翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
不正アクセスとデータ流出の防止
2022 年のデータ侵害コストレポート
データを保護するための主な考慮事項は次のとおりです。
-
安全な開発環境にアクセスするためのユーザー認証
-
安全な開発環境内のデータへのアクセスに対するユーザー認可
-
安全な開発環境に出入りするすべての転送のログ記録
-
環境間の安全なデータフローの設計
-
転送中および保管中のデータの暗号化
-
アウトバウンドネットワークトラフィックの制限とログ記録
許可を設定する
AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用を認可するかを制御することで、 AWS リソースへのアクセスを安全に管理できます。デフォルトでは、 のアクション AWS は、明示的に許可されない限り、暗黙的に拒否されます。でアクセスを管理する AWS には、 ポリシーを作成します。ポリシーを使用して、どのユーザーがどのリソースにアクセスできるか、それらのリソースに対してどのようなアクションを実行できるかをきめ細かく定義できます。 AWS ベストプラクティスは、最小特権のアクセス許可を適用することです。つまり、タスクの実行に必要なアクセス許可のみをユーザーに付与します。詳細については、IAM ドキュメントの以下を参照してください。
ユーザーの認証
人間のユーザーに、一時的な認証情報を使用して にアクセスするために ID プロバイダーとのフェデレーション AWS の使用を要求するのが AWS ベストプラクティスです。ユーザーワークフォースアクセスを一元化するための推奨サービスは ですAWS IAM Identity Center。このサービスは、ワークフォース ID を安全に作成または接続し、 AWS アカウント およびアプリケーション間で一元的にアクセスを管理するのに役立ちます。IAM Identity Center は、SAML 2.0、Open ID Connect (OIDC)、または OAuth 2.0 を使用して外部 ID プロバイダー (IdPs) とフェデレーションし、シームレスな統合とユーザー管理を提供できます。詳細については、「 (AWS マーケティング) での ID フェデレーション AWS
また、 AWS Directory Serviceを使用して Active Directory などのディレクトリで定義されているユーザーとグループを管理することで、ユーザーを認証および認可することもできます。安全な開発環境内では、Linux ファイルのアクセス許可を使用して、Virtual Private Cloud (VPC) 内のデータアクセスを許可および制限できます。VPC エンドポイントを使用して、パブリックインターネットを経由 AWS のサービス せずに へのアクセスを提供します。エンドポイントポリシーを使用してエンドポイントを使用できる AWS プリンシパルを制限し、アイデンティティベースのポリシーを使用してアクセスを制限します AWS のサービス。
データ転送
AWS には、オンプレミスのデータをクラウドに移行する方法がいくつか用意されています。最初に Amazon Simple Storage Service (Amazon S3) にデータを保存するのが一般的です。Amazon S3 は、任意の量のデータを保存、保護、取得するのに役立つクラウドベースのオブジェクトストレージサービスです。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとの間でデータを転送する場合、最大 25 Gbps の帯域幅を提供します。また、クロスリージョンデータレプリケーションとデータ階層化も提供します。Amazon S3 に保存されているデータは、レプリケーションソースとして機能します。これを使用して、新しいファイルシステムを作成したり、EC2 インスタンスにデータを転送したりできます。Amazon S3 は、 AWS 管理されたポータブルオペレーティングシステムインターフェイス (POSIX) 準拠のファイルシステムのバックエンドとして使用して、ツールやフローを改良できます。
もう 1 つの AWS ストレージサービスは Amazon FSx です。これは、業界標準の接続プロトコルをサポートし、 全体で高可用性とレプリケーションを提供するファイルシステムを提供します AWS リージョン。分子業界の一般的な選択肢には、Amazon FSx for NetApp ONTAP、Amazon FSx for Lustre、Amazon FSx for OpenZFS などがあります。Amazon FSx のスケーラブルで高性能なファイルシステムは、安全な開発環境内でローカルにデータを保存するのに適しています。
AWS では、最初に で AWS ワークロードのストレージ要件を定義し、次に適切なデータ転送メカニズムを特定することをお勧めします。 AWS では、 AWS DataSyncを使用してオンプレミスから にデータを転送することをお勧めします AWS。DataSync は、 AWS ストレージサービスとの間でファイルまたはオブジェクトデータを移動するのに役立つオンラインデータ転送および検出サービスです。セルフマネージドストレージシステムを使用しているか、NetApp などのストレージプロバイダーを使用しているかに応じて、DataSync を設定して、インターネット経由で、または を介して、安全な開発環境へのデータの移動とレプリケーションを高速化できます AWS Direct Connect。DataSync は、所有権、タイムスタンプ、アクセス許可などのファイルシステムデータおよびメタデータを転送できます。FSx for ONTAP と NetApp ONTAP の間でファイルを転送する場合は、NetApp SnapMirror を使用する AWS ことをお勧めします。Amazon FSx は、保管中および転送中の暗号化をサポートしています。AWS CloudTrail およびその他のサービス固有のログ記録機能を使用して、すべての API コールおよび関連するデータ転送をログに記録します。専用アカウントにログを一元化し、変更不可能な履歴のためのきめ細かなアクセスポリシーを適用します。
AWS は、、AWS Network FirewallAmazon Route 53 Resolver DNS Firewall、、AWS WAFウェブプロキシなどのアプリケーション対応ネットワークファイアウォールなど、データフローの制御に役立つ追加サービスを提供します。Amazon Virtual Private Cloud (Amazon VPC)、Network Firewall、Transit Gateway ルートテーブル、および のサービスコントロールポリシー (SCPs) で、セキュリティグループ、ネットワークアクセスコントロールリスト、VPC エンドポイントを使用してネットワークセグメンテーションを強制することで、環境内のデータフローを制御します AWS Organizations。VPC フローログと、VPC フローログのバージョン 2~5 で使用可能なフィールドを使用して、すべてのネットワークトラフィックを一元的にログに記録します。
データの暗号化
AWS Key Management Service (AWS KMS) カスタマーマネージドキーまたは を使用して、保管中のすべてのデータを暗号化しますAWS CloudHSM。詳細なキーリソースポリシーを作成して維持します。詳細については、「Creating an enterprise encryption strategy for data at rest」を参照してください。
業界標準の 256 ビット Advanced Encryption Standard (AES-256) 暗号を使用して TLS 1.2 以上を適用することで、転送中のデータを暗号化します。
アウトバウンドネットワークトラフィックの管理
安全な開発環境でインターネットアクセスが必要な場合は、すべてのアウトバウンドインターネットトラフィックをログに記録し、オープンソースプロキシである Network Firewall や Squid
最後に、Amazon VPC の機能である Network Access Analyzer を使用して、ネットワークセグメンテーションの検証を実行し、指定した要件を満たさない可能性のあるネットワークパスを特定できます。
セキュリティコントロールをレイヤー化することで、堅牢なデータ境界を確立して適用できます。詳細については、「 でのデータ境界の構築 AWS」を参照してください。
