SEC 6: コンピューティングリソースをどのように保護していますか?
ワークロード内のコンピューティングリソースを内外の脅威から守るには、複数の防御レイヤーを設ける必要があります。コンピューティングリソースには、EC2 インスタンス、コンテナ、AWS Lambda 関数、データベースサービス、IoT デバイスなどがあります。
リソース
Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall
ベストプラクティス:
-
脆弱性管理を実行する: コード、依存関係、インフラストラクチャ内の脆弱性のスキャンとパッチ適用を頻繁に実施し、新しい脅威から保護します。
-
攻撃領域を削減する: オペレーティングシステムを強化し、使用するコンポーネント、ライブラリ、外部から利用可能なサービスを最小限に抑えることで、攻撃対象領域を縮小します。
-
マネージドサービスを活用する: Amazon RDS、AWS Lambda、Amazon ECS などのリソースを管理するサービスを実装し、共有責任モデルの一部としてのセキュリティメンテナンスタスクを減らします。
-
コンピューティング保護を自動化する: 脆弱性管理、攻撃対象領域削減、リソース管理などのコンピューティング保護メカニズムを自動化します。
-
ユーザーが遠距離でアクションを実行できるようにする: インタラクティブアクセスの機能を排除すると、人為的ミスのリスクが軽減され、設定や管理が手動で行われる可能性が低くなります。たとえば、変更管理ワークフローを使用して、Infrastructure as Code によって EC2 インスタンスをデプロイした後、直接アクセスや踏み台ホストを許可する代わりに、ツールを使用して EC2 インスタンスを管理します。
-
ソフトウェアの整合性を検証する: ワークロードで使用されるソフトウェア、コード、ライブラリが信頼できるソースからのものであり、改ざんされていないことを検証するメカニズム (コード署名など) を実装します。
改善計画
脆弱性管理を実行する
What is Amazon Inspector?
Amazon CodeGuru
OWASP: Source Code Analysis Tools
攻撃領域を削減する
Securing Amazon Linux
Securing Microsoft Windows Server
AWS Lambda best practices
マネージドサービスを活用する
AWS Home
コンピューティング保護を自動化する
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation
Infrastructure security
ユーザーが遠距離でアクションを実行できるようにする
AWS Systems Manager Run Command
ソフトウェアの整合性を検証する
NIST: Security Considerations for Code Signing