翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
を使用した堅牢なネットワーク設計 AWS Control Tower
Amazon Web Services (寄稿者 )
2023 年 12 月 (ドキュメント履歴)
セキュリティはあらゆる組織にとって重要な役割を果たします。アプリケーションセキュリティの主な要素の 1 つはネットワークです。ネットワークに抜け穴があると、サイバー犯罪者がアプリケーションを侵害し、システムをコントロールするためのさまざまなオプションを開くことができます。このガイドでは、 AWS Control Tower を使用して AWS Organizations レベルでネットワークを設計する際のベストプラクティスをいくつか定義します。ネットワーク設計の目標は、 でホストされているアプリケーションの管理、セキュリティの向上、保護を容易にすることです AWS クラウド。この目標を達成するために、ネットワーク設計には、 の単一の集中型ネットワークアカウントからインターネットに出入りするトラフィックの検査、フィルタリング、ログ記録が含まれます AWS。
対象となるアプローチでは、3 つの仮想プライベートクラウド (VPCsを持つ集中型ネットワークアカウントを使用します。スポーク VPCsトラフィックとアウトバウンドトラフィックは、 AWS WAF と によってフィルタリングされます AWS Network Firewall。 AWS Transit Gateway VPC エンドポイントはトラフィックのルーティングに役立ちます。
前提条件
-
アクティブな AWS アカウント
-
AWS Control Tower のセットアップ
-
Transit Gateway に関する知識
-
ネットワークとネットワークセキュリティに関する知識
一元化されたネットワークアカウント
組織のネットワーク全体を管理する場合は、ネットワークコンポーネントまたはサービスの管理専用の別のアカウントを用意することをお勧めします。まず、ネットワークチームは、ネットワークサービスを管理するためのアカウント (ネットワーク) の作成をリクエストします。新しいアカウントを作成したら、アカウント番号を書き留めます。次に、Amazon Virtual Private Cloud (Amazon VPC) IP Address Manager (IPAM) のコントロールを管理 AWS Control Tower アカウントからネットワークアカウントに、IPAM でアカウントの詳細を指定して変更します。
新しく作成されたアカウントは、次のネットワークサービスを管理する一元化されたネットワークアカウントになります。
-
IPAM
-
VPC の構成
-
ネットワークアクセスコントロールリスト (ACL)
-
一元化されたネットワークファイアウォール
-
AWS Transit Gateway
-
VPC エンドポイント設定
-
一元化された DNS 管理
-
集中型インバウンドトラフィック
-
AWS WAF