SEC 5: ネットワークリソースをどのように保護しますか?

何らかの形式のネットワーク接続があるワークロードは、インターネットでもプライベートネットワークでも、外部および内部ネットワークベースの脅威から保護するために、複数の防御レイヤーが必要です。

リソース

Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield
AWS Transit Gateway reference architectures for many VPCs"
Amazon VPC Security
Getting started with AWS WAF
AWS Firewall Manager
Amazon Inspector
Lab: Automated Deployment of VPC

ベストプラクティス:

• ネットワークレイヤーを作成する: 到達可能性要件をレイヤーに共有するコンポーネントをグループ化します。たとえば、インターネットアクセスを必要としない VPC 内のデータベースクラスターは、インターネットへのルート、またはインターネットからのルートがないサブネットに配置する必要があります。VPC を使用せずに稼働するサーバーレスワークロードでは、マイクロサービスを使用した同様の階層化とセグメント化でも同じ目標を達成できます。

• すべてのレイヤーでトラフィックをコントロールする: インバウンドトラフィックとアウトバウンドトラフィックの両方について、多層防御アプローチでコントロールを適用します。たとえば、Amazon Virtual Private Cloud (VPC) の場合、これにはセキュリティグループ、ネットワーク ACL、サブネットが含まれます。AWS Lambda の場合は、VPC ベースのコントロールを使用してプライベート VPC で実行することを検討してください。

• ネットワーク保護を自動化する: 保護メカニズムを自動化し、脅威インテリジェンスと異常検出に基づく自己防御型ネットワークを提供します。たとえば、現在の脅威にプロアクティブに適応し、その影響を軽減できる侵入検知および防止ツールなどです。

• 検査および保護を実装する: 各レイヤーでトラフィックを検査し、フィルタリングします。たとえば、ウェブアプリケーションファイアウォールを使用して、アプリケーションネットワークレイヤーでの意図しないアクセスから保護します。Lambda 関数の場合、サードパーティーのツールは、アプリケーションレイヤーのファイアウォールをランタイム環境に追加できます。

改善計画

ネットワークレイヤーを作成する

VPC にサブネットを作成する: (複数のアベイラビリティーゾーンを含むグループで) 各レイヤーのサブネットを作成し、ルートテーブルを関連付けてルーティングを制御します。
VPCs and subnets
Route tables

すべてのレイヤーでトラフィックをコントロールする

VPC 内のネットワークトラフィックを制御する: VPC ベストプラクティスを実装してトラフィックを制御する
Amazon VPC security
Lab: Automated Deployment of VPC
VPC endpoints
Amazon VPC security group
Network ACLs

エッジでのトラフィックを制御する: Amazon CloudFront などのエッジサービスを実装して、追加の保護レイヤーやその他の機能を提供します。
Amazon CloudFront use cases
AWS Global Accelerator
AWS Web Application Firewall (AWS WAF)
Amazon Route 53
Amazon VPC Ingress Routing

プライベートネットワークトラフィックを制御する: ワークロードのプライベートトラフィックを保護するサービスを実装します。
Amazon VPC Peering
Amazon VPC Endpoint Services (AWS PrivateLink)
Amazon VPC Transit Gateway
AWS Direct Connect
AWS Site-to-Site VPN
AWS Client VPN
Amazon S3 Access Points

ネットワーク保護を自動化する

ウェブベースのトラフィックの保護を自動化する: AWS では、AWS CloudFormation を使用して、一般的なウェブベースの攻撃をフィルタリングするために設計された AWS WAF ルールセットを自動的にデプロイするソリューションを提供しています。ユーザーは、AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) に含まれるルールを定義する事前設定された保護機能から選択できます。
AWS WAF security automations

APN パートナーソリューションを検討する: APN パートナーは、オンプレミス環境の既存のコントロールと同等、同一、またはそれらと統合される、業界をリードする多くの製品を提供しています。これらの製品は既存の AWS サービスを補完します。包括的なセキュリティアーキテクチャーをデプロイして、クラウド環境およびオンプレミス環境全体にさらにシームレスなエクスペリエンスを得ることができます。
Infrastructure security

検査および保護を実装する

Amazon GuardDuty を設定する: Amazon GuardDuty は脅威検出サービスです。悪意のある動作や不正な動作を継続的にモニタリングし、AWS のアカウントとワークロードを保護できるようにします。GuardDuty を有効にし、自動アラートを設定します。
Amazon GuardDuty
Lab: Automated Deployment of Detective Controls

VPC フローログを設定する: VPC フローログは、VPC のネットワークインターフェイス間を行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。フローログデータは、Amazon CloudWatch Logs および Amazon S3 に公開できます。フローログを作成した後、選択した送信先でデータを取得したり表示したりできます。

VPC トラフィックのミラーリングを検討する: トラフィックミラーリングは、Amazon EC2 インスタンスの Elastic Network Interface からネットワークトラフィックをコピーし、コンテンツ検査、脅威のモニタリング、トラブルシューティングのために帯域外セキュリティおよびモニタリングアプライアンスに送信するために使用できる Amazon VPC の機能です。
VPC traffic mirroring