付録:AWS セキュリティ、ID、コンプライアンスサービス - AWS 規範的ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

付録:AWS セキュリティ、ID、コンプライアンスサービス

簡単なアンケートを実施して、AWSセキュリティリファレンスアーキテクチャ (AWSSRA) のfuture に影響を与えましょう。

概要や復習として、AWS ウェブサイトの「セキュリティ、アイデンティティ、コンプライアンス」を参照してください。クラウド内のワークロードとアプリケーションの保護に役立つ AWS サービスのリストを確認してください。これらのサービスは、データ保護、ID とアクセス管理、ネットワークとアプリケーションの保護、脅威の検出と継続的な監視、コンプライアンスとデータプライバシーの 5 つのカテゴリに分類されます。

データ保護 — AWS は、データ、アカウント、およびワークロードを不正アクセスから保護するのに役立つサービスを提供しています。

  • Amazon Macie: 機械学習によるセキュリティ機能で、機密データの検出、分類、保護を行います。

  • AWS KMS — データの暗号化に使用するキーを作成および管理します。

  • AWS CloudHSM — AWS クラウド内のハードウェアセキュリティモジュール (HSM) を管理します。

  • AWS Certificate Manager — AWS サービスで使用する SSL/TLS 証明書をプロビジョニング、管理、デプロイします。

  • AWS Secrets Manager — データベース認証情報、API キー、その他のシークレットをライフサイクルを通じてローテーション、管理、取得します。 

ID とアクセス管理 — AWS の ID サービスにより、ID、リソース、権限を大規模に安全に管理できます。

  • IAM — AWS のサービスとリソースへのアクセスを安全に制御します。

  • IAM ID センター — 複数の AWS アカウントとビジネスアプリケーションへの SSO アクセスを一元管理します。

  • Amazon Cognito: Web およびモバイルアプリケーションに、ユーザーサインアップ、サインイン、アクセス制御を追加します。

  • AWS Directory Service — AWS クラウドで管理されている Microsoft Active Directory を使用します。

  • AWS Resource Access Manager — AWS リソースを簡単かつ安全に共有します。

  • AWS Organizations — 複数の AWS アカウントにポリシーベースの管理を実装します。

  • Amazon 検証済みアクセス許可 — カスタムアプリケーションにおけるスケーラブルできめ細かな権限と承認を管理します。

ネットワークとアプリケーションの保護 — これらのカテゴリのサービスにより、組織全体のネットワークコントロールポイントにきめ細かなセキュリティポリシーを適用できます。AWS のサービスでは、トラフィックを検査およびフィルタリングして、ホストレベル、ネットワークレベル、アプリケーションレベルの境界での不正なリソースアクセスを防止できます。

  • AWS Shield — マネージド DDoS 保護により、AWS 上で実行されるウェブアプリケーションを保護します。

  • AWS WAF — 一般的なウェブエクスプロイトからウェブアプリケーションを保護し、可用性とセキュリティを確保します。

  • AWS Firewall Manager — AWS アカウントとアプリケーション全体の AWS WAF ルールを一元的に設定および管理します。

  • AWS Systems Manager — Amazon EC2 およびオンプレミスシステムを設定および管理して、OS パッチを適用し、安全なシステムイメージを作成し、安全なオペレーティングシステムを設定します。

  • Amazon VPC — 定義した仮想ネットワークで AWS リソースを起動できる、論理的に分離された AWS セクションをプロビジョニングします。

  • AWS Network Firewall — VPC に不可欠なネットワーク保護をデプロイします。

  • Amazon Route 53 DNS ファイアウォール — VPC からのアウトバウンド DNS リクエストを保護します。

  • AWS Verified Access — 仮想プライベートネットワーク (VPN) を必要とせずに、アプリケーションへの安全なアクセスを提供します。

  • Amazon VPC ラティス — service-to-service 接続、セキュリティ、モニタリングを簡素化します。

脅威の検出と継続的な監視 — AWS の監視および検出サービスは、お客様の AWS 環境内で発生する可能性のあるセキュリティインシデントの特定に役立つガイダンスを提供します。

  • AWS Security Hub — セキュリティアラートを一元的に表示および管理し、コンプライアンスチェックを自動化します。

  • Amazon GuardDuty — インテリジェントな脅威検出と継続的なモニタリングにより、AWS アカウントとワークロードを保護します。

  • Amazon Inspector — セキュリティ評価を自動化して、AWS にデプロイされているアプリケーションのセキュリティとコンプライアンスを向上させます。

  • AWS Config — AWS リソースの設定を記録して評価し、コンプライアンス監査、リソース変更追跡、セキュリティ分析を可能にします。

  • AWS Config Rules — リソースの分離、追加データによるイベントの強化、既知の良好な状態への設定の復元など、環境の変化に応じて自動的にアクションを実行するルールを作成します。

  • AWS CloudTrail — ユーザーアクティビティと API の使用状況を追跡して、AWS アカウントのガバナンス、運用、リスク監査を可能にします。

  • Amazon Detective:セキュリティデータを分析して視覚化し、潜在的なセキュリティ問題の根本原因を迅速に把握できます。

  • AWS Lambda — サーバーのプロビジョニングや管理を行わずにコードを実行できるため、プログラムされた自動化されたインシデント対応を拡張できます。 

コンプライアンスとデータプライバシー — AWS では、お客様のコンプライアンス状況を包括的に把握し、お客様のビジネスが従っている AWS のベストプラクティスと業界標準に基づく自動コンプライアンスチェックを使用して環境を継続的に監視しています。

  • AWS Artifact — 無料のセルフサービスポータルを使用して、AWS のセキュリティおよびコンプライアンスレポート、および一部のオンライン契約にオンデマンドでアクセスできます。

  • AWS Audit Manager — AWS の使用状況を継続的に監査することで、リスクの評価や規制や業界標準への準拠を簡単に行うことができます。