SEC 6: コンピューティングリソースをどのように保護していますか?

ワークロード内のコンピューティングリソースを内外の脅威から守るには、複数の防御レイヤーを設ける必要があります。コンピューティングリソースには、EC2 インスタンス、コンテナ、AWS Lambda 関数、データベースサービス、IoT デバイスなどがあります。

リソース

Securing Serverless and Container Services
Running high-security workloads on Amazon EKS
Security best practices for the Amazon EC2 instance metadata service
AWS Systems Manager
Replacing a Bastion Host with Amazon EC2 Systems Manager
Security Overview of AWS Lambda
Lab: Automated Deployment of Web Application Firewall

ベストプラクティス:

• 脆弱性管理を実行する: コード、依存関係、インフラストラクチャ内の脆弱性のスキャンとパッチ適用を頻繁に実施し、新しい脅威から保護します。

• 攻撃領域を削減する: オペレーティングシステムを強化し、使用するコンポーネント、ライブラリ、外部から利用可能なサービスを最小限に抑えることで、攻撃対象領域を縮小します。

• マネージドサービスを活用する: Amazon RDS、AWS Lambda、Amazon ECS などのリソースを管理するサービスを実装し、共有責任モデルの一部としてのセキュリティメンテナンスタスクを減らします。

• コンピューティング保護を自動化する: 脆弱性管理、攻撃対象領域削減、リソース管理などのコンピューティング保護メカニズムを自動化します。

• ユーザーが遠距離でアクションを実行できるようにする: インタラクティブアクセスの機能を排除すると、人為的ミスのリスクが軽減され、設定や管理が手動で行われる可能性が低くなります。たとえば、変更管理ワークフローを使用して、Infrastructure as Code によって EC2 インスタンスをデプロイした後、直接アクセスや踏み台ホストを許可する代わりに、ツールを使用して EC2 インスタンスを管理します。

• ソフトウェアの整合性を検証する: ワークロードで使用されるソフトウェア、コード、ライブラリが信頼できるソースからのものであり、改ざんされていないことを検証するメカニズム (コード署名など) を実装します。

改善計画

脆弱性管理を実行する

Amazon Inspector を設定する: Amazon Inspector は、Amazon EC2 インスタンスのネットワークアクセシビリティと、それらのインスタンスで実行されるアプリケーションのセキュリティ状態をテストします。Amazon Inspector は、アプリケーションの露出、脆弱性、ベストプラクティスからの逸脱を評価します。
What is Amazon Inspector?

ソースコードをスキャンする: ライブラリや依存関係をスキャンして脆弱性に対応します。
Amazon CodeGuru
OWASP: Source Code Analysis Tools

攻撃領域を削減する

オペレーティングシステムを強化する: ベストプラクティスを満たすようにオペレーティングシステムを設定します。
Securing Amazon Linux
Securing Microsoft Windows Server

コンテナ化されたリソースを強化する: セキュリティのベストプラクティスを満たすよう、コンテナ化されたリソースを設定します。

AWS Lambda 関数を使用する際のベストプラクティス: AWS Lambda のベストプラクティスを実装する
AWS Lambda best practices

マネージドサービスを活用する

利用可能なサービスを調べる: Amazon RDS、AWS Lambda、Amazon ECS などのリソースを管理するサービスを調査、テスト、実装します。
AWS Home

コンピューティング保護を自動化する

設定管理を自動化する: 設定管理サービスやツールを使うことで、自動的に安全性の高い設定を適用および検証します。
AWS Systems Manager
AWS CloudFormation
Lab: Automated deployment of VPC
Lab: Automated deployment of EC2 web application

EC2 インスタンスのパッチ適用を自動化する: AWS Systems Manager Patch Manager は、セキュリティ関連および他のタイプの更新の両方を使用して、マネージドインスタンスにパッチを適用するプロセスを自動化します。Patch Manager を使用して、オペレーティングシステムとアプリケーションの両方にパッチを適用できます。
AWS Systems Manager Patch Manager
Centralized multi-account and multi-region patching with AWS Systems Manager Automation

侵入検知と防止ツールを実装する: 侵入検知と防止ツールを実装することで、インスタンス上の悪意のあるアクティビティをモニタリングし、停止できます。

APN パートナーソリューションを検討する: APN パートナーは、オンプレミス環境の既存のコントロールと同等、同一、またはそれらと統合される、業界をリードする多くの製品を提供しています。これらの製品は既存の AWS サービスを補完します。包括的なセキュリティアーキテクチャーをデプロイして、クラウド環境およびオンプレミス環境全体にさらにシームレスなエクスペリエンスを得ることができます。
Infrastructure security

ユーザーが遠距離でアクションを実行できるようにする

コンソールアクセスを置き換える: インスタンスへのコンソールアクセス (SSH または RDP) を AWS Systems Manager Run Command に置き換えて、管理タスクを自動化します。
AWS Systems Manager Run Command

ソフトウェアの整合性を検証する

メカニズムを調査する: コード署名は、ソフトウェアの整合性を検証するために使用できるメカニズムの 1 つです。
NIST: Security Considerations for Code Signing