AWSのセキュリティ関連を色々調べています。
認定試験セキュリティ専門知識に関係がありそうな辺りを調べていく予定です。
AWS Artifact
セキュリティコンプライアンスレポートと契約
AWSのセキュリティコンプライアンスの内容を確認できる機能です。
AWS Audit Manager
リスクとコンプライアンスの管理を継続的に評価する
AWS の使用状況を監査して、リスクとコンプライアンスの評価方法を簡単にできる。
1. Audit Managerのセットアップ
AWS Management Consoleにログインし、「Audit Manager」を選択します。
「Create a new assessment framework」をクリックして、新しい評価フレームワークを作成します。評価項目、基準、監査のスケジュールなどを設定します。
2 アセスメントの作成
「Assessment frameworks」から作成したフレームワークを選択し、「Create assessment」をクリックします。
アセスメントを名前付けし、必要なドキュメントやポリシーを選択して、監査を開始します。
3 監査の実行
アセスメントを作成したら、「Start assessment」を選択して、監査を実行します。
監査が進行中に、AWSリソースのコンプライアンスやリスク評価が実際に行われます。
ステップ 4: レポートの確認
監査が完了すると、「Reports」セクションでレポートを確認できます。
レポートには、リスクの概要、評価結果、推奨事項などが含まれます。
Certificate Manager
SSL/TLS 証明書のプロビジョニング、管理およびデプロイ
CloudHSM
クラウドでのマネージド型ハードウェアセキュリティ モジュール
Cognito
フェデレーテッドアイデンティティの AWS 認証情報
アプリの ID 管理
Detective
潜在的なセキュリティの問題を調査および分析
AWS リソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して視覚化および実施できるようにします。
AWS Directory Service
アクティブディレクトリのホストと管理
AWS のサービスで Microsoft Active Directory を設定および実行
選択するサービスは、データの構造や管理の必要性によって異なります。階層的なデータモデルや柔軟なスキーマ設計が必要な場合はAmazon Cloud Directoryを検討し、従来的なディレクトリサービスが必要な場合はAWS Directory Serviceの次のオプションを検討する。
Microsoft Active Directoryと連携したAWS Managed Microsoft ADや、LDAP(Lightweight Directory Access Protocol)を提供するSimple AD、AD Connectorなどが含まれます。
Amazon Cloud Directory
何億ものアプリケーション固有のオブジェクトを保存
AWS Firewall Manager
ファイアウォールルールの一元管理
数回クリックするだけで VPC 全体にネットワークセキュリティをデプロイ
AWS Network Firewall
数回クリックするだけで Amazon VPC 全体にネットワークセキュリティをデプロイ
AWS GovCloud (US)
機密性の高いワークロードをクラウドに移動
Amazon GuardDuty
AWS アカウントとワークロードを保護するインテリジェントな脅威検出
マネージド脅威検出サービス
継続的なセキュリティモニタリングサービスです。Amazon GuardDuty は AWS 環境内の予期しないアクティビティ、不正な可能性のあるアクティビティ、または悪意のあるアクティビティを識別するために役立ちます。
IAM
AWS リソースへのアクセスの管理
IAM Identity Center
複数の AWS アカウントとクラウドアプリケーションへのワークフォースのユーザーアクセスを管理する
AWS アカウントとアプリへのシングルサインオンアクセスを管理
Amazon Inspector
大規模環境での自動的かつ継続的な脆弱性管理
自動化されたセキュリティ評価サービスです。脆弱性やベストプラクティスからの逸脱がないかどうかを確認できます。
Key Management Service
AWS 暗号化キーの安全な生成および管理
Amazon Macie
Amazon Macie は、ビジネスクリティカルなコンテンツを分類および保護します。
機密データを大規模に検出して保護
AWS Payment Cryptography
カードトランザクションとキー管理のためのオンデマンド支払い HSM 機能
フルマネージドの決済処理暗号化サービス
AWS Private Certificate Authority
マネージドプライベート認証機関サービス
AWS Resource Access Manager
AWS リソースをその他のアカウントまたは AWS Organizations と共有
AWS のリソースを共有するためのシンプルで安全なサービス
AWS Secrets Manager
ライフサイクルを通じてシークレットを簡単に更新、管理、取得する
シークレットのローテーション、管理、取得
Security Hub
AWS Security Hub は AWS のセキュリティおよびコンプライアンスセンターです
Security Lake
数回のクリックですべてのセキュリティデータを自動的に一元化
AWS Signer
コードの信頼性と整合性の保証
登録してある署名が一致する場合Lambdaのコードやコンテナを更新できると思われる。
Amazon Verified Permissions
アプリケーション全体でアクセス許可を管理、分析、適用する
WAF & Shield
DDoS 攻撃および悪意のあるウェブトラフィックの保護
S3 Glacier ボールトロック
S3 Glacier のボールトロックでは、ボールトロックポリシーを使用して、S3 Glacier の各ボールトに対するコンプライアンス管理を簡単にデプロイして適用することができます。
- ボールトのロックするのには、ボールトにボールトロックポリシーをアタッチします。そうするとロックが進行中となりロックIDが返される。ロックは24時間いないにボールトロックポリシーを検証しなければならない。
- ロックIDを使用してロック処理を終了する。
AWS Trusted Advisor
お客様の AWS 環境を検査し、システムの可用性とパフォーマンスを向上させる機会やセキュリティギャップを埋める機会がある場合には、レコメンデーションを作成します。
Security Hubを有効にするとそこに登録された情報も利用する。
Abuse Report(Notice)
次のようなアクションが検知されたときにメールがくる。
- EC2インスタンスが、外部のリソースへポートスキャンを行った形跡が見られる
- DDoS攻撃の攻撃元IPとして検知されている
- マルウェア等の配布元として検知されている
s3バケット Requester Pays
s3バケットの所有者でなくアクセスする利用者が支払いする設定