SRA AWS の IoT

このセクションでは、産業および重要なインフラストラクチャ環境で IoT を安全に使用して、ユーザーと組織の生産性と効率を向上させるための推奨事項を提供します。マルチアカウント環境に一連の AWS セキュリティ AWS IoT サービスをデプロイするための AWS SRA の包括的なガイドラインセットに基づくサービスの使用に焦点を当てています。

このガイダンスは、エンタープライズグレードの安全なフレームワーク内で IoT AWS 機能を有効にするために SRA に基づいています。デバイスアイデンティティとアセットインベントリ、IAM アクセス許可、データ保護、ネットワークの分離、脆弱性とパッチの管理、ログ記録、モニタリング、 AWS IoT サービス固有のインシデント対応などの主要なセキュリティコントロールについて説明します。

このガイダンスの対象者には、IoT ソリューションを組織やアプリケーションに安全に統合する責任を負うセキュリティプロフェッショナル、アーキテクト、開発者が含まれます。

AWS IoT の SRA ベストプラクティス

このセクションでは、 AWS ブログ記事「産業用 IoT ソリューションのセキュリティゴールデンルール 10 個」で説明されているベストプラクティスから採用された IoT ワークロードのセキュリティ上の考慮事項とベストプラクティスについて説明します。IoT AWS の SRA のベストプラクティスは次のとおりです。

1. OT および IIoT サイバーセキュリティリスクを評価します。

2. OT (または IIoT) 環境と IT 環境を厳密に分離します。

3. エッジコンピューティング、ネットワークセグメンテーション、セキュリティコンプライアンス、および管理ドメインのブリッジにゲートウェイを使用します。IoT デバイスを強化し、アタックサーフェスを最小限に抑えます。

4. 産業用エッジAWS Direct Connectから AWS Site-to-Site VPNまたは を使用して AWS 、 との安全な接続を確立します。可能な限り VPC エンドポイントを使用します。

5. 可能な限り安全なプロトコルを使用してください。安全でないプロトコルを使用する場合は、可能な限りソースに近い標準化された安全なプロトコルに変換します。

6. ソフトウェアとファームウェアの更新に適した更新メカニズムを定義します。

7. デバイス ID ライフサイクル管理を実装します。認証とアクセスコントロールのメカニズムを適用します。

8. 保管中および転送中のデータを暗号化して、エッジとクラウドで IoT データを保護します。安全なデータ共有、ガバナンス、主権のためのメカニズムを作成します。

9. OT と IIoT にセキュリティ監査とモニタリングのメカニズムをデプロイします。OT (または IIoT) とクラウド全体でセキュリティアラートを一元管理します。

10. インシデント対応プレイブックとビジネス継続性と復旧計画を作成します。計画と手順をテストします。

これらのベストプラクティスを実装するために、このガイダンスでは以下の機能について説明します。

• 機能 1。安全なエッジコンピューティングと接続の提供 (ベストプラクティス 3、4、5)

• 機能 2。環境間の産業用分離ゾーンの提供 (ベストプラクティス 2)

• 機能 3。強力なデバイス ID と安全なデバイスアクセスと管理を提供する (ベストプラクティス 6 と 7)

• 機能 4。データ保護とガバナンスの提供 (ベストプラクティス 8)

• 機能 5。セキュリティモニタリングとインシデント対応の提供 (ベストプラクティス 9 と 10)

このガイダンスの以下のセクションでは、各機能を拡張し、機能とその使用状況について説明し、機能に関連するセキュリティ上の考慮事項について説明し、 AWS のサービス および 機能を使用してセキュリティ上の考慮事項 (修復) に対処する方法について説明します。

次の図に示すアーキテクチャは、このガイドで前に示した AWS SRA 図の拡張です。カスタマーサイトと産業用 IoT エッジ、産業用分離ゾーンアカウント、および AWS パートナーの IoT、IIoT、または OT Software as a Service (SaaS) セキュリティソリューションの要素が追加されました。

図の上部は IIoT エッジアーキテクチャを表しています。これは、SRA に従って構築された下部の AWS クラウド AWS 組織に接続されています。図の下部にある AWS 組織内の各アカウントの説明については、このガイドの前のセクションを参照してください。分離ゾーンアカウントは、SRA AWS 構造内の追加の共有サービスアカウントとして扱われることに注意してください。このアカウントは、IoT 関連のネットワークおよび通信サービスを実装するために使用されます。このサービスは、IoT 関連の処理も含まれる複数のワークロードアカウントで使用されます。分離ゾーンアカウントは、 AWS SRA のネットワークアカウントへのピアと見なすことができます。IIoT エッジ環境に固有の共有ネットワークおよび通信プロセスを管理するために使用されます。図に示すサービスに加えて、分離ゾーンアカウントには、 AWS Security Hub CSPM、Amazon GuardDuty、Amazon CloudWatch AWS Config、 などの一般的なセキュリティサービスがいくつか含まれています AWS CloudTrail。

ほとんどのお客様にとって、IoT、IIoT、OT ワークロード専用の OUs を持つ単一の AWS 組織で十分です。リファレンスアーキテクチャに示すように、分離ゾーンと、複数の AWS アカウント AWS Organizations、VPCs、ネットワーク設定で提供される機能を使用して、OT (または IIoT) 環境を IT 環境から分離できます。

カスタマーサイトと産業エッジ

顧客サイトと産業 IoT エッジとは、産業環境と OT 環境にデプロイされた特殊なコンピューティングインフラストラクチャを指し、安全なデータ収集、処理、およびデータ生成のソースに近い接続を可能にします。この概念は、重要なインフラストラクチャ環境と産業環境の固有の課題に対処し、複数のサイトにまたがる分散運用をサポートします。

製造業界のリファレンスアーキテクチャモデルである Purdue モデルを適用して、次のように顧客サイトと産業エッジのコンテキストでさまざまなレベルを実装できます。

• レベル 0～2 – フィールドデバイスとローカル監視制御： 産業用機器、センサー、アクチュエータは、産業用プロトコルコンバータとデータダイオードを使用して接続されます。場合によっては、 AWS IoT SiteWise Edge を実行するパートナーエッジゲートウェイがデプロイされ、レベル 2 で特殊なローカルデータ取得と処理のユースケースが可能になります。

• レベル 3 – サイトオペレーション： パートナーアプライアンスとセキュリティセンサーを統合して、アセット検出、脆弱性検出、ネットワークセキュリティモニタリングをサポートできます。 AWS IoT Greengrass および Edge に基づく AWS IoT SiteWise エッジゲートウェイは、ローカルデータの取得と処理を可能にするためにデプロイされます。

• レベル 3.5 – 産業分離ゾーン： 産業分離ゾーンは、IT と OT の境界を表し、OT と IT ネットワーク間の通信を制御します。プロキシ、ファイアウォール、一方向ゲートウェイなどのクラウドアクセスおよびインターネットアクセスサービスは、必要な接続とデータフローを仲介するためにこのレイヤーにデプロイされます。

• レベル 4～5 – IT ネットワーク： クラウドへの安全な接続は、 AWS Site-to-Site VPN または を使用して確立されます AWS Direct Connect。 AWS PrivateLink VPC エンドポイントは、 AWS リソースへのプライベートアクセスに使用されます。

AWS 組織

IoT、IIoT、または OT ワークロード用のワークロード OU は、他のワークロード固有の OUs と一緒に作成されます。この OU は、関連 AWS IoT サービスを使用して IoT、IIoT、OT 統合ソリューションを構築およびデプロイするアプリケーション専用です。OU には、必要なビジネス機能を提供するソリューションをホストするアプリケーションアカウント (前のアーキテクチャ図を参照) が含まれています。アプリケーションタイプ AWS のサービス に基づいてグループ化すると、OU 固有および AWS アカウント固有のサービスコントロールポリシーを通じてセキュリティコントロールを適用できます。

このアプローチにより、強力なアクセスコントロールと最小特権の実装も容易になります。これらの特定の OU とアカウントに加えて、リファレンスアーキテクチャには、すべてのアプリケーションタイプに適用される基本的なセキュリティ機能を提供する追加の OUs とアカウントが含まれています。組織管理、セキュリティツール、ログアーカイブ、ネットワークアカウントについては、このガイドの前のセクションで説明します。これらのアカウントには、IoT ワークロードに関連するいくつかの追加があります。

• ネットワークアカウントには AWS Direct Connect、、 AWS Site-to-Site VPN、 のプロビジョニングが含まれます AWS Transit Gateway。また、 に接続するための選択したアプローチ AWS クラウドに応じて、WAN AWS クラウド を使用して運用アセット間でグローバルネットワークを作成する可能性も提供します。詳細については、このガイドの前半の「インフラストラクチャ OU – ネットワークアカウント」セクションを参照してください。

• 産業用分離アカウントは、顧客サイトまたは産業用 IoT エッジ (レベル 3.5) にデプロイされるサービス (パッチ適用、ウイルス対策、リモートアクセスサービスなど) をデプロイするオプションを提供します。このアカウントは、サイト、産業用 IoT エッジ、 間の堅牢な接続を含むシナリオをサポートします AWS クラウド。これらのサービスは IoT 産業用エッジのサービスに固有であり、レイヤードネットワーキングモデルのインターネット側ではなくエッジ側で検討できます。  

の産業用分離アカウントのホスティングサービスは、オンプレミスソリューションと比較して柔軟性、スケーラビリティ、セキュリティ、統合機能 AWS を強化し、産業用エッジオペレーションをより効率的かつ柔軟に管理できます。例えば、Amazon AppStream 2.0 を使用してエンドユーザーアプリケーションへのストリーミングアクセスを提供し、Amazon GuardDuty Malware Protection for S3 を使用して、IT 環境と OT 環境にまたがる安全なファイル交換ソリューションの一部としてマルウェアスキャン機能を提供できます。産業分離アカウントは、 などのネットワークアカウントの共有接続コンストラクトを使用してAWS Transit Gateway、目的のオンプレミスリソースに必要な接続を取得します。 

注記

このネットワークアカウントは、産業用 IoT エッジと、SRA に従って管理される 内で実行される企業ネットワークとの間のバッファとして機能するため、産業用分離というラベルが付けられ AWS アカウント ています。 IoT AWS このようにして、アカウントは産業エッジと企業ネットワークの間にあるタイプのエッジを形成します。これは、SRA AWS のネットワークアカウントが AWS クラウド （ワークロードアカウント) で実行されているワークロードと、インターネットと企業のオンプレミス IT ネットワークの両方との間のバッファとして機能する方法に似ています。

パートナー IoT、IIoT、OT SaaS ソリューション

AWS Partner ソリューションは、IoT、IIoT、OT、クラウド環境全体のセキュリティモニタリングと脅威検出を強化する上で重要な役割を果たします。からのネイティブ IoT エッジおよびクラウドセキュリティサービスを補完 AWS し、一連の特殊な検出およびモニタリング機能を通じて、より包括的なセキュリティ体制を提供します。これらの特殊な OT および IIoT セキュリティモニタリング機能と からのより広範なクラウドセキュリティサービスの統合 AWS は、Security Hub CSPM や Amazon Security Lake などの AWS サービスを通じて実現されます。これらのソリューションは、 AWS 組織内のアプリケーションアカウント内にデプロイできます。また、インターネット上の他の場所でホストされ、サードパーティーによって管理されている SaaS ソリューションを使用することもできます。場合によっては、これらのサードパーティーソリューションも実行されます AWS。このシナリオは、IAM ベースのアクセス許可管理と AWS特定のネットワーク接続の最適化を容易にします。それ以外の場合、これらのサービスへの接続は SaaS ソリューションの要件に従って設定されます。

これらの追加により、産業環境向けに特別にカスタマイズされ、 AWS クラウド および AWS IoT サービスと統合された、より堅牢で安全で柔軟なアーキテクチャが可能になります。SRA アーキテクチャの IoT AWS コンポーネントは、プロトコルの多様性、産業用エッジ処理要件、OT システムと IT システム間のシームレスな統合の必要性など、産業環境固有の課題に対処します。