AWS Well-Architectedフレームワークの第3の柱: インフラストラクチャ保護(ネットワークセキュリティ)
トピック: AWS(Amazon Web Services)、Barracuda Cloud Security Guardian、データ保護、AWS Well-Architectedフレームワークの5本の柱、ネットワークおよびアプリケーションセキュリティ、Webセキュリティおよびフィルタリング
2019年11月11日、Rich Turner
このブログはAWS Well-Architectedフレームワークの5本の柱に関するシリーズ(7つのブログ)の第4の記事です。シリーズ全体については、Five Pillars for well-architected AWS securityをご参照ください。
多くの企業はクラウドのインフラストラクチャ保護(ネットワークセキュリティ)についてセキュリティフレームワークの検討を始めるという過ちを犯しています。セキュリティフレームワークは企業がこれまでオンプレミスの保護に使用してきた方法です。企業は、クラウドのセキュリティレベルはオンプレミスより低いと考えているか、オンプレミスのネットワークセキュリティ管理をクラウドに簡単にミラーリングできると考えていますが、このような考えは誤っています。
クラウドはオンプレミスと異なります。AWSの動作の基本である責任共有モデルは、本質的に、セットワークにアクセスする企業のセキュリティではなく、ネットワークセキュリティを保証するものです。つまり、クラウドを使用する企業は自社が攻撃と侵害を実行しないようにするセキュリティ対策を導入する必要があるということです。
クラウド内のファイアウォールとWAF(Webアプリケーションファイアウォール)が実装するセキュリティはオンプレミスと異なります。管理と分類はオンプレミスと同じ可能性がありますが、機能は、本質的に流動的なクラウドで動作するように、設計されています。リソースがクラウドベースであるため、企業はオンプレミスではまったく発生しないセキュリティポリシー違反を検出するためのクラウド重視のポリシーについて説明するCIS(Center for Internet Security)ベンチマークなどのベンチマークポリシーを導入する場合が多いです。
AWSでは、ステートフルとステートレスの両方のパケット検出を非常に基本的な保護レベルで行うことができます。また、AWSネイティブのテクノロジを活用することも、サードパーティパートナーの製品とサービスをAWS Marketplaceで購入することもできます。
Amazon VPC(Amazon Virtual Private Cloud)は、特定のトポロジを定義できるように専用に設計されており、プライベート、セキュア、およびスケーラブルな環境を提供します。VPC環境では、ゲートウェイ、ルーティングテーブル、およびパブリックとプライベートの両方のサブネットを定義および保護できます。Amazon EC2(Elastic Compute Cloud)、Amazon ECS(Elastic Container Service)、またはAWS Elastic Beanstalkのインスタンスでコンテナによって開発した設定をハードニングし、AMI(Amazonマシンイメージ)に適用すると、永続的なセキュリティを導入できます。AMIで起動された新しいすべてのインスタンスはハードニング済みの同じ設定を受信します。
設計が優れたインフラストラクチャ保護を開発するには、下記を行う必要があります。
- ネットワークの保護方法の理解
- コンピュータリソースの保護方法の理解
ネットワークの保護とコンピュータリソースの保護の詳細については、AWS Well-Architected Labsをご参照ください。
来週は、データ保護について説明します。シリーズ全体については、Five Pillars for well-architected AWS securityをご参照ください。
Barracuda Cloud Security Guardianは、AWSと統合されており、組み込みのセキュリティおよびアラート機能を適用するように、新規に設計されています。無料のスキャンについては、このページをご参照ください。
製品のご紹介:Barracuda Cloud Security Guardian
原文はこちら:
The third pillar to well-architected AWS cloud security – NetSec (Network Security)
November 11, 2019 Rich Turner
