0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

AWS公式資料で挑むSCS認定(26)-こんな時どうする(全分野その3)

Last updated at Posted at 2022-04-02
[前回] AWS公式資料で挑むSCS認定(25)-こんな時どうする(全分野その2)

はじめに

早速、今回も「こんな時どうする」の追記です。
精査はしていますが、過去と似たような項目を取り上げる可能性あります、悪しからず。

分野1: インシデント対応

  • EC2インスタンスで使用されていないポートが攻撃された、稼働中システムを止めずにすぐ対処したい
    • セキュリティグループのインバウンドルールから問題のポート番号を削除

分野2: ログとモニタリング(監視)

  • S3バケットのアクセスログに「認証失敗」「HTTP Referer情報」を含め記録したい

    • S3サーバーアクセスログを使用し、S3リクエストをログ記録
  • S3バケットのアクセスログに「IAM/ユーザー特定情報」「クロスアカウントログ」を含め記録したい、かつログファイルを暗号化したい

    • AWS CloudTrailを使用し、S3のAPIコールをログ記録
  • Amazon GuardDutyによる監視で、特定EC2インスタンスから頻繁に誤検知(false positive)の通知発生するため、監視対象から除外したい

    • 信頼できるIPリストに、問題EC2インスタンスのIPアドレスを追加し、Amazon GuardDutyに適用
    • ※ 信頼できるIPリストのアップロード数は各リージョンのAWSアカウントにつき1つのみ
    • ※ Amazon GuardDutyとは
      • セキュリティの観点から脅威リスクを検知するマネージドサービス
      • 分析のソースに下記を利用、メタデータの連続ストリームを分析
        • VPC Flow Logs
        • AWS CloudTrail Event Logs
        • DNS Logs
      • 統合脅威インテリジェンスを使用し脅威を認識

分野3: インフラストラクチャのセキュリティ

  • VPC内複数コンテナ間で相互TLS認証による通信を行いたい
    • ACMプライベートCA(証明機関)を使用し、下位CAを作成
    • ACM(AWS Certificate Manager)を使ってプライベート証明書を作成、すべてのコンテナに適用する
    • ※ ACMプライベートCAとは、プライベート証明書のライフサイクルを簡単かつ安全に管理するマネージドサービス
      • 自社プライベートCAを先行投資やメンテナンスコストをかけず運用でき、可用性の高いプライベートCAを得られる

分野4: アイデンティティ(ID)及びアクセス管理

  • AWSアカウントを保護したい

    • AWSアカウントのルートユーザーまたはIAMユーザーに対しMFA(多要素認証)を有効に
  • EC2 Linuxインスタンスにログインしたい

    • キーペアによる認証でログイン
    • キーペアには、プライベートキーとパブリックキーが含まれる
      • パブリックキーは、EC2インスタンス内に保管
      • プライベートキーは、ユーザー自身が保管
  • セキュリティ監査の実施タイミングが不明

    • 定期的監査
    • 従業員が退職するなど組織変更があった場合
    • 1つ以上のAWSサービスを使用しなくなった場合(不要になったアクセス許可を削除するため重要)
    • AWSアカウントでソフトウェアの追加/削除があった場合(EC2インスタンスのアプリケーション、AWS OpsWorksスタック、AWS CloudFormationテンプレートなど)
    • 権限のない人がアカウントにアクセスした疑いがある場合

分野5: データ保護

  • S3バケットのオブジェクトに対し、KMSキーを用いたサーバー側暗号化(SSE-KMS)を強制するポリシーを作成したい
    • ポリシーで下記Statementを定義
    {
      ... ...
      "Effect": "Deny",
      "Action": "s3:PutObject",
      "Condition": {
        "StringNotEquals":{
           "s3:x-amz-server-side-encryption":"aws:kms"
        }
      }
    }
  • S3バケットのオブジェクトに対し、S3バケットキーを用いたサーバー側暗号化(SSE-S3)を強制するポリシーを作成したい
    • ポリシーで下記2つのStatementを定義
    {
      ... ...
      "Effect": "Deny",
      "Action": "s3:PutObject",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      ... ...
      "Effect": "Deny",
      "Action": "s3:PutObject",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  • 独自のキーマテリアルをインポートしているKMSキー(カスタマー管理キー)を毎年更新したい
    • 新しいKMSキーを作成し
    • 新しいキーマテリアルをインポート
    • 既存のKMSキーのエイリアスを新しいKMSキーにマッピング
    • ※ KMSキー(カスタマー管理キー)の種類とローテーション
      • カスタマー管理の対称KMSキー
        • キーマテリアルをAWS KMSで生成
          • 1年ごとの自動更新を設定可
        • キーマテリアルをAWS CloudHSMクラスターで生成(KMSカスタムキーストア機能を使用)
          • 自動更新不可、要手動更新
        • 独自のキーマテリアルをインポート
          • 自動更新不可、要手動更新
      • カスタマー管理の非対称KMSキー
        • キーマテリアルはAWS KMS HSMでのみ生成可能
          • 自動更新不可

おわりに

「こんな時どうする」の追記でした。
次回も続きます、お楽しみに。

[次回] AWS公式資料で挑むSCS認定(27)-こんな時どうする(全分野その4)
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?