SEC 6: コンピューティングリソースをどのように保護していますか?

ワークロード内のコンピューティングリソースを内外の脅威から守るには、複数の防御レイヤーを設ける必要があります。コンピューティングリソースには、EC2 インスタンス、コンテナ、AWS Lambda 関数、データベースサービス、IoT デバイスなどがあります。

リソース

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

ベストプラクティス:

改善計画

脆弱性管理を実行する

  • Amazon Inspector を設定する: Amazon Inspector は、Amazon EC2 インスタンスのネットワークアクセシビリティと、それらのインスタンスで実行されるアプリケーションのセキュリティ状態をテストします。Amazon Inspector は、アプリケーションの露出、脆弱性、ベストプラクティスからの逸脱を評価します。
    What is Amazon Inspector?
  • ソースコードをスキャンする: ライブラリや依存関係をスキャンして脆弱性に対応します。
    Amazon CodeGuru
    OWASP: Source Code Analysis Tools
  • 攻撃領域を削減する

  • オペレーティングシステムを強化する: ベストプラクティスを満たすようにオペレーティングシステムを設定します。
    Securing Amazon Linux
    Securing Microsoft Windows Server
  • コンテナ化されたリソースを強化する: セキュリティのベストプラクティスを満たすよう、コンテナ化されたリソースを設定します。
  • AWS Lambda 関数を使用する際のベストプラクティス: AWS Lambda のベストプラクティスを実装する
    AWS Lambda best practices
  • マネージドサービスを活用する

  • 利用可能なサービスを調べる: Amazon RDS、AWS Lambda、Amazon ECS などのリソースを管理するサービスを調査、テスト、実装します。
    AWS Home
  • コンピューティング保護を自動化する

  • 設定管理を自動化する: 設定管理サービスやツールを使うことで、自動的に安全性の高い設定を適用および検証します。
    AWS Systems Manager
    AWS CloudFormation
    Lab: Automated deployment of VPC
    Lab: Automated deployment of EC2 web application
  • EC2 インスタンスのパッチ適用を自動化する: AWS Systems Manager Patch Manager は、セキュリティ関連および他のタイプの更新の両方を使用して、マネージドインスタンスにパッチを適用するプロセスを自動化します。Patch Manager を使用して、オペレーティングシステムとアプリケーションの両方にパッチを適用できます。
    AWS Systems Manager Patch Manager
    Centralized multi-account and multi-region patching with AWS Systems Manager Automation
  • 侵入検知と防止ツールを実装する: 侵入検知と防止ツールを実装することで、インスタンス上の悪意のあるアクティビティをモニタリングし、停止できます。
  • APN パートナーソリューションを検討する: APN パートナーは、オンプレミス環境の既存のコントロールと同等、同一、またはそれらと統合される、業界をリードする多くの製品を提供しています。これらの製品は既存の AWS サービスを補完します。包括的なセキュリティアーキテクチャーをデプロイして、クラウド環境およびオンプレミス環境全体にさらにシームレスなエクスペリエンスを得ることができます。
    Infrastructure security
  • ユーザーが遠距離でアクションを実行できるようにする

  • コンソールアクセスを置き換える: インスタンスへのコンソールアクセス (SSH または RDP) を AWS Systems Manager Run Command に置き換えて、管理タスクを自動化します。
    AWS Systems Manager Run Command
  • ソフトウェアの整合性を検証する

  • メカニズムを調査する: コード署名は、ソフトウェアの整合性を検証するために使用できるメカニズムの 1 つです。
    NIST: Security Considerations for Code Signing