従うべき 13 の AWS セキュリティのベストプラクティス

AWS セキュリティのベストプラクティス

クラウドで強力なサイバーセキュリティを実現するのは困難に思えるかもしれませんが、不可能ではありません。 この AWS セキュリティのベストプラクティスチェックリストに従うことで、AWS デプロイメントのセキュリティを向上させることができます。

• セキュリティ要件の特定

1. AWS での資産の定義と分類:存在を知らないシステムを保護することは不可能です。 AWS デプロイメントのセキュリティを向上させる最初のステップは、所有する資産を特定し、それらを目的に基づいてカテゴリに整理することです。

2. データとアプリケーションの分類を作成する:すべての AWS アセットが特定されたら、関連するデータと機能の機密性と重要性に基づいて、各アセットまたはアセットのカテゴリにセキュリティ分類を割り当てる必要があります。 これらの分類は、各資産に必要な保護レベルと特定のセキュリティ制御を決定するのに役立ちます。

• クラウドセキュリティの課題を解決するために設計されたソリューションを導入する

クラウドベースのインフラストラクチャには、従来のオンプレミス環境とは異なるセキュリティ アプローチとツールが必要です。 組織の AWS デプロイメントを効果的に保護するには、クラウド向けに設計されたセキュリティ ソリューションを導入することが不可欠です。

3. クラウド アクセスの管理:クラウド ベースのリソースには、組織の既存のネットワーク境界 (およびそこに展開されているセキュリティ スタック) を介してトラフィックを送信せずに直接アクセスできるため、クラウド ベースのインフラストラクチャへのアクセスを制限することが不可欠です。

4. クラウドネイティブのセキュリティ ソリューションを使用する:最近のクラウド セキュリティ レポートでは、回答者の 82% が、従来のセキュリティ ソリューションはまったく機能しないか、機能が制限されていると考えています。 クラウドネイティブのセキュリティ ソリューションは、クラウド資産の保護に最適です。 さらに、クラウドネイティブのセキュリティ ソリューションを導入すると、保護対象の資産の隣にセキュリティ機能が配置され、セキュリティ ソリューションが導入環境内で最適に動作することが保証されます。

5. すべての境界を保護し、すべてをセグメント化する: オンプレミスのセキュリティには、外部とのネットワーク接続という単一の境界があります。 クラウド セキュリティには複数の境界があります。クラウド ネイティブ サービスごとに 1 つ以上です。 組織は、 南北および東西のトラフィックを含むすべての境界を確実に保護する必要があります。 さらに、クラウド ワークロードが適切にセグメント化および分離されていればいるほど、侵害の影響を抑えることが容易になります。

• AWS デプロイメント全体にわたって一貫したセキュリティ体制を維持する

Amazon は、AWS の顧客をサイバー脅威から保護するために、さまざまな組み込みのセキュリティ構成とツールを提供しています。 これらの設定を適切に構成することは、組織の AWS デプロイメント全体で一貫したクラウド セキュリティ体制を確保するために重要です。

6. AWS アカウント、IAM ユーザー、グループ、およびロールの管理:クラウドベースのインフラストラクチャはパブリック インターネットから直接アクセスできるため、ID およびアクセス管理 (IAM) はクラウド コンピューティングの優先事項です。 組織のクラウドベースのインフラストラクチャ内でデータ侵害やその他のサイバーセキュリティ インシデントが発生する可能性を最小限に抑えるには、最小限の特権の原則 (ユーザーには業務の遂行に必要なアクセスと権限のみが付与される) を実装することが不可欠です。

7. Amazon EC2 インスタンスへのアクセスを管理する:組織の EC2 インスタンスにアクセスできる攻撃者は、既存のアプリケーション内の機密データや機能にアクセスしようとしたり、組織のリースされたコンピューティング能力を浪費または悪用する仮想通貨マイナーなどの新しい悪意のあるアプリケーションを導入したりする可能性があります。 組織の AWS 導入におけるサイバーセキュリティのリスクを最小限にするには、最小特権の原則に基づいて EC2 へのアクセスを制御することが必要です。

• AWS ワークロードを保護する

サーバーレスおよびコンテナ化されたデプロイメントを使用して、クラウドベースのマイクロサービスを実装する組織が増えています。 これらの独自のアーキテクチャには、クラウド ワークロード保護など、ニーズに合わせたセキュリティが必要です。

8. サーバーレスおよびコンテナーにクラウド ワークロード保護を実装する:クラウド インフラストラクチャのマイクロサービス ワークロードには、従来のアプリケーションとは異なるセキュリティ ソリューションが必要です。 可観測性、最小権限の強制、仮想対策機能などのクラウド ワークロード保護の導入は、コンテナ化されたマイクロサービス、サーバーレス サービス、およびその他のマイクロサービスに対する潜在的なサイバー脅威を最小限に抑えるために不可欠です。

• プロアクティブなクラウド セキュリティを実装する

多くの組織は、サイバー脅威がネットワーク内でアクティブになった場合にのみ対応する、事後対応型のサイバーセキュリティ戦略を導入しています。 ただし、これはインシデント対応活動を遅らせることで組織を危険にさらします。 組織は、クラウドベースのインフラストラクチャ内でよりプロアクティブなセキュリティ防御を実装するために、いくつかの手順を実行できます。

9. 脅威インテリジェンス フィードを購読する: 脅威インテリジェンスは、現在および進行中のサイバー脅威に関する貴重な情報と侵害の兆候を提供します。 脅威インテリジェンス フィードを購読し、それを組織のクラウドベースのセキュリティ ソリューションに統合すると、潜在的なサイバー脅威を早期に特定してブロックすることができます。

10. AWS で脅威ハンティングを実行する:進行中の攻撃の特定と対応に基づいた完全に事後対応型のサイバーセキュリティ ポリシーは、組織をリスクにさらします。 攻撃が特定されるまでに、攻撃者はすでに組織のクラウドベースのインフラストラクチャにアクセスし、データを盗んだり、その他の損害を与えたりしている可能性があります。 サイバーセキュリティ アナリストがネットワークへの潜在的な侵入の兆候を探すプロアクティブな脅威ハンティングを実行すると、組織はサイバーセキュリティ防御を検出されずにすり抜けた脅威を特定して修復できます。 これには、組織のクラウド インフラストラクチャに対する詳細な可視性が必要であり、スケーラブルで効果的な脅威インテリジェンス フィードと自動データ分析へのアクセスが必要です。

11. インシデント対応 ポリシーと手順を定義する: 多くの組織では、既存の サイバーセキュリティ ポリシーと手順が整備されています。 ただし、これらのポリシーと手順は、ネットワーク インフラストラクチャのすべてのコンポーネントを完全に可視化し、制御できるオンプレミス環境向けに設計されている可能性があります。 組織のクラウドベースのデプロイメント内でサイバーセキュリティの脅威に効果的に対応するには、オンプレミスとクラウドベースのデプロイメントの違いに対処するためにこれらのポリシーを更新および適応させることが不可欠です。

• コンプライアンスを確実に達成

ほとんどの組織には、所有する機密性の高い顧客データをどのように保護する必要があるかを定義する多くの規制が適用されます。 これらの規制は組織のクラウド インフラストラクチャにも適用されるため、組織はクラウドにおけるこれらの規制を継続的に遵守するための措置を講じる必要があります。

12. セキュリティ制御の可視性を確保する: データ保護規制では、通常、組織が特定の攻撃ベクトルから機密データを保護するための一連のセキュリティ制御を実施していることが規定されています。 規制コンプライアンスには、セキュリティ制御が継続的に可視化されていることを確認し、それらが正しく機能していることを検証する能力が必要です。これにより、組織のセキュリティ体制が改善され、サイバーセキュリティのリスクが軽減されます。

13. 規制遵守を継続的に検証する:組織が必要なセキュリティ管理の可視性を維持していることを確認することに加えて、組織のセキュリティ整備が適用される規制のニーズを満たしていることを検証することも重要です。 これには、適用される規制と組織のクラウドベースのインフラストラクチャの確認、特定されたセキュリティ ギャップの特定と閉鎖が含まれます。