テーマ 3: 自動化による変更可能なインフラストラクチャの管理

対象となる Essential Eight 戦略

アプリケーションコントロール、パッチアプリケーション、パッチオペレーティングシステム

イミュータブルインフラストラクチャと同様に、変更可能なインフラストラクチャを IaC として管理し、自動化プロセスを通じてこのインフラストラクチャを変更または更新します。イミュータブルインフラストラクチャの実装手順の多くは、ミュータブルインフラストラクチャにも適用されます。ただし、変更可能なインフラストラクチャでは、手動でコントロールを実装して、変更されたワークロードが引き続きベストプラクティスに従っていることを確認する必要があります。

変更可能なインフラストラクチャでは、の一機能であるパッチマネージャーを使用してパッチ管理を自動化できます AWS Systems Manager。 AWS 組織内のすべてのアカウントで Patch Manager を有効にします。

SSH および RDP への直接アクセスを禁止し、ユーザーが Session Manager または Run Command を使用することを要求します。これは Systems Manager の機能でもあります。SSH や RDP とは異なり、これらの機能はシステムアクセスと変更を記録できます。

コンプライアンスをモニタリングして報告するには、パッチコンプライアンスを継続的に確認する必要があります。 AWS Config ルールを使用して、すべての Amazon EC2 インスタンスが Systems Manager によって管理され、必要なアクセス許可とインストールされたアプリケーションがあり、パッチに準拠していることを確認できます。

AWS Well-Architected フレームワークの関連するベストプラクティス

• SEC06-BP03 手動管理とインタラクティブアクセスを削減する

• SEC06-BP05 コンピューティング保護を自動化する

このテーマの実装

パッチ適用の自動化

• 「組織内のすべてのアカウントでパッチマネージャーを有効にする」の手順を実装します。 AWS

• すべての EC2 インスタンスについて、Systems Manager がインスタンスにアクセスするために使用するインスタンスプロファイルまたは IAM ロールAmazonSSMManagedInstanceCoreに CloudWatchAgentServerPolicyと を含めます。

手動プロセスではなくオートメーションを使用する

• 「 での AMI とコンテナビルドパイプラインの実装」のガイダンスを実装する テーマ 2: 安全なパイプラインを通じてイミュータブルなインフラストラクチャを管理する

• 直接 SSH または RDP アクセスの代わりに Session Manager または Run Command を使用する https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html

オートメーションを使用して EC2 インスタンスに以下をインストールする

• AWS Systems Manager エージェント (SSM Agent)。インスタンスの検出と管理に使用されます。

• Security Enhanced Linux (SELinux) (GitHub)、ファイルアクセスポリシーデーモン (fapolicyd) (GitHub)、OpenSCAP などのアプリケーション制御用のセキュリティツール

• ログ記録に使用される Amazon CloudWatch エージェント

リリース前にピアレビューを使用して、変更がベストプラクティスを満たしていることを確認する

• ワイルドカードを使用するポリシーなど、許可が広すぎる IAM ポリシー

• ワイルドカードを使用したり、SSH アクセスを許可したりするなど、許可が広すぎるセキュリティグループルール

• 有効になっていないアクセスログ

• 有効になっていない暗号化

• パスワードリテラル

• 安全な IAM ポリシー

ID レベルのコントロールを使用する

• ユーザーが自動プロセスを通じてリソースを変更し、手動設定を防ぐように要求するには、ユーザーが引き受けることができるロールに読み取り専用アクセス許可を付与します。

• Systems Manager が使用するロールなど、サービスロールにのみリソースを変更する許可を付与する

脆弱性スキャンの実装

• 「 で脆弱性スキャンを実装する」のガイダンスを実装する テーマ 2: 安全なパイプラインを通じてイミュータブルなインフラストラクチャを管理する

• Amazon Inspector を使用して EC2 インスタンスをスキャンする

このテーマのモニタリング

パッチコンプライアンスを継続的にモニタリングする

• オートメーションとダッシュボードを使用してパッチコンプライアンスを報告する

• パッチコンプライアンスのダッシュボードを確認するメカニズムを実装する

IAM とログを継続的にモニタリングする

• IAM ポリシーを定期的に見直して、以下を確認してください。

  • デプロイパイプラインのみが リソースに直接アクセスできる

  • 承認されたサービスのみがデータに直接アクセスできる

  • ユーザーがリソースやデータに直接アクセスできない

• AWS CloudTrail ログをモニタリングして、ユーザーがパイプラインを介してリソースを変更し、リソースを直接変更したり、データにアクセスしたりしていないことを確認します。

• AWS Identity and Access Management Access Analyzer 検出結果を定期的に確認する

• のルートユーザー認証情報 AWS アカウント が使用された場合に通知するアラートを設定する

次の AWS Config ルールを実装する

• EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

• EC2_INSTANCE_MANAGED_BY_SSM

• EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent

• EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps

• IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM

• EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

• REQUIRED_TAGS

• RESTRICTED_INCOMING_TRAFFIC - 22, 3389