AWSクラウドセキュリティとは

AWSクラウドセキュリティは、Amazon Webサービス (AWS) のパブリッククラウド環境をクラウドの脅威から安全に保つためのプロトコルと対策のセットです。AWSは、責任共有モデル(クラウドサービスプロバイダーとお客様に対する個々の責任を説明するフレームワーク)を提供します。AWSは時間の経過とともに機能が強化されますが、マルチクラウド環境やハイブリッド環境の採用が増えることで、新しいクラウドセキュリティに関する一連の課題が発生しています。

この記事では、Amazonのヒントと提案を解説し、推奨されるセキュリティのベストプラクティスに無条件に従うだけでは不十分な理由を説明します。

ベストプラクティスを超えて – それらが教えないこと

当社はこのような状況になった経験があり、セキュリティのベストプラクティスに関する多くのリソースがあることを把握しています。ただし、これらのリソースは多くの場合、常に同じポイントをカバーし、通常はクラウドインフラストラクチャを保護する最初のステップに焦点を当てています。

共有されているベストプラクティスには、次のものがあります。

  • クラウドデータの暗号化:AWSには、独自のクラウドデータの暗号化オプションが用意されています。AES-256ビット暗号化は、無料で提供されるAWSサービスマネージドキーですが、サーバー側の暗号化しか対応していないという欠点があります。AWS Key Management Serviceは有料オプションで、独自のインフラストラクチャを構築して暗号化できます。
  • 仮想プライベートクラウドの作成:お客様がVPCを作成する場合、ネットワークレベルで相互にワークロードを分離できます。VPCはセキュリティ上のリスクを軽減できる便利なセキュリティツールです。
  • データのバックアップ:組織は侵害が発生することで、業務が中断する可能性があります。組織のすべてのデータがバックアップされている場合、業務の中断は大幅に軽減され、中断した場合でも、業務は短時間で再開できます。
  • 多要素認証の採用MFAによりシステムのセキュリティが強化されます。MFAはユーザーが本人であることを確認し、保存したデータにアクセスしたり、それらのデータを修正したりできるユーザーの数を制限します。
  • 強力なパスワードを持つ:以下の強力なパスワードストレージのベストプラクティスに従って、ネットワークやシステムに攻撃者が簡単に侵入できないようにしてください。
  • CloudTrailログの一元化ログの一元化により、チームはS3やRDSなどのAWSサービス全体での疑わしい振る舞いを簡単に検知できます。
  • アイデンティティおよびアクセス管理の重視:IAMにより、IT部門はどのユーザーがネットワーク内のどれほどのデータにアクセスできるかを合理化し管理できます。

これらのアドバイスは機能し、最初は役立ちます。ただし、簡単には拡張できず、完全に堅牢なクラウドセキュリティ戦略を必ず提供できるわけではありません。そのような戦略が必要な場合は、さらに先に進む必要があります。

AWSでのクラウドストライクのクラウドセキュリティ

CrowdStrike Falcon®プラットフォームとサイバーセキュリティ専門家チームのサポートにより、システムはあらゆる面で完全にしっかりと保護され、攻撃を見落とすことはありません。

今すぐダウンロード

Amazonのベストプラクティスと推奨事項を超えた4つの推奨事項を次に示します。

1. 混乱する代理を監視する

混乱する代理問題は、不正なエンティティが別のより高度な特権を持つエンティティを使用して、AWSアカウント内部のリソースにアクセスするセキュリティ上の問題です。この問題は、リソースにアクセスするためにサードパーティを認証する必要がある場合に発生しますが、この慣行はクラウドコンピューティングやSaaSの世界では一般的になっています。

この点に注意しないと、お使いのインフラストラクチャへの無制限のアクセス権を悪意のあるアクターに与えることになります。これを防ぐには、ロールを定義する際にAWSの外部IDプロパティを使用します。外部IDは、付与されたロールの引き受け時にエンティティが提供するフィールド(パスワードのようなものです)です。

ただし、このフィールドをブルートフォース攻撃する方法は数多くあるため、軽々しく使用するべきではありません。定義する場合は、安全で解読の難しいパスワードを設定し、サードパーティベンダーが保管できるように暗号化して送信する必要があります。セキュリティをさらに強化するには、これらの外部IDを随時ローテーションすることもできます。

2. ポリシーをシンプルに小規模でスケーラブルに保つ

AWSはポリシーを使用して、リソースのプリンシパルへのアクセスを許可したり防止したりしています。これは、AWSのポリシーに従って誰が何にアクセスできるかを定義する方法です。ただし、拡張し続ける場合、長期的にポリシーを維持する計画を必ず立てる必要があります。これにより、ポリシーをシンプルかつ適切に保つことができます。

例えば、AWS Lambdaなどの特定のサービスへのアクセス権を付与する必要がある場合、そのサービスのみに対するカスタムポリシーを設定できます。これにより、ユーザーとサービス間の不要な通信を防ぐことができます。1つのアクションを実施するために複数のポリシーを適用する方が、複数のアクションを実行する単一のポリシーを適用するより適切です。これは、後者の場合は読み込み、維持、スケーリングが困難なポリシーが含まれるためです。

3. IAMの重要性を正しく理解する

ユーザーやロールではなくIAMグループに依存する理由

このトピックでは、ユーザーやロールに直接ポリシーを適用せずに、IAMグループを使用して適用する必要があることに重点を置いて説明します。これにより、開発者、システム管理者、テスター、QAエンジニアなどのアカウントのユーザーのさまざまなサブセットに適用する複数のポリシーを記述できます。

これらのポリシーを記述した後、グループに割り当てて、責任や社内のロール別に分けることができます。この場合、1つのポリシーセットを記述して、それを一度に適用できる利点があります。また、特定の従業員にさらにきめ細かなポリシーが必要な場合、その特定のユーザーに非常にシンプルなポリシーの1つを追加し、その権限を追加することができます。

それ以外の場合、ユーザーのセット(開発者など)を修正する必要がある場合、そのユーザーセットのグループポリシーのみを修正し、1回の操作でそのグループのすべてのユーザーポリシーを修正できます。

詳細

アイデンティティアクセス管理 (IAM) により、どのようにして組織がアイデンティティとアクセス管理のタスクを合理化および自動化し、よりきめ細かなアクセス制御と特権を有効にできるのかについての投稿をお読みください。読む:アイデンティティアクセス管理

4. 可視化サービスの利用

AWS Systems Managerなどの可視化サービスを利用する理由

AWS Systems Managerは、お使いのすべてのAWSアセットやワークフローの中心として機能するセキュリティおよび可視化サービスであり、インフラストラクチャを自由に探索できる一元化されたユーザーインターフェイスを提供します。これにより、脆弱性を確認してパッチを適用するだけでなく、環境全体の単一のストアを利用してアプリケーションの設定データを管理できます。

このサービスを使用すると、異なるAWSサービス間でグループのリソースを作成でき、リソースグループごとに集計データを表示できます。次に、インサイトに対応し、リソースグループ全体で運用アクションを自動化できます。

AWS Systems Managerには、Incident ManagerやChange Managerのような小規模なサービス形式の追加機能が用意されています。Incident Managerを使用すると、お使いのアプリケーションやワークフローに可用性、パフォーマンス、セキュリティの問題が発生した場合に、いつでも有効になる対応プランを作成できます。これにより、環境内の変化によりセキュリティの脆弱性が発生し、直ちに対応する必要がある場合、通知を受信できます。Incident Managerは、トリガーされるとこれらのプランを実行し、SMSやEメールで最初の応答者に通知し、破壊的変更をロールバックし、インシデント後の有用なメトリックを提供できます。

一方、Change Managerを使用すると、アカウントのインフラストラクチャと設定を変更する方法を簡素化できます。これにより、意図しない結果を回避できる「変更テンプレート」を作成し、特定の設定(IAMポリシーなど)を変更できます。これは、事前定義されたワークフローに破壊的変更が適用されないようにする場合に非常に有用で、セキュリティ上の問題を未然に防ぐことができるようになります。

これらのすべての要素が、ポリシーを重視するセキュリティソリューションと適切に結びついており、AWSは実行方法を提案します。

詳細

CrowdStrike Servicesが、AWS内にとどまり、認証情報の取り消し以上のことを実行する攻撃者の手法をどのようにして特定できたのかをご覧ください。読む:攻撃者がAWS User Federationにとどまる仕組み

クラウドストライクが問題解消にどう貢献できるか

これらすべてのステップがインフラストラクチャに適用されるわけではありませんが、AWSからの同じ5つのアドバイスに依存せずにインフラストラクチャを保護する別の方法を用意する必要もあります。責任共有モデルは有用ですが、実際には環境を保護するツールを提供していません。当モデルは、単に保護について何に留意するかを提案しているだけです。

データやセキュリティアクセスキーを暗号化する必要があることはすでに認識しており、大規模なクラウドインフラストラクチャを操作し維持するために、セキュリティ戦略を策定することは当然のことです。

マネージドソリューションをお探しの場合は、CrowdStrike Falcon® for AWSの使用を検討してください。このサービスでは、ホストからクラウドまで、そしてそれら全体にエンドツーエンドの保護を提供し、すべてのリソース、アカウント、インスタンスに完全な可視性も提供します。