[前回] AWS公式資料で挑むSCS認定(20)-こんな時どうする(分野2:ログと監視)
はじめに
前回に続き「こんな時どうする」をまとめ中です。
今回は「分野3: インフラストラクチャのセキュリティ」となります。
「分野3: インフラストラクチャのセキュリティ」基本知識のおさらい
エッジセキュリティに使用されるサービス
- Amazon Route 53
- ドメインネームシステム(DNS)ウェブサービス
- AWS WAF
- アプリケーションファイアウォール
- 機能: SQLインジェクションやクロスサイトスクリプト攻撃をブロック
- Amazon CloudFront
- コンテンツ配信ネットワーク(CDN)サービス
- AWS Shield
- 分散サービス妨害(DDoS)のマネージド型防御サービス
- 機能: AWSで実行しているアプリケーションを保護
DDoS攻撃緩和に使用されるサービス
- Amazon Route 53
- Amazon CloudWatch
- AWS WAF
- Amazon CloudFront
- AWS Shield
- Elastic Load Balancing(ELB)
- アプリケーションへのトラフィックを、1つまたは複数アベイラビリティーゾーン(AZ)内の複数ターゲットおよび仮想アプライアンスに自動的に分散
- Amazon API Gateway(AGW)
- API(RESTful、WebSocket)の作成、公開、保守、モニタリング、保護を行うフルマネージド型サービス
- 機能: トラフィック管理、オリジン間リソース共有(CORS)のサポート、認可とアクセスコントロール、スロットリング、モニタリング、APIバージョン管理
- Amazon EC2 Auto Scaling
- アプリケーションの可用性を維持するためのサービス
- 機能: 定義された条件に応じてEC2インスタンスを自動的に追加または削除
Amazonマシンイメージ(AMI)のセキュリティ
- 安全でないアプリケーションを無効に
- 平文による認証を行うサービスとプロトコルを無効に
- 露出度を最小限に
- 使用しないネットワークサービスを無効に
- 使用しないデフォルトのサービスを無効に
- ファイル共有
- Print Spooler
- RPC
- AMI作成時の認証情報を削除
- すべてのSSHキーペアを削除
- AWSとサードパーティのすべての認証情報(アクセスキーなど)を削除
- すべてのユーザアカウントのパスワードを削除
「分野3: インフラストラクチャのセキュリティ」の「こんな時どうする」
- 特定IPアドレスからのトラフィックをブロックしたい
- ネットワークACL(NACL)で拒否ルール設定
- ※ セキュリティグループ(SG)は拒否ルール設定できない(許可のみ)
- 特定IPアドレスとの双方向通信を許可したい
- NACLの場合、インバウンド・アウトバウンド両方にルール設定が必要(ステートレス)
- SGの場合、インバウンドかアウトバウンド一つのみルール設定でOK(ステートフル)
- 他のSGに含まれるすべてのEC2インスタンスからのトラフィックを許可したい
- SGのインバウンドとアウトバウンドのルールを「ALL traffic 他のSG名」と設定
- ルールはSG名のみで記載可、CIDRブロックを指定しなくてもOK
- セキュアでないプロトコルまたは暗号が使用されたSSL/TLS通信をELBでブロックしたい
- 問題プロトコル、暗号を含まないカスタムセキュリティポリシーを作成、ELBに適用
- 事前に定義されたELBのデフォルトセキュリティポリシーの使用を推奨
- 特定クエリ文字列(URIパラメータ)が含まれているCloudFrontへのウェブリクエストをブロック
- CloudFrontに関連付けられたAWS WAFを使用
- 特定クエリ文字列に一致するAWS WAF ACLを記述し、AWS WAFルールにアタッチ
- シグネチャに基づきELBへのウェブリクエストをブロック
- シグネチャとは、既知の不正な通信やプログラム、攻撃パターンを識別するためのルール集
- ELBと関連付けられたAWS WAFを使用
- シグネチャとマッチングしたリクエストをブロック
- SQLインジェクションやクロスサイトスクリプティング(XSS)をブロックしたい
- AWS WAFを使用
- ※ AWS Shieldでは守れない
- OSI参照モデルのネットワーク層(3層)およびトランスポート層(4層)で行われるDDos攻撃をブロック
- AWS Shieldを使用
- ※ AWS WAFはOSI参照モデルのアプリケーション層(7層)で行われるDDoSを防御
- EC2インスタンス上の自動侵入テストと脆弱性分析実施中に、GuardDutyによるアラームを上げたくない
- GuardDutyの信頼されたIPアドレスリストにEC2のElastic IPアドレス(EIP)を追加
おわりに
「分野3: インフラストラクチャのセキュリティ」に対する「こんな時どうする」集でした。
次回は「分野4: ID(アイデンティティ)及びアクセス管理」です。
お楽しみに。