SEC05-BP04 ネットワーク保護を自動化する

Infrastructure as Code (IaC ) や CI/CD パイプラインなどのプラクティスを使用して DevOps、ネットワーク保護のデプロイを自動化します。 これらのプラクティスに則って、ネットワーク保護の変更をバージョン管理システムを通じて追跡し、変更のデプロイにかかる時間を短縮できます。また、ネットワーク保護が目的の設定から逸脱していないかどうかを検知できます。 

期待される成果: ネットワーク保護をテンプレートに定義して、バージョン管理システムにコミットします。 新しい変更が加えられると、自動パイプラインが開始して、そのテストとデプロイを調整します。 変更をデプロイ前に検証するための、ポリシーチェックやその他の静的テストが整備されています。 変更をステージング環境にデプロイして、統制が予期したとおりに機能していることを検証します。 統制が承認されると、本番環境へのデプロイも自動的に実行されます。

一般的なアンチパターン:

• 個々のワークロードチームに、ネットワークスタック、保護、自動化の完全な定義を任せている。 ネットワークスタックと保護の標準的な側面が、ワークロードチームが利用できるように中央で公開されていない。

• ネットワーク、保護、自動化のあらゆる側面の定義を中央のネットワークチームに一任している。 ネットワークスタックと保護のワークロード固有の側面を、そのワークロードのチームに委任していない。

• ネットワークチームとワークロードチームの間で一元管理と委任の適切なバランスを取っているが、一貫したテストとデプロイの標準がすべての IaC テンプレートと CI/CD パイプラインにわたっては適用されていない。 テンプレートの準拠状況をチェックするために必要な設定が、ツールに取り込まれていない。

このベストプラクティスを活用するメリット: テンプレートにネットワーク保護を定義しておくと、経時的な変更をバージョン管理システムで追跡し、比較できます。 変更のテストとデプロイを自動化することで、プロセスが標準化されて予測可能性が高まり、デプロイの成功率が上がり、繰り返しの手動設定を省くことができます。

このベストプラクティスを活用しない場合のリスクレベル: 中 

実装のガイダンス

SEC「05-BP02 ネットワークレイヤー内のトラフィックフローを制御する」およびSEC「05-BP03 検査ベースの保護を実装する」で説明されている多くのネットワーク保護コントロールには、最新の脅威インテリジェンスに基づいて自動的に更新できるマネージドルールシステムが含まれています。 ウェブエンドポイントを保護する例には、AWS WAF マネージドルールやAWS Shield Advanced 自動アプリケーションレイヤーDDoS緩和 などがあります。AWS Network Firewall マネージドルールグループを使用すれば、レピュテーションの低いドメインリストや脅威シグネチャの最新情報が随時反映されます。

マネージドルール以外にも、 DevOps プラクティスを使用して、ネットワークリソース、保護、および指定したルールのデプロイを自動化することをお勧めします。 これらを AWS CloudFormation や任意の Infrastructure as Code (IaC) ツールに定義してバージョン管理システムにコミットし、CI/CD パイプラインを使用してデプロイできます。 このアプローチを使用して、より予測可能なリリース、 などのツールを使用した自動テスト、デプロイされた環境と必要な設定間のドリフトの検出などAWS CloudFormation Guard、ネットワークコントロール DevOps を管理する従来の利点を得ます。

SEC05-BP01 ネットワークレイヤーの作成 の一環として行った決定に基づいて、進入、退出、検査フローVPCs専用の を作成するための一元管理アプローチがある場合があります。 AWS セキュリティリファレンスアーキテクチャ (AWS SRA） で説明されているように、これらは専用のネットワークインフラストラクチャアカウント VPCsで定義できます。 同様の手法を使用して、他のアカウント、そのセキュリティグループ、 AWS Network Firewall デプロイ、Route 53 Resolver ルールとDNSファイアウォール設定、およびその他のネットワークリソースのワークロードがVPCs使用する を一元的に定義できます。 これらのリソースは、AWS Resource Access Manager を使用して他のアカウントと共有できます。 このアプローチなら、管理先が 1 つになり、ネットワーク統制の自動テストとネットワークアカウントへの自動デプロイを簡素化できます。 これは、ハイブリッドモデルで実現できます。つまり、特定の統制を一元的にデプロイして共有し、他の統制を個々のワークロードチームとそれぞれ該当するアカウントに委任します。

実装手順

1. ネットワークと保護のどの側面を一元的に定義し、どの側面をワークロードチームで管理できるのか、所有権を明確にします。

2. ネットワークとその保護に対する変更をテストし、デプロイする環境を作成します。 例えば、ネットワークテストアカウントとネットワーク本稼働アカウントを用意します。

3. テンプレートをバージョン管理システムに保存し、管理する方法を決定します。 中央テンプレートはワークロードリポジトリとは別のリポジトリに保存し、ワークロードテンプレートはそのワークロード固有のリポジトリに保存できます。

4. テンプレートをテストしてデプロイするための CI/CD パイプラインを作成します。 設定ミスがないかチェックし、テンプレートが会社の標準に準拠していることを確認するテストを定義します。

リソース

関連するベストプラクティス:

• SEC01-BP06 標準セキュリティコントロールのデプロイを自動化する

関連ドキュメント:

• AWS セキュリティリファレンスアーキテクチャ - Network account

関連する例:

• AWS Deployment Pipeline Reference Architecture

• NetDevSecOps AWS ネットワークデプロイをモダナイズするには

• AWS CloudFormation セキュリティテストと AWS CodeBuildAWS Security Hub レポートの統合

関連ツール:

• AWS CloudFormation

• AWS CloudFormation Guard

• cfn_nag