セキュリティの設計原則は7つ。
・強力なアイデンティティ基盤を実装する … 最小権限の原則を実装し、AWSリソースの使用に適切な認証をします。最小権限の原則とは、ユーザーやプログラムが作業を完遂するために必要な最低限の権限で操作を行うことです。
・トレーサビリティを実現する … システムに対してリアルタイムでの監視、通知、監査を行うことにより、問題が発生した場合に素早く対応できます。
・全レイヤーでセキュリティを適用する … 一部の機能に対して重点的にセキュリティを実装するのではなく、仮想サーバー、ネットワーク、ロードバランシング、アプリケーション、コードなど、利用する全てのレイヤーに渡ってセキュリティを実装します。
・セキュリティのベストプラクティスを自動化する … セキュリティの仕組みをソフトウェアベースで自動化することによって、安全にシステム化を迅速にしつつコスト効果を高くします。
・転送中および保管中のデータを保護する … データの機密性レベルに応じた、暗号化、トークン分割、アクセスコントロールなどを適用します。
・データに人の手を入れない … データへの直接アクセスや手動作業を減らすことで、機密性の高いデータの消失など人為的ミスのリスクを軽減します。
・セキュリティイベントに備える … システムの要件に合わせたインシデント発生後のプロセス(検出、調査、復旧)とインシデント管理の方針を決めて、セキュリティイベントに備えます。
・AWS WAF(Web Application Firewall)
脆弱性を突く攻撃(クロスサイトスクリプティングやSQLインジェクションなど)から、Webアプリケーションを保護するサービス。「Web ACL」というアクセスコントロールリストで、IPアドレス、HTTPヘッダー、HTTP本文、URI文字列などに対してフィルタリングの条件を設定できます。また、Web ACLには接続元のIPアドレスから国別にアクセスを制限できる機能もあります。
AWS WAFは、Amazon CloudFront、ALB、Amazon API Gateway、AWS AppSyncに割り当てて利用します。
Amazon CloudFrontには、「地理的制限」というクライアントからのアクセスを国別に制限できる機能があります。クライアントの接続情報から接続元の国を判別して、ホワイトリストに設定した国からのアクセスは許可、ブラックリストに設定した国からのアクセスは拒否します。
また、AWS WAFの「Web ACL」にも地理的制限と同等の機能があります。
・AWS Shield
AWS Shieldは、DDoS攻撃からの保護に特化したサービスです。すべてのAWSユーザーが無償で利用できる「AWS Shield Standard」と、有償版の「AWS Shield Advanced」があります。
○AWS Shield Standard
ネットワーク層およびトランスポート層への一般的なDDoS攻撃からAWSリソースを保護します。デフォルトで有効になっています。
○AWS Shield Advanced
Amazon CloudFront、Amazon Route 53、AWS Global Acceleratorなどを標的としたDDoS攻撃に対して、高度な保護サービスを利用できます。例えば、DDoS攻撃発生時のモニタリングやレポート、AWSのDDoS対応チームによるサポート、攻撃によって増加したAWS利用料金の補填などがあります。