何を書いたか
・SCP(Service Control Policy)
・AWS Firewall Manager
・AWS Config
なぜ書いたか
これら 3 つのシステムの組み合わせを整理するために書きました。
対象読者
「AWS Certified Solutions Architect - Professional (SAP)認定試験」勉強中の方
AWS問題
ある企業が、AWS Organizations の組織を使用して、数百の AWS アカウントを管理しています。
ソリューションアーキテクトは、Open Web Application Security Project (OWASP) の
トップ 10 ウェブアプリケーションの脆弱性に対するベースライン保護を提供するソリューションに
取り組んでいます。ソリューションアーキテクトは、
組織内にデプロイされているすべての既存および新規の
Amazon CloudFront ディストリビューションにAWS WAF を使用しています。
ベースラインの保護を提供する最適な手順の組み合わせを選択してください。(3 つ選択)
A
AWS Security Hub を使用して、すべての CloudFront ディストリビューションの
すべてのアカウントに AWS WAF ルールをデプロイします。
B(正解)
AWS Firewall Manager を使用して、すべての CloudFront ディストリビューションの
すべてのアカウントに AWS WAF ルールをデプロイします。
C
AWS Shield Advanced を使用して、すべての CloudFront ディストリビューションの
すべてのアカウントに AWS WAF ルールをデプロイします。
D
すべてのアカウントで Amazon GuardDuty を有効にします。
E(正解)
組織のすべての機能を有効にします。
F(正解)
すべてのアカウントで AWS Config を有効にします。
問題と解答の理解手順(全部で3つ)
手順1 問題文の意図をイメージする
「ベースラインの保護を提供する最適な手順の組み合わせを選択してください。」
ここから「AWSのシステムを組み合わせて、顧客の課題を解決する方法を選ぶ」と読み取ります。
手順2 キーワードとなる言葉に注目して欲しい
AWS Organizations の組織を使用して
ここから「Organizationsの機能を活用する」と読み取ります。
ウェブアプリケーションの脆弱性に対するベースライン保護
ここから「アプリケーションにセキュリティルールを導入する必要がある」と読み取ります。
手順3 手順1,2に該当する選択肢を見つける
SCP(Service Control Policy)
結論: 「SCPはセキュリティを一元管理できる」ため、選択肢Eを選びます。
AWS Firewall Manager
結論: 「外部からの不正なアクセスを防ぐための防御策を提供する」ため、選択肢Bを選びます。
AWS Config
結論: 「ルールの設定が正しいかどうかを監視する」ため、選択肢Fを選びます。
手順4 該当しない選択肢も確認する
選択肢A
AWS Security Hubはセキュリティの監査や可視化に優れていますが、WAFルールの一括デプロイはできません。
選択肢C
AWS Shield AdvancedはDDoS攻撃対策に特化しており、WAFルールのデプロイには向いていません。
選択肢D
Amazon GuardDutyは異常なアクティビティの監視サービスで、WAFルールのデプロイには使用されません。
正解の選択肢を利用して出来る事
大規模なAWS環境においてセキュリティやコンプライアンスを一元管理し、脆弱性に対する保護を自動的に提供する体制を整えることができます。
Service Control Policy (SCP) と AWS Organizations
利点①
すべての機能が有効になっている組織でのみ SCP を使用できます。
AWS Organizationsにはフル機能モードと一括請求モードがあります。
SCPはフル機能モードでしか利用できません。
複数のAWSアカウントを統合請求で管理している場合、
フル機能モードにすることでSCPを活用し、よりセキュアな運用が可能になります。
利点②
すべてのAWSアカウントで許可される操作を統制し、セキュリティリスクを最小限に抑えることができます。
例、「S3バケットは暗号化されていない状態では作成できない」などのポリシーを適用することで、各アカウントでの設定ミスを防ぎます。
SCPの大まかなイメージ図(「NNN」より)
「みんな一緒」
AWS Firewall Manager
利点①
新しいCloudFrontディストリビューションにも自動的にAWS WAFルールを適用でき、設定ミスを防ぎます。
利点②
脆弱性対策としてOWASP Top 10のルールセットを使用して、
Webアプリケーションのセキュリティを強化できます。
備考
Open Web Application Security Project (OWASP)
ウェブアプリケーションのセキュリティを向上させることを目的とした国際的なプロジェクトです。
要するに、ウェブサイトやアプリを作るときに気を付けるべき
「セキュリティのベストプラクティス(最良の方法)」を提供している組織です。
例、OWASPは「OWASP Top 10」というリストを発表しています。
これは、ハッカーがウェブアプリに対して最もよく使う攻撃方法のトップ10をまとめたものです。これを知っておくと、アプリケーションのセキュリティ対策をしっかり行うことができます。
AWS Firewall Managerの大まかなイメージ図(「NNN」より)
「セキュリティ強化中」
AWS Config
利点①
企業全体で設定変更やコンプライアンスの違反を自動的に監視する仕組みを構築できます。
利点②
セキュリティのベストプラクティスに沿った運用を継続的に評価できます。
AWS Configの大まかなイメージ図(「NNN」より)
「設定監視中」
参考文献
ChatGPT 4o
画像引用:秘密結社ねこネコネットワーク(通称「NNN」)