SEC11-BP06 ソフトウェアをプログラムでデプロイする - セキュリティの柱
実装のガイダンスリソース

SEC11-BP06 ソフトウェアをプログラムでデプロイする

可能な場合は、ソフトウェアのデプロイをプログラムで行います。この手法により、デプロイに失敗したり、人的エラーにより予期しない問題が発生したりする可能性を低減できます。

期待される成果: AWS クラウド でセキュアに構築するためには、原則としてデータへの人的関与を排除します。この原則には、ソフトウェアのデプロイ方法も含まれます。

ソフトウェアのデプロイにおいて人的な依存を排除することで、テスト済みのソフトウェアがデプロイされ、デプロイが常に一貫して実行されるという信頼性を大幅に高めることができます。異なる環境で動作させるために、ソフトウェアを変更する必要はありません。12 要素のアプリケーション開発の原則、具体的には構成の外部化の原則を用いることで、変更を必要とすることなく、複数の環境に同じコードをデプロイすることができます。暗号化を用いたソフトウェアパッケージの署名は、環境間で変更がないことを証明するための便利な手法です。このアプローチによって、変更プロセスでのリスクを低減し、ソフトウェアリリースの一貫性を向上させることができます。

一般的なアンチパターン:

  • 本稼働環境にソフトウェアを手動でデプロイする。

  • 環境に合わせて手動でソフトウェアに変更を加える。

このベストプラクティスを活用するメリット:

  • ソフトウェアリリースプロセスの信頼性の向上。

  • 変更の失敗がビジネスの機能性に与えるリスクの低減。

  • 変更リスクの低減によるリリース頻度の向上。

  • デプロイ中に予期しないイベントが発生した場合の自動ロールバック機能。

  • テスト済みのソフトウェアとデプロイされたソフトウェアが同じであることを暗号化によって証明する能力。

このベストプラクティスが確立されていない場合のリスクレベル:

実装のガイダンス

持続的な人的アクセスを環境から排除するために AWS アカウント 構造を構築し、CI/CD ツールを使用してデプロイを実施します。環境固有のデータを AWS Systems Manager Parameter Store などの外部ソースから取得するようにアプリケーションを設計します。テスト後にパッケージに署名し、デプロイ中にこれらの署名を検証します。アプリケーションコードをプッシュするように CI/CD パイプラインを設定し、Canary を使用してデプロイの成功を確認します。AWS CloudFormation または AWS CDK などのツールを使用してインフラストラクチャを定義し、AWS CodeBuildAWS CodePipeline を使用して CI/CD のオペレーションを実行します。

実装手順

  • 明確に定義された CI/CD パイプラインを構築して、デプロイプロセスを合理化します。

  • AWS CodeBuildAWS Code Pipeline を使用して、パイプラインへのセキュリティテストの統合を容易にする CI/CD 機能を提供します。

  • ホワイトペーパー「Organizing Your AWS Environment Using Multiple Accounts (複数のアカウントを使用した AWS 環境の組織化)」で説明している環境の分離に関するガイダンスに従います。

  • 本稼働ワークロードが実行されている環境への持続的な人的アクセスがないことを確認します。

  • 構成データの外部化をサポートするようアプリケーションを設計します。

  • ブルー/グリーンデプロイモデルを使用したデプロイを検討します。

  • Canary を実装してソフトウェアのデプロイの成功を検証します。

  • AWS Signer または AWS Key Management Service (AWS KMS) などの暗号化ツールを使用して、デプロイするソフトウェアパッケージの署名と検証を行います。

リソース

関連するベストプラクティス:

関連するドキュメント:

関連動画:

関連する例: