AWS SRA のコードリポジトリの例 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS SRA のコードリポジトリの例

簡単な調査を行い、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。 https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua

AWS SRA でガイダンスの構築と実装を開始する際に役立つように、https://github.com/aws-samples/aws-security-reference-architecture-examples の Infrastructure as Code (IaC) リポジトリにこのガイドが付属しています。このリポジトリには、デベロッパーやエンジニアがこのドキュメントに記載されているガイダンスとアーキテクチャパターンの一部をデプロイするのに役立つコードが含まれています。このコードは、AWS プロフェッショナルサービスコンサルタントがお客様を直接体験することに基づいています。テンプレートは一般的なものであり、完全なソリューションを提供するのではなく、実装パターンを説明することが目的です。AWS のサービス設定とリソースのデプロイは、意図的に非常に制限されています。これらのソリューションは、環境やセキュリティのニーズに合わせて変更および調整する必要がある場合があります。

AWS SRA コードリポジトリは、AWS CloudFormation と Terraform の両方のデプロイオプションを含むコードサンプルを提供します。ソリューションパターンは 2 つの環境をサポートします。1 つは AWS Control Tower を必要とし、もう 1 つは AWS Control Tower を使用しない AWS Organizations を使用します。AWS Control Tower を必要とするこのリポジトリ内のソリューションは、AWS および AWS Control Tower のカスタマイズ (CfCT) を使用して AWS Control Tower 環境内でデプロイ CloudFormation およびテストされています。AWS Control Tower を必要としないソリューションは、AWS を使用して AWS Organizations 環境内でテストされています CloudFormation。CfCT ソリューションは、AWS のベストプラクティスに基づいて、安全なマルチアカウント AWS 環境を迅速にセットアップするのに役立ちます。アカウントとリソースの作成を通じて初期セキュリティベースラインを実装しながら、安全でスケーラブルなワークロードを実行する環境のセットアップを自動化することで、時間を節約できます。AWS Control Tower は、マルチアカウントアーキテクチャ、ID とアクセスの管理、ガバナンス、データセキュリティ、ネットワーク設計、ログ記録を開始するためのベースライン環境も提供します。AWS SRA リポジトリのソリューションは、このドキュメントで説明されているパターンを実装するための追加のセキュリティ設定を提供します。

AWS SRA リポジトリ のソリューションの概要を次に示します。各ソリューションには、詳細を含む README.md ファイルが含まれています。 

  • CloudTrail Organization ソリューションは、組織管理アカウント内に組織の証跡を作成し、監査アカウントや Security Tooling アカウントなどのメンバーアカウントに管理を委任します。この証跡は、Security Tooling アカウントで作成されたカスタマーマネージドキーで暗号化され、ログアーカイブアカウントの S3 バケットにログを配信します。オプションで、Amazon S3 および AWS Lambda 関数に対してデータイベントを有効にできます。組織の証跡は、メンバーアカウントが設定を変更できないようにしながら、AWS 組織内のすべての AWS アカウントのイベントをログに記録します。

  • GuardDuty Organization ソリューションでは、Security Tooling アカウントに管理を委任 GuardDuty することで Amazon を有効にします。これは、すべての既存および将来の AWS 組織アカウントの Security Tooling アカウント GuardDuty 内で設定します。また、検出結果は GuardDutyKMS キーで暗号化され、ログアーカイブアカウントの S3 バケットに送信されます。

  • Security Hub Organization ソリューションは、Security Tooling アカウントに管理を委任することで AWS Security Hub を設定します。Security Tooling アカウント内で、既存の AWS 組織アカウントと将来の AWS 組織アカウントすべてに対して Security Hub を設定します。このソリューションは、すべてのアカウントとリージョンで有効なセキュリティ標準を同期し、Security Tooling アカウント内でリージョンアグリゲータを設定するためのパラメータも提供します。Security Tooling アカウント内の Security Hub を一元化すると、セキュリティ標準のコンプライアンスと、AWS サービスとサードパーティーの AWS パートナー統合の両方の結果をクロスアカウントで確認できます。

  • Inspector ソリューションは、AWS 組織のすべてのアカウントと管理対象リージョンについて、委任管理者 (セキュリティツール) アカウント内で Amazon Inspector を設定します。

  • Firewall Manager ソリューションは、Security Tooling AWS Firewall Manager AWS WAF Firewall Manager セキュリティポリシーを設定します。セキュリティグループポリシーには、ソリューションによってデプロイされる VPC (既存またはソリューションによって作成された) 内の最大許容セキュリティグループが必要です。

  • Macie Organization ソリューションでは、Security Tooling アカウントに管理を委任することで Amazon Macie を有効にします。これは、すべての既存および将来の AWS 組織アカウントに対して、Security Tooling アカウント内で Macie を設定します。Macie は、KMS キーで暗号化された中央の S3 バケットにディスカバリ結果を送信するようにさらに構成されています。

  • AWS Config

    • Config Aggregator ソリューションは、Security Tooling アカウントに管理を委任することで AWS Config アグリゲータを設定します。次に、このソリューションは、AWS 組織内のすべての既存および将来のアカウントに対して、Security Tooling アカウント内で AWS Config アグリゲータを設定します。

    • コンフォーマンスパック組織ルールソリューションは、Security Tooling アカウントに管理を委任することで AWS Config ルールをデプロイします。次に、AWS 組織内のすべての既存および将来のアカウントの委任管理者アカウント内に組織コンフォーマンスパックを作成します。このソリューションは、暗号化およびキー管理コンフォーマンスパックのサンプルテンプレートの運用のベストプラクティスをデプロイするように設定されています。

    • AWS Config Control Tower 管理アカウントソリューションは、AWS Configで AWS Config を有効にし、Security Tooling アカウント内の AWS Config アグリゲータを適宜更新します。このソリューションでは、AWS Control Tower CloudFormation テンプレートを使用して AWS Config をリファレンスとして有効にし、AWS 組織内の他のアカウントとの整合性を確保します。

  • IAM

    • Access Analyzer ソリューションでは、Security Tooling アカウントに管理を委任することで、AWS IAM Access Analyzer を有効にします。次に、AWS 組織内のすべての既存および将来のアカウントについて、Security Tooling アカウント内で組織レベルの Access Analyzer を設定します。このソリューションは、アカウントレベルのアクセス許可の分析をサポートするために、すべてのメンバーアカウントとリージョンにも Access Analyzer をデプロイします。

    • IAM パスワードポリシーソリューションは、AWS 組織内のすべてのアカウント内の AWS アカウントのパスワードポリシーを更新します。このソリューションは、業界標準のコンプライアンス基準に準拠できるようにパスワードポリシー設定を構成するためのパラメータを提供します。

  • EC2 デフォルト EBS 暗号化ソリューションは、AWS 組織内の各 AWS アカウントと AWS リージョン内で、アカウントレベルのデフォルトの Amazon EBS 暗号化を有効にします。これにより、作成した新しい EBS ボリュームとスナップショットの暗号化が強制されます。例えば、Amazon EBS は、インスタンスの起動時に作成される EBS ボリュームと、暗号化されていないスナップショットからコピーするスナップショットを暗号化します。

  • S3 ブロックアカウントパブリックアクセスソリューションは、AWS 組織内の各 AWS アカウント内で Amazon S3 アカウントレベルの設定を有効にします。Amazon S3 のパブリックアクセスブロック機能は、Amazon S3 のリソースへのパブリックアクセスの管理に役立つ、アクセスポイント、バケット、アカウントの設定を提供します。デフォルトでは、新しいバケット、アクセスポイント、およびオブジェクトはパブリックアクセスを許可しません。ただし、ユーザーはバケットポリシー、アクセスポイントポリシー、またはオブジェクトのアクセス許可を変更することで、パブリックアクセスを許可できます。Amazon S3 のパブリックアクセスブロック設定は、これらのポリシーとアクセス許可を上書きして、これらのリソースへのパブリックアクセスを制限できるようにします。

  • Detective Organization ソリューションでは、管理をアカウント (Audit アカウントや Security Tooling アカウントなど) に委任し、既存および将来のすべての AWS Organization アカウントに対して Detective を設定することで、Amazon Detective の有効化を自動化します。

  • Shield Advanced ソリューションは、AWS Shield Advanced のデプロイを自動化して、AWS 上のアプリケーションに強化された DDoS 保護を提供します。

  • AMI Bakery Organization ソリューションは、標準の強化された Amazon マシンイメージ (AMI) イメージの構築と管理のプロセスを自動化するのに役立ちます。これにより、AWS インスタンス間の一貫性とセキュリティが確保され、デプロイとメンテナンスのタスクが簡素化されます。