インフラストラクチャを保護するためのセキュリティコントロールの推奨事項 - AWS 規範ガイダンス
CloudFront のデフォルトルートオブジェクトアプリケーションコードのスキャンネットワークレイヤーを作成する許可されたポートのみを使用するSystems Manager ドキュメントへのパブリックアクセスLambda 関数へのパブリックアクセスデフォルトのセキュリティグループを更新する脆弱性とネットワークの露出をスキャンするセットアップ AWS WAFDDoS 攻撃に対する高度な保護ネットワークトラフィックの制御

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インフラストラクチャを保護するためのセキュリティコントロールの推奨事項

インフラストラクチャ保護は、すべてのセキュリティプログラムの主要部分です。これには、ネットワークとコンピューティングリソースの保護に役立つ制御方法論が含まれています。インフラストラクチャ保護の例としては、信頼境界、defense-in-depthアプローチ、セキュリティ強化、パッチ管理、オペレーティングシステムの認証と認可などがあります。詳細については、 AWS Well-Architected フレームワークの「インフラストラクチャの保護」を参照してください。このセクションのセキュリティコントロールは、インフラストラクチャ保護のベストプラクティスを実装するのに役立ちます。

CloudFront ディストリビューションのデフォルトのルートオブジェクトを指定する

Amazon CloudFront は、世界中のデータセンターネットワークを通じて配信することで、ウェブコンテンツの配信を高速化します。これにより、レイテンシーが減少し、パフォーマンスが向上します。デフォルトルートオブジェクトを定義しない場合、ディストリビューションのルートの要求はオリジンサーバーに渡されます。Amazon Simple Storage Service (Amazon S3) オリジンを使用している場合、リクエストは S3 バケット内のコンテンツのリストまたはオリジンのプライベートコンテンツのリストを返すことがあります。デフォルトのルートオブジェクトを指定すると、ディストリビューションのコンテンツが公開されるのを防ぐことができます。

詳細については、以下のリソースを参照してください。

アプリケーションコードをスキャンして一般的なセキュリティ問題を特定する

AWS Well-Architected フレームワークでは、ライブラリと依存関係をスキャンして問題や欠陥がないか確認することをお勧めします。ソースコードのスキャンに使用できるソースコード分析ツールは多数あります。例えば、Amazon CodeGuru は、 Javaまたは Pythonアプリケーションの一般的なセキュリティ上の問題をスキャンし、修復に関する推奨事項を提供できます。

詳細については、以下のリソースを参照してください。

専用 VPCs とサブネットを使用してネットワークレイヤーを作成する

AWS Well-Architected フレームワークでは、機密性要件を共有するコンポーネントをレイヤーにグループ化することをお勧めします。これにより、不正アクセスの潜在的な影響範囲が最小限に抑えられます。例えば、インターネットアクセスを必要としないデータベースクラスターは、インターネットとの間のルートがないことを確認するために、VPC のプライベートサブネットに配置する必要があります。

AWS は、パブリック到達可能性のテストと特定に役立つ多くのサービスを提供します。例えば、Reachability Analyzer は、VPCs 内の送信元リソースと送信先リソース間の接続をテストするのに役立つ設定分析ツールです。また、Network Access Analyzer は、 リソースへの意図しないネットワークアクセスを特定するのに役立ちます。

詳細については、以下のリソースを参照してください。

受信トラフィックを許可されたポートのみに制限する

0.0.0.0/0 送信元 IP アドレスからのトラフィックなどの無制限のアクセスは、ハッキング、denial-of-service (DoS) 攻撃、データ損失などの悪意のあるアクティビティのリスクを高めます。セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングします。セキュリティグループでは、SSH やWindowsリモートデスクトッププロトコル (RDP) などのよく知られているポートへの無制限の進入アクセスを許可しないでください。インバウンドトラフィックの場合、セキュリティグループで、許可されたポートで TCP または UDP 接続のみを許可します。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに接続するには、直接 SSH または RDP アクセスの代わりに Session Manager または Run Command を使用します。 https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html

詳細については、以下のリソースを参照してください。

Systems Manager ドキュメントへのパブリックアクセスをブロックする

ユースケースでパブリック共有を有効にする必要がある場合を除き、 AWS Systems Manager ベストプラクティスでは、Systems Manager ドキュメントのパブリック共有をブロックすることをお勧めします。パブリック共有は、ドキュメントへの意図しないアクセスを提供する場合があります。パブリック Systems Manager ドキュメントは、アカウント、リソース、および内部プロセスに関する重要で機密性の高い情報を公開する可能性があります。

 詳細については、以下のリソースを参照してください。

Lambda 関数へのパブリックアクセスをブロックする

AWS Lambda は、サーバーのプロビジョニングや管理を行うことなくコードを実行できるコンピューティングサービスです。Lambda 関数は、関数コードへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできません。

Lambda 関数のリソースベースのポリシーを設定して、 アカウントの外部からのアクセスを拒否することをお勧めします。これを実現するには、アクセス許可を削除するか、アクセスを許可する ステートメントに AWS:SourceAccount条件を追加します。Lambda API または AWS Command Line Interface () を使用して、Lambda 関数のリソースベースのポリシーを更新できますAWS CLI。

また、[Lambda.1] Lambda 関数ポリシーを有効にして、パブリックアクセスコントロールを禁止することをお勧めします AWS Security Hub。このコントロールは、Lambda 関数のリソースベースのポリシーがパブリックアクセスを禁止することを検証します。

詳細については、以下のリソースを参照してください。

デフォルトのセキュリティグループのインバウンドトラフィックとアウトバウンドトラフィックを制限する

AWS リソースをプロビジョニングするときにカスタムセキュリティグループを関連付けない場合、リソースは VPC のデフォルトのセキュリティグループに関連付けられます。このセキュリティグループのデフォルトルールでは、このセキュリティグループに割り当てられたすべてのリソースからのすべてのインバウンドトラフィックを許可し、すべてのアウトバウンド IPv4 および IPv6 トラフィックを許可します。これにより、リソースへの意図しないトラフィックが許可される場合があります。

AWS では、デフォルトのセキュリティグループを使用しないことをお勧めします。代わりに、特定のリソースまたはリソースグループ用のカスタムセキュリティグループを作成します。

デフォルトのセキュリティグループは削除できないため、デフォルトのセキュリティグループルールを変更してインバウンドトラフィックとアウトバウンドトラフィックを制限することをお勧めします。セキュリティグループルールを設定するときは、最小特権の原則に従います。

また、[EC2.2] VPC のデフォルトのセキュリティグループを有効にして、Security Hub でインバウンドまたはアウトバウンドのトラフィック制御を許可しないようにすることをお勧めします。このコントロールは、VPC のデフォルトのセキュリティグループがインバウンドトラフィックとアウトバウンドトラフィックを拒否することを検証します。

詳細については、以下のリソースを参照してください。

ソフトウェアの脆弱性と意図しないネットワークへの露出をスキャンする

すべてのアカウントで Amazon Inspector を有効にすることをお勧めします。Amazon Inspector は、Amazon EC2 インスタンス、Amazon Elastic Container Registry (Amazon ECR) コンテナイメージ、Lambda 関数を継続的にスキャンして、ソフトウェアの脆弱性や意図しないネットワークへの露出を検出する脆弱性管理サービスです。また、Amazon EC2 インスタンスの詳細な検査もサポートしています。Amazon Inspector が脆弱性またはオープンネットワークパスを特定すると、調査できる検出結果が生成されます。Amazon Inspector と Security Hub の両方がアカウントで設定されている場合、Amazon Inspector は自動的にセキュリティ検出結果を Security Hub に送信して一元管理を行います。

詳細については、以下のリソースを参照してください。

セットアップ AWS WAF

AWS WAF は、Amazon API Gateway API、Amazon CloudFront ディストリビューション、Application Load Balancer などの保護されたウェブアプリケーションリソースに転送される HTTP または HTTPS リクエストをモニタリングおよびブロックするのに役立つウェブアプリケーションファイアウォールです。 APIs 指定した基準に基づいて、サービスはリクエストされたコンテンツ、HTTP 403 ステータスコード (禁止)、またはカスタムレスポンスでリクエストに応答します。 AWS WAF は、可用性に影響を与えたり、セキュリティを侵害したり、過剰なリソースを消費したりする可能性のある一般的なウェブエクスプロイトからウェブアプリケーションまたは APIs を保護するのに役立ちます。 AWS WAF AWS アカウント で を設定し、 AWS マネージドルール、カスタムルール、パートナー統合を組み合わせて使用して、アプリケーションレイヤー (レイヤー 7) 攻撃からアプリケーションを保護することを検討してください。

詳細については、以下のリソースを参照してください。

DDoS 攻撃に対する高度な保護を設定する

AWS Shield は、ネットワークレイヤーとトランスポートレイヤー (レイヤー 3 と 4) およびアプリケーションレイヤー (レイヤー 7) の AWS リソースに対する分散型サービス拒否 (DDoS) 攻撃に対する保護を提供します。このサービスには、 AWS Shield Standard と の 2 つのオプションがあります AWS Shield Advanced。Shield Standard は、サポートされている AWS リソースを追加料金なしで自動的に保護します。

Shield Advanced にサブスクライブすることをお勧めします。Shield Advanced は、保護されたリソースに対する DDoS 攻撃に対する保護を強化します。Shield Advanced から受け取る保護は、アーキテクチャと設定の選択によって異なります。次のいずれかが必要なアプリケーションには、Shield Advanced 保護を実装することを検討してください。

  • アプリケーションのユーザーに保証された可用性。

  • DDoS 攻撃によってアプリケーションが影響を受ける場合における、DDoS 緩和のエキスパートへの迅速なアクセス。

  • アプリケーションが DDoS 攻撃の影響を受ける可能性があることを AWS が認識し、AWS からの攻撃の通知と、セキュリティチームまたは運用チームへのエスカレーション。

  • DDoS 攻撃が の使用に影響する場合など、クラウドコストの予測可能性 AWS のサービス。

詳細については、以下のリソースを参照してください。

defense-in-depthアプローチを使用してネットワークトラフィックを制御する

AWS Network Firewall は、 の仮想プライベートクラウド (VPCs) 用のステートフルでマネージド型のネットワークファイアウォールおよび侵入検知および防止サービスです AWS クラウド。これは、VPC の境界に重要なネットワーク保護をデプロイするのに役立ちます。これには、インターネットゲートウェイ、NAT ゲートウェイ、または VPN または を介したトラフィックの送受信のフィルタリングが含まれます AWS Direct Connect。Network Firewall には、一般的なネットワーク脅威からの保護に役立つ機能が含まれています。Network Firewall のステートフルファイアウォールは、接続やプロトコルなどのトラフィックフローからのコンテキストを組み込み、ポリシーを適用できます。

詳細については、以下のリソースを参照してください。