ネットワークの保護

従業員も顧客も、ユーザーはどこにでも存在する可能性があります。ネットワークにアクセスできる人なら誰でも、何でも信用するという従来のモデルから脱却する必要があります。すべてのレイヤーでセキュリティを適用するという原則はつまり、ゼロトラストアプローチを適用することです。ゼロトラストセキュリティは、アプリケーションのコンポーネントやマイクロサービスを互いに分離して考え、どのコンポーネントやマイクロサービスも他のものを信用しないというモデルです。

ネットワーク設計を慎重に計画し管理することで、ワークロード内のリソースを分離し境界を作るための基礎が形成されます。ワークロードのリソースの多くは VPC 内で動作し、セキュリティのプロパティを継承するため、自動化によって支えられた検査および保護メカニズムで設計をサポートすることが重要です。同様に、純粋なエッジサービスやサーバーレスを使用して VPC の外部で動作するワークロードの場合は、よりシンプルなアプローチでベストプラクティスを適用します。サーバーレスセキュリティに関する具体的なガイダンスについては、「AWS Well-Architected サーバーレスアプリケーションレンズ」を参照してください。

ベストプラクティス

• SEC05-BP01 ネットワークレイヤーを作成する
• SEC05-BP02 ネットワークレイヤー内のトラフィックフローを制御する
• SEC05-BP03 検査に基づく保護を実装する
• SEC05-BP04 ネットワーク保護を自動化する