SEC 9: 転送時のデータをどのように保護していますか?

複数のコントロールを実装して、転送中のデータを保護し、不正アクセスや損失のリスクを軽減します。

リソース

AWS Certificate Manager
Services Integrated with AWS Certificate Manager
HTTPS Listeners for Your Application Load Balancer
AWS VPN
API Gateway Edge-Optimized

ベストプラクティス:

• 安全な鍵および証明書管理を実装する: AWS Certificate Manager (ACM) などの証明書管理サービスを使用するなど、厳格なアクセスコントロールを適用して、暗号化キーと証明書を安全に保管し、適切な時間間隔でローテーションします。

• 伝送中に暗号化を適用する: 組織的、法的、コンプライアンスの要件を満たすために、適切な基準とレコメンデーションに基づいて定義された暗号化要件を適用します。

• 意図しないデータアクセスの検出を自動化する: GuardDuty などのツールを使用して、データ分類レベルに基づいて定義された境界の外部にデータを移動する攻撃 (DNS プロトコルを使用して不明または信頼されないネットワークにデータをコピーするトロイの馬など) を自動検知します。

• ネットワーク通信を認証する: Transport Layer Security (TLS) や IPsec など、認証をサポートするプロトコルを使用して、通信の ID を検証します。

改善計画

安全な鍵および証明書管理を実装する

安全な鍵および証明書管理を実装する: 定義された安全なキーおよび証明書管理ソリューションを実装します。
AWS Certificate Manager
How to host and manage an entire private certificate infrastructure in AWS

安全なプロトコルを実装する: 認証と機密性を提供する安全なプロトコル (Transport Layer Security (TLS) や IPsec など) を使用し、データの改ざんや損失のリスクを軽減します。使用しているサービスに関連するプロトコルとセキュリティについては、AWS ドキュメントを参照してください。
AWS Documentation

伝送中に暗号化を適用する

伝送中に暗号化を適用する: 定義された暗号化要件は、最新の標準とベストプラクティスに基づいて、安全なプロトコルのみを許可するものである必要があります。たとえば、Application Load Balancer または EC2 インスタンスには、HTTPS プロトコルを許可するセキュリティグループのみを設定します。

エッジサービスで安全なプロトコルを設定する: Amazon CloudFront と必要な暗号で HTTPS を設定します。
Using HTTPS with CloudFront

外部接続に VPN を使用する: ポイントツーポイント接続やネットワーク間接続を IPsec VPN で保護し、データのプライバシーと整合性の両方を提供することを検討してください。
VPN connections

ロードバランサーで安全なプロトコルを設定する: ロードバランサーへの接続を保護するために、HTTPS リスナーを有効にします。
HTTPS listeners for your application load balancer

インスタンスで安全なプロトコルを設定する: インスタンスで HTTPS 暗号化を設定することを検討します。
Tutorial: Configure Apache web server on Amazon Linux 2 to use SSL/TLS

Amazon Relational Database Service (Amazon RDS) で安全なプロトコルを設定する: SSL/TLS を使用してデータベースインスタンスへの接続を暗号化します。
Using SSL to encrypt a connection to a DB Instance

Amazon Redshift で安全なプロトコルを設定する: SSL/TLS 接続を必須とするようにクラスターを設定します。
Configure security options for connections

その他の AWS のサービスで安全なプロトコルを設定する: 使用する AWS のサービスについて、転送中の暗号化機能を特定します。
AWS documentation

意図しないデータアクセスの検出を自動化する

意図しないデータアクセスの検出を自動化する: ツールまたは検出メカニズムを使用し、定義された境界の外側にデータを移動する試みを自動的に検出します。たとえば、認識されていないホストにデータをコピーしているデータベースシステムを検出します。
VPC Flow Logs

Amazon Macie を検討する: Amazon Macie では、データアクセスアクティビティの異常が継続的にモニタリングされ、不正アクセスの危険や不注意によるデータ漏えいが検出された場合には詳細なアラートが生成されます。
Amazon Macie

ネットワーク通信を認証する

安全なプロトコルを実装する: 認証と機密性を提供する安全なプロトコル (Transport Layer Security (TLS) や IPsec など) を使用し、データの改ざんや損失のリスクを軽減します。使用しているサービスに関連するプロトコルとセキュリティについては、AWS ドキュメントを参照してください。
AWS Documentation