコントロールを使用してプライベート VPC で実行することを検討してください。
-
ネットワーク保護を自動化する: 保護メカニズムを自動化し、脅威インテリジェンスと異常検出に基づく自己防御型ネットワークを提供します。たとえば、現在の脅威にプロアクティブに適応し、その影響を軽減できる侵入検知および防止ツールなどです。
-
検査および保護を実装する: 各レイヤーでトラフィックを検査し、フィルタリングします。たとえば、ウェブアプリケーションファイアウォールを使用して、アプリケーションネットワークレイヤーでの意図しないアクセスから保護します。Lambda 関数の場合、サードパーティーのツールは、アプリケーションレイヤーのファイアウォールをランタイム環境に追加できます。
改善計画
ネットワークレイヤーを作成する
VPCs and subnets
Route tables
すべてのレイヤーでトラフィックをコントロールする
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points
ネットワーク保護を自動化する
AWS WAF security automations
Infrastructure security
検査および保護を実装する
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls
VPC traffic mirroring