search
LoginSignup
0

posted at

updated at

Organization

AWS公式資料で挑むSCS認定(21)-こんな時どうする(分野3:インフラストラクチャのセキュリティ)

[前回] AWS公式資料で挑むSCS認定(20)-こんな時どうする(分野2:ログと監視)

はじめに

前回に続き「こんな時どうする」をまとめ中です。
今回は「分野3: インフラストラクチャのセキュリティ」となります。

「分野3: インフラストラクチャのセキュリティ」基本知識のおさらい

エッジセキュリティに使用されるサービス

  • Amazon Route 53
    • ドメインネームシステム(DNS)ウェブサービス
  • AWS WAF
    • アプリケーションファイアウォール
    • 機能: SQLインジェクションやクロスサイトスクリプト攻撃をブロック
  • Amazon CloudFront
    • コンテンツ配信ネットワーク(CDN)サービス
  • AWS Shield
    • 分散サービス妨害(DDoS)のマネージド型防御サービス
    • 機能: AWSで実行しているアプリケーションを保護

DDoS攻撃緩和に使用されるサービス

  • Amazon Route 53
  • Amazon CloudWatch
  • AWS WAF
  • Amazon CloudFront
  • AWS Shield
  • Elastic Load Balancing(ELB)
    • アプリケーションへのトラフィックを、1つまたは複数アベイラビリティーゾーン(AZ)内の複数ターゲットおよび仮想アプライアンスに自動的に分散
  • Amazon API Gateway(AGW)
    • API(RESTful、WebSocket)の作成、公開、保守、モニタリング、保護を行うフルマネージド型サービス
    • 機能: トラフィック管理、オリジン間リソース共有(CORS)のサポート、認可とアクセスコントロール、スロットリング、モニタリング、APIバージョン管理
  • Amazon EC2 Auto Scaling
    • アプリケーションの可用性を維持するためのサービス
    • 機能: 定義された条件に応じてEC2インスタンスを自動的に追加または削除

Amazonマシンイメージ(AMI)のセキュリティ

  • 安全でないアプリケーションを無効に
    • 平文による認証を行うサービスとプロトコルを無効に
  • 露出度を最小限に
    • 使用しないネットワークサービスを無効に
    • 使用しないデフォルトのサービスを無効に
      • ファイル共有
      • Print Spooler
      • RPC
  • AMI作成時の認証情報を削除
    • すべてのSSHキーペアを削除
    • AWSとサードパーティのすべての認証情報(アクセスキーなど)を削除
    • すべてのユーザアカウントのパスワードを削除

「分野3: インフラストラクチャのセキュリティ」の「こんな時どうする」

  • 特定IPアドレスからのトラフィックをブロックしたい
    • ネットワークACL(NACL)で拒否ルール設定
    • ※ セキュリティグループ(SG)は拒否ルール設定できない(許可のみ)
  • 特定IPアドレスとの双方向通信を許可したい
    • NACLの場合、インバウンド・アウトバウンド両方にルール設定が必要(ステートレス)
    • SGの場合、インバウンドかアウトバウンド一つのみルール設定でOK(ステートフル)
  • 他のSGに含まれるすべてのEC2インスタンスからのトラフィックを許可したい
    • SGのインバウンドとアウトバウンドのルールを「ALL traffic 他のSG名」と設定
    • ルールはSG名のみで記載可、CIDRブロックを指定しなくてもOK
  • セキュアでないプロトコルまたは暗号が使用されたSSL/TLS通信をELBでブロックしたい
    • 問題プロトコル、暗号を含まないカスタムセキュリティポリシーを作成、ELBに適用
    • 事前に定義されたELBのデフォルトセキュリティポリシーの使用を推奨
  • 特定クエリ文字列(URIパラメータ)が含まれているCloudFrontへのウェブリクエストをブロック
    • CloudFrontに関連付けられたAWS WAFを使用
    • 特定クエリ文字列に一致するAWS WAF ACLを記述し、AWS WAFルールにアタッチ
  • シグネチャに基づきELBへのウェブリクエストをブロック
    • シグネチャとは、既知の不正な通信やプログラム、攻撃パターンを識別するためのルール集
    • ELBと関連付けられたAWS WAFを使用
    • シグネチャとマッチングしたリクエストをブロック
  • SQLインジェクションやクロスサイトスクリプティング(XSS)をブロックしたい
    • AWS WAFを使用
    • ※ AWS Shieldでは守れない
  • OSI参照モデルのネットワーク層(3層)およびトランスポート層(4層)で行われるDDos攻撃をブロック
    • AWS Shieldを使用
    • ※ AWS WAFはOSI参照モデルのアプリケーション層(7層)で行われるDDoSを防御
  • EC2インスタンス上の自動侵入テストと脆弱性分析実施中に、GuardDutyによるアラームを上げたくない
    • GuardDutyの信頼されたIPアドレスリストにEC2のElastic IPアドレス(EIP)を追加

おわりに

「分野3: インフラストラクチャのセキュリティ」に対する「こんな時どうする」集でした。
次回は「分野4: ID(アイデンティティ)及びアクセス管理」です。
お楽しみに。

[次回] AWS公式資料で挑むSCS認定(22)-こんな時どうする(分野4:ID及びアクセス管理)

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
What you can do with signing up
0