AWS Shield Network Security Director ポリシー

AWS Shield Network Security Director は、コンピューティング、ネットワーク、ネットワークセキュリティリソースを検出することで、 AWS 環境を保護するのに役立ちます。Network Security Director は、 AWS ベストプラクティスや脅威インテリジェンスに照らしてネットワークトポロジとセキュリティ設定を分析し、各リソースのセキュリティ設定を評価します。

AWS Shield Network Security Director ポリシーを使用すると、 AWS 組織内のアカウント間で Network Security Director を一元的に有効化および管理できます。Network Security Director ポリシーでは、Network Security Director が有効になっている組織エンティティ (ルート、OUs、またはアカウント) を指定します。アカウントが組織に参加すると、そのアカウントが組織階層内のどの場所にあるかに基づいて、該当するポリシーが自動的に継承されます。これにより、組織が成長するにつれて、リソースがネットワークセキュリティ設定のギャップについて分析されます。このポリシーは、既存の組織構造を尊重し、分析されるアカウントを柔軟に判断できます。

AWS Shield Network Security Director は現在プレビューで利用可能です。

仕組み

AWS Shield Network Security Director ポリシーを組織エンティティにアタッチすると、そのポリシーは、その範囲内のすべてのメンバーアカウントの Network Security Director を自動的に有効にします。また、委任管理者を登録して AWS Shield Network Security Director の設定を確定した場合、そのアカウントは、 AWS Shield Network Security Director が有効になっている組織内のアカウントのネットワークセキュリティ体制を一元的に可視化できます。

AWS Shield Network Security Director ポリシーは、組織全体、特定の組織単位 (OUs)、または個々のアカウントに適用できます。組織に参加するアカウント、またはポリシーがアタッチされた OU に移行するアカウントは、ポリシーを自動的に継承し、 AWS Shield Network Security Director を有効にして Network Security Director の委任管理者にリンクします。Network Security Director ポリシーを使用すると、ネットワーク分析を有効にし、リソースのネットワークトポロジとネットワークセキュリティの検出結果を表示し、設定ギャップを解決するための修復推奨事項を受け取ることができます。特定の設定と個々の検出結果の抑制は、組織の Network Security Director 委任管理者アカウントを介して管理できます。

AWS Shield Network Security Director ポリシーを組織または組織単位にアタッチすると、 AWS Organizations は自動的にポリシーを評価し、定義した範囲に基づいてポリシーを適用します。ポリシー適用ロジックは、特定の競合解決ルールに従います。

• リージョンが有効化リストと無効化リストの両方に表示される場合、無効化設定が優先されます。例えば、リージョンが有効設定と無効設定の両方にリストされている場合、 AWS Shield Network Security Director はそのリージョンで無効になります。

• を有効にするために ALL_SUPPORTEDを指定すると、 AWS Shield Network Security Director は、明示的に無効になっていない限り、現在および将来のすべてのリージョンで有効になります。これにより、 が新しいリージョンに AWS 拡大するにつれて、包括的なカバレッジを維持できます。