AWSセキュリティグループとは?

AWS のセキュリティは共同責任です。 クラウドのセキュリティに対する責任は AWS が負いますが、クラウドのセキュリティはお客様が責任を負います。 AWS やその他のベンダーからさまざまなツールやサービスが提供されており、セキュリティとコンプライアンスの目標達成に役立ちます。 特に AWS セキュリティグループは、Amazon EC2 リソースを保護するのに役立ちます。

AWSセキュリティ評価 AWSセキュリティソリューション

AWSセキュリティグループとは

AWSセキュリティグループとは?

AWS セキュリティグループは、EC2 インスタンスの仮想ファイアウォールとして機能し、送受信トラフィックを制御します。 インバウンドルールとアウトバウンドルールはどちらも、インスタンスへのトラフィックのフローとインスタンスからのトラフィック のフローをそれぞれ制御 します。

AWS セキュリティグループの仕組み

AWS セキュリティグループは、EC2 マシンへのトラフィックの許可方法を制御することで、クラウド環境を保護するのに役立ちます。 セキュリティグループを使用すると、インスタンスレベルで流れるすべてのトラフィックが、確立されたポートとプロトコルのみを経由するようにすることができます。

 

Amazon EC2 でインスタンスを起動するときは、インスタンスを特定のセキュリティグループに割り当てる必要があります。 各セキュリティグループにルールを追加して、指定されたサービスとの間のトラフィック(関連するインスタンスを含む)を許可することができます。

 

ホワイトリストと同様に、セキュリティグループのルールは常に制限されています。 アクセスを拒否するルールを作成することはできません。 たとえば、Elastic Load Balancer (ELB) から Web サーバーを含むサブネットへのトラフィックがあるとします。 AWS Security Group は、その ELB を唯一の許可されたソースとしてリストできます。

 

セキュリティグループはステートフルであるため、インバウンドリクエストが合格すると、アウトバウンドリクエストも合格します。

複数の AWS セキュリティグループの使用

EC2 インスタンスごとに 1 つ以上のセキュリティグループを指定でき、ネットワークインターフェイスごとに最大 5 つまで指定できます。 さらに、VPC 内のサブネット内の各インスタンスを、異なるセキュリティグループのセットに割り当てることができます。 トラフィックがインスタンスに到達することを許可する場合、Amazon EC2 は、関連付けられているすべてのセキュリティグループのすべてのルールを評価します。

 

ルールを追加または変更すると、セキュリティグループに関連付けられているすべてのインスタンスに自動的に適用されます。

 

With tools like Check Point, you can visualize your cloud security posture at the infrastructure level (VPCs, security groups, EC2 and RDS instances, Amazon S3 buckets, Elastic Load Balancers, etc.) and interactively detect configuration drift.

セキュリティグループとネットワーク ACL

ネットワーク アクセス制御リスト (NACL) は、1 つ以上のサブネットに出入りするトラフィックを制御するための追加の方法です。 AWS セキュリティグループとは異なり、NACL はステートレスであるため、インバウンドルールとアウトバウンドルールの両方が評価されます。 ネットワーク ACL は、VPC に対するオプションの追加セキュリティレイヤーとして設定できます。

AWS セキュリティグループの新機能

AWS Firewall Manager を使用すると、AWS アカウントとアプリケーション全体でファイアウォールルールを一元的に設定および管理できます。 2020 年 7 月 8 日、 AWS ファイアウォール マネージャーは、「顧客が VPC セキュリティグループを監査し、中央管理者アカウントからコンプライアンス違反の詳細なレポートを取得するのに役立つ新しい事前構成ルール」をリリースしました。 この機能により、お客様はセキュリティグループを一元的に監査することが容易になり、「カスタム監査チェックを手動で構成する手間が省けます」。

チェック・ポイントのAWSセキュリティ・ソリューション

他のポイントソリューションと同様に、AWS セキュリティグループは、ほとんどの組織のすべてのセキュリティ要件を満たしている可能性は低いです。 任意のインスタンスで独自のファイアウォールを維持できます。

 

Checkpoint Check Point platform is a cloud native security solution for Amazon AWS environments. Check Point Cloud Network Security provides advanced threat prevention and automated network security with unified management across cloud and on-prem environments. Check Point also extends as a security orchestration platform that offers visibility and management into the security posture (CSPM), compliance automation and intrusion detection in the public cloud.

 

Check Point has a native API integration with Amazon Security Hub to provide enhanced visibility into vulnerabilities in an organization’s cloud security and compliance posture from a consolidated security console.

 

Check Point Cloud Network Security actively prevents cyber-attacks and network vulnerabilities and feeds these threat alerts into the AWS Security Hub console. This continuous threat prevention is driven by the platform’s native firewall, IPS, application control, IPsec VPN, antivirus and anti-both capabilities.

 

Cloud security posture management delivered through Cloudguard helps you visualize your cloud security posture at the infrastructure level (VPCs, security groups, EC2 and RDS instances, Amazon S3 buckets, Elastic Load Balancers, etc.) With Check Point, you can interactively detect configuration drift, assess impact of new vulnerabilities and spot firewall rule misconfigurations quickly.