LoginSignup
1
0

More than 1 year has passed since last update.

@mingchun_zhao(趙 明春)inARアドバンストテクノロジ株式会社(ARI)

AWS公式資料で挑むSCS認定(21)-こんな時どうする(分野3:インフラストラクチャのセキュリティ)

Last updated at Posted at 2022-03-22
[前回] AWS公式資料で挑むSCS認定(20)-こんな時どうする(分野2:ログと監視)

はじめに

前回に続き「こんな時どうする」をまとめ中です。
今回は「分野3: インフラストラクチャのセキュリティ」となります。

「分野3: インフラストラクチャのセキュリティ」基本知識のおさらい

エッジセキュリティに使用されるサービス

  • Amazon Route 53
    • ドメインネームシステム(DNS)ウェブサービス
  • AWS WAF
    • アプリケーションファイアウォール
    • 機能: SQLインジェクションやクロスサイトスクリプト攻撃をブロック
  • Amazon CloudFront
    • コンテンツ配信ネットワーク(CDN)サービス
  • AWS Shield
    • 分散サービス妨害(DDoS)のマネージド型防御サービス
    • 機能: AWSで実行しているアプリケーションを保護

DDoS攻撃緩和に使用されるサービス

  • Amazon Route 53
  • Amazon CloudWatch
  • AWS WAF
  • Amazon CloudFront
  • AWS Shield
  • Elastic Load Balancing(ELB)
    • アプリケーションへのトラフィックを、1つまたは複数アベイラビリティーゾーン(AZ)内の複数ターゲットおよび仮想アプライアンスに自動的に分散
  • Amazon API Gateway(AGW)
    • API(RESTful、WebSocket)の作成、公開、保守、モニタリング、保護を行うフルマネージド型サービス
    • 機能: トラフィック管理、オリジン間リソース共有(CORS)のサポート、認可とアクセスコントロール、スロットリング、モニタリング、APIバージョン管理
  • Amazon EC2 Auto Scaling
    • アプリケーションの可用性を維持するためのサービス
    • 機能: 定義された条件に応じてEC2インスタンスを自動的に追加または削除

Amazonマシンイメージ(AMI)のセキュリティ

  • 安全でないアプリケーションを無効に
    • 平文による認証を行うサービスとプロトコルを無効に
  • 露出度を最小限に
    • 使用しないネットワークサービスを無効に
    • 使用しないデフォルトのサービスを無効に
      • ファイル共有
      • Print Spooler
      • RPC
  • AMI作成時の認証情報を削除
    • すべてのSSHキーペアを削除
    • AWSとサードパーティのすべての認証情報(アクセスキーなど)を削除
    • すべてのユーザアカウントのパスワードを削除

「分野3: インフラストラクチャのセキュリティ」の「こんな時どうする」

  • 特定IPアドレスからのトラフィックをブロックしたい
    • ネットワークACL(NACL)で拒否ルール設定
    • ※ セキュリティグループ(SG)は拒否ルール設定できない(許可のみ)
  • 特定IPアドレスとの双方向通信を許可したい
    • NACLの場合、インバウンド・アウトバウンド両方にルール設定が必要(ステートレス)
    • SGの場合、インバウンドかアウトバウンド一つのみルール設定でOK(ステートフル)
  • 他のSGに含まれるすべてのEC2インスタンスからのトラフィックを許可したい
    • SGのインバウンドとアウトバウンドのルールを「ALL traffic 他のSG名」と設定
    • ルールはSG名のみで記載可、CIDRブロックを指定しなくてもOK
  • セキュアでないプロトコルまたは暗号が使用されたSSL/TLS通信をELBでブロックしたい
    • 問題プロトコル、暗号を含まないカスタムセキュリティポリシーを作成、ELBに適用
    • 事前に定義されたELBのデフォルトセキュリティポリシーの使用を推奨
  • 特定クエリ文字列(URIパラメータ)が含まれているCloudFrontへのウェブリクエストをブロック
    • CloudFrontに関連付けられたAWS WAFを使用
    • 特定クエリ文字列に一致するAWS WAF ACLを記述し、AWS WAFルールにアタッチ
  • シグネチャに基づきELBへのウェブリクエストをブロック
    • シグネチャとは、既知の不正な通信やプログラム、攻撃パターンを識別するためのルール集
    • ELBと関連付けられたAWS WAFを使用
    • シグネチャとマッチングしたリクエストをブロック
  • SQLインジェクションやクロスサイトスクリプティング(XSS)をブロックしたい
    • AWS WAFを使用
    • ※ AWS Shieldでは守れない
  • OSI参照モデルのネットワーク層(3層)およびトランスポート層(4層)で行われるDDos攻撃をブロック
    • AWS Shieldを使用
    • ※ AWS WAFはOSI参照モデルのアプリケーション層(7層)で行われるDDoSを防御
  • EC2インスタンス上の自動侵入テストと脆弱性分析実施中に、GuardDutyによるアラームを上げたくない
    • GuardDutyの信頼されたIPアドレスリストにEC2のElastic IPアドレス(EIP)を追加

おわりに

「分野3: インフラストラクチャのセキュリティ」に対する「こんな時どうする」集でした。
次回は「分野4: ID(アイデンティティ)及びアクセス管理」です。
お楽しみに。

[次回] AWS公式資料で挑むSCS認定(22)-こんな時どうする(分野4:ID及びアクセス管理)
1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0