AWS公式資料で挑むSCS認定(31)-こんな時どうする(全分野その8)

[前回] AWS公式資料で挑むSCS認定(30)-こんな時どうする(全分野その7)

はじめに

今回も引き続き、「こんな時どうする」集の作成です。

分野1: インシデント対応

• 特定IPアドレス範囲からウェブサイトへ大量リクエストが確認された、拒否リストに登録せずアクセス頻度のみ制限したい
  • AWS WAFのレートベースのルールを使用
  • レートベースルールのIP許可リスト条件で、ソースIPアドレス範囲から単位時間内のリクエスト数を制限
  • 制限を超えた場合、新しいリクエストはリクエストレートが設定されたしきい値を下回るまでブロックされる

分野2: ログとモニタリング(監視)

• 自分のAWSアカウントで実行されたすべてのAWS WAF API呼び出し履歴を取得したい

  • AWSアカウントのAWSマネジメントコンソールでAWS CloudTrailを有効に設定
  • セキュリティ監視、コンプライアンス監査に必要なAWS WAF API呼び出し履歴がすべて記録される

• CVE(Common Vulnerabilities and Exposures)に含まれたアプリケーション脆弱性を悪用した、外部からのセキュリティ攻撃を受けていないか監視したい

  • AWS WAFで事前設定されたマネージドルールをデプロイし使用
  • マネージドルールは、CVE、OWASP、ボットなどアプリケーション脆弱性による脅威からアプリケーションを保護
  • マネージドルールは、AWS Marketplaceセキュリティ販売者によって自動的に更新される

分野3: インフラストラクチャのセキュリティ

• AWSにホストされていないウェブサイトを保護したい

  • Amazon CloudFrontは、AWS外のカスタムオリジンをサポート
    • CloudFrontディストリビューション作成時、カスタムオリジンを使用し、ファイルリクエストの送信先を独自のHTTPウェブサーバーに指定
  • Amazon CloudFrontと統合されているAWS WAFを使用しウェブサイトを保護

• 監査要件を満たすか評価/検証するため、監査人からシステム開発のセキュリティ制御に関する証拠を求められた

  • AWS Artifactの監査アーティファクトレポートを、コンプライアンス評価の証拠として提供
  • ※ 監査アーティファクトとは、組織が文書化プロセスに従っていること、または特有の要件を満たしていることを示す証拠
    • システム開発のライフサイクル全体で収集およびアーカイブされ、内部および外部向けの監査や評価における証拠として使用可能

• 企業がHIPAA(Health Insurance Portability and Accountability Act)対象となり、規制の遵守を求められた

  • AWS Artifact Agreements(契約)の事業提携契約(BAA)を使用
  • ※ AWS Artifact Agreementsとは、監査およびコンプライアンスポータル機能で、AWS Organizations全アカウントおよび個々のアカウントにおけるAWSとの契約を確認、受諾、管理できる
    • AWS Artifact機密保持契約(NDA)の規約を受諾する必要あり。各契約は機密で外部と共有不可
    • 以前受諾した契約が不要になった場合、AWS Artifactを使用し終了可能
  • ※ HIPPAとは、1996年に制定された米国における医療保険の相互運用性と説明責任に関する法令、米国の労働者が転職または失業したときに健康保険に加入できるようにすることを目的とした法律

分野4: アイデンティティ(ID)及びアクセス管理

• ABAC(属性ベースのアクセス制御)を使用しアクセス制御を行いたい
  • まずアクセス制御に使用するタグのキーと値を定義
  • IAMロールに適切なタグを割り当てる
    • 複数IDが同じIAMロールを使用する場合は、セッションにタグを割り当てる
  • リソースに適切なタグを割り当てる
    • リソースの作成/変更時に適切なタグを割り当てるよう要求できる
  • ポリシーを定義し、ロールタグまたはセッションタグがリソースタグと一致する場合のみアクセス許可
  • ※ ABACとは、属性に基づいて許可を定義する認可戦略
    • 属性はタグと呼ばれ、AWSリソース、IAM ロール、ロールセッションで定義することができる

分野5: データ保護

• AWS責任共有モデルに基づき、データ保護を実施したい

  • AWSが、AWSクラウドのすべてが実行される、グローバルインフラストラクチャの保護に責任を持つ
  • ユーザーが、AWSインフラストラクチャにホストされる、コンテンツの管理/維持に責任を持つ
    • 保管/転送中データの保護(暗号化など)
    • AWSサービスのセキュリティ設定と管理タスク

• データ保護の対策として、AWSアカウントの認証情報を保護し、IAMを使って必要なアクセス許可のみユーザーに付与するよう指示された

  • 以下の方法でデータを保護
    • 各アカウントで多要素認証(MFA)を使用
    • SSL/TLSを使用しAWSリソースと通信(TLS 1.2以降を推奨)
    • AWS CloudTrailでAPIとユーザーアクティビティログをセットアップ
    • AWS暗号化ソリューションをAWSサービス内のすべてのデフォルトのセキュリティ管理と併用
    • Amazon Macieなどアドバンストマネージドセキュリティサービスを使用し、Amazon S3保存の個人データ保護を支援
    • CLI(コマンドラインインターフェイス)またはAPIを用いたAWSアクセスで、FIPS 140-2検証済みの暗号化モジュールが必要な場合は、FIPSエンドポイントを使用

おわりに

「こんな時どうする」の追記でした。
次回も続きます、お楽しみに。

[次回] AWS公式資料で挑むSCS認定(32)-こんな時どうする(全分野その9)