翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した堅牢なネットワーク設計 AWS Control Tower
Amazon Web Services (寄稿者)
2024 年 9 月 (ドキュメント履歴)
セキュリティは、あらゆる組織にとって重要な役割を果たします。アプリケーションセキュリティの主な要因の 1 つはネットワークです。ネットワークに抜け穴があると、サイバー犯罪者がアプリケーションを侵害し、システムをコントロールするためのさまざまなオプションを開くことができます。このガイドでは、 AWS Control Tower を使用して AWS Organizations レベルでネットワークを設計する際のベストプラクティスをいくつか定義します。ネットワーク設計の目的は、 でホストされているアプリケーションの管理、セキュリティの向上、保護を容易にすることです AWS クラウド。この目標を達成するために、ネットワーク設計には、単一の集中型ネットワークアカウントからインターネットに出入りするトラフィックの検査、フィルタリング、ログ記録が含まれます AWS。
対象となるアプローチでは、3 つの仮想プライベートクラウド (VPCs) を持つ一元化されたネットワークアカウントを使用します。スポーク VPCsトラフィックとアウトバウンドトラフィックは、 AWS WAF と でフィルタリングされます AWS Network Firewall。 AWS Transit Gateway VPC エンドポイントはトラフィックのルーティングに役立ちます。
前提条件
-
アクティブな AWS アカウント
-
AWS Control Tower のセットアップ
-
Transit Gateway に関する知識
-
ネットワークとネットワークセキュリティに関する知識
一元化されたネットワークアカウント
組織のネットワーク全体を管理する場合は、ネットワークコンポーネントまたはサービスの管理専用の別のアカウントを用意することをお勧めします。まず、ネットワークチームは、ネットワークサービスを管理するためのアカウント (ネットワーク) の作成をリクエストします。新しいアカウントを作成したら、アカウント番号を書き留めます。次に、Amazon Virtual Private Cloud (Amazon VPC) IP Address Manager (IPAM) のコントロール AWS Control Tower を管理アカウントからネットワークアカウントに変更し、IPAM でアカウントの詳細を指定します。
新しく作成されたアカウントは、次のネットワークサービスを管理する一元化されたネットワークアカウントになります。
-
IPAM
-
VPC の構成
-
ネットワークアクセスコントロールリスト (ACL)
-
一元化されたネットワークファイアウォール
-
AWS Transit Gateway
-
VPC エンドポイント設定
-
一元化された DNS 管理
-
集中インバウンドトラフィック
-
AWS WAF
