翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
2.0 ABS CCIG マテリアルワークロードに関する運用上のベストプラクティス
コンフォーマンスパックは、 マネージドルールまたはカスタム AWS Config ルールと AWS Config 修復アクションを使用して、セキュリティ、運用、またはコスト最適化のガバナンスチェックを作成できるように設計された汎用コンプライアンスフレームワークを提供します。サンプルテンプレートとしてのコンフォーマンスパックは、特定のガバナンスまたはコンプライアンス基準を準拠するようには設計されていません。お客様は、本サービスの利用が該当する法的要件および規制要件を満たしているかどうかについて、お客様自身で評価する責任を負います。
以下に、 ABS クラウドコンピューティング実装ガイド 2.0 - マテリアルワークロードと AWS マネージド Config ルール間のマッピングの例を示します。各 Config ルールは特定の AWS リソースに適用され、1 つ以上の ABS Cloud Computing 実装ガイドのコントロールに関連付けられます。ABS クラウドコンピューティング実装ガイドのコントロールは、複数の Config ルールに関連付けることができます。これらのマッピングに関する詳細およびガイダンスについては、以下の表を参照してください。
| コントロール ID | AWS Config ルール | ガイダンス |
|---|---|---|
| section4a-govern-the-cloud-2-material-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4a-govern-the-cloud-2-material-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4a-govern-the-cloud-2-standard-workloads | Organizations AWS アカウント 内の AWS を一元管理することで、アカウントが確実に準拠するようにできます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| section4a-govern-the-cloud-2-standard-workloads | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| section4a-govern-the-cloud-2-standard-workloads | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| section4a-govern-the-cloud-2-standard-workloads | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| section4a-govern-the-cloud-2-standard-workloads | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
| section4a-govern-the-cloud-2-standard-workloads | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| section4a-govern-the-cloud-2-standard-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4a-govern-the-cloud-2-standard-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4a-govern-the-cloud-3-material-workloads | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションでaccountRCUThresholdパーセンテージ (Config デフォルト: 80) およびaccountWCUThresholdパーセンテージ (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4a-govern-the-cloud-3-material-workloads | このルールにより、Lambda 関数の同時実行数の上限と下限が確立されているかどうかを確認します。これは、関数が任意の時点で処理しているリクエスト数をベースライン化する際に役立ちます。 | |
| section4a-govern-the-cloud-3-standard-workloads | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| section4a-govern-the-cloud-3-standard-workloads | このルールを有効にすると、組織の標準に従って、Amazon インスタンスが許可されている日数を超えて停止されているかどうかをチェックして、Amazon Elastic Compute Cloud (Amazon EC2) EC2インスタンスのベースライン設定に役立ちます。 | |
| section4a-govern-the-cloud-3-standard-workloads | このルールにより、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスにアタッチされた Amazon Elastic Block Store ボリュームは、インスタンスが終了したときに削除対象としてマークされます。アタッチされているインスタンスが終了したときに Amazon EBSボリュームが削除されない場合、最小機能の概念に違反する可能性があります。 | |
| section4a-govern-the-cloud-3-standard-workloads | このルールにより、Amazon Virtual Private Cloud (Amazon VPC) IPsに割り当てられた Elastic が Amazon Elastic Compute Cloud (Amazon EC2) インスタンスまたは使用中の Elastic Network Interface にアタッチされます。このルールは、 環境で使用されていない をモニタリングEIPsするのに役立ちます。 | |
| section4a-govern-the-cloud-3-standard-workloads | このルールにより、Amazon Virtual Private Cloud (VPC) ネットワークアクセスコントロールリストが確実に使用されます。未使用のネットワークアクセスコントロールリストをモニタリングすることで、環境の正確なインベントリの使用と管理を行うことができます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | EC2 インスタンスプロファイルは、 IAMロールをEC2インスタンスに渡します。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターのマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS では、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしているか、上回っています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true)、 RequireNumbers (AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Identity and Access Management (IAM) は、指定した期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 は、サインイン認証情報に加えて保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限VPCsすると、環境内の意図しないアクセスを減らすことができます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | VPC ルーティングが強化され、クラスターCOPYとデータリポジトリ間のすべての および UNLOADトラフィックが Amazon を経由するように強制されますVPC。その後、セキュリティグループやネットワークアクセスコントロールリストなどのVPC機能を使用して、ネットワークトラフィックを保護できます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があります。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | 最小特権の原則の実装を支援するために、Amazon Elastic Container Service (Amazon ECS) タスク定義で昇格された特権を有効にしないでください。このパラメータが true のとき、コンテナには、ホストコンテナインスタンスに対する昇格されたアクセス権限 (ルートユーザーと同様) が付与されます。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| section4b-design-and-secure-the-cloud-1-standard-workloads | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| section4b-design-and-secure-the-cloud-2-standard-workloads | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| section4b-design-and-secure-the-cloud-2-standard-workloads | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| section4b-design-and-secure-the-cloud-2-standard-workloads | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| section4b-design-and-secure-the-cloud-2-standard-workloads | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| section4b-design-and-secure-the-cloud-2-standard-workloads | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetention期間 (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-3-material-workloads | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| section4b-design-and-secure-the-cloud-3-material-workloads | Elastic Load Balancer (ELBs) のクロスゾーン負荷分散を有効にして、適切な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| section4b-design-and-secure-the-cloud-3-material-workloads | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| section4b-design-and-secure-the-cloud-3-material-workloads | Amazon Relational Database Service (Amazon RDS) インスタンスで削除保護が有効になっていることを確認します。削除保護を使用して、Amazon RDSインスタンスが誤って、または悪意を持って削除され、アプリケーションの可用性が失われるのを防ぎます。 | |
| section4b-design-and-secure-the-cloud-3-material-workloads | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| section4b-design-and-secure-the-cloud-3-material-workloads | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| section4b-design-and-secure-the-cloud-3-material-workloads | Amazon Simple Storage Service (Amazon S3) クロスリージョンレプリケーション (CRR) では、適切な容量と可用性の維持がサポートされています。 CRR では、Amazon S3 バケット間でオブジェクトを自動的に非同期コピーできるため、データの可用性を維持できます。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | Amazon Elastic Compute Cloud (Amazon ELB) Auto Scaling グループの Elastic Load Balancer (EC2) ヘルスチェックは、適切な容量と可用性のメンテナンスをサポートします。ロードバランサーは、定期的に ping を送信したり、接続を試みたり、リクエストを送信して、Auto Scaling グループ内の Amazon EC2インスタンスの状態をテストしたりします。インスタンスがレポートされない場合、トラフィックは新しい Amazon EC2インスタンスに送信されます。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | このルールを有効にすると、Amazon EC2コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングが改善され、インスタンスのモニタリンググラフが 1 分間表示されます。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | Elastic Load Balancer (ELBs) のクロスゾーン負荷分散を有効にして、適切な容量と可用性を維持します。クロスゾーン負荷分散により、有効な各アベイラビリティーゾーンで同じインスタンス数を維持する必要性が軽減されます。また、1 つ以上のインスタンスの消失を処理するアプリケーションの能力が向上します。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | このルールにより、Elastic Load Balancing で削除保護が有効になっているかどうかを確認します。この機能を使用すると、ロードバランサーが誤って削除されたり悪意を持って削除されることで、アプリケーションの可用性が失われることを防ぐことができます。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | Amazon Relational Database Service (Amazon RDS) を有効にして、Amazon のRDS可用性をモニタリングできるようにします。これにより、Amazon RDS データベースインスタンスの状態を詳細に把握できます。Amazon RDSストレージが複数の基盤となる物理デバイスを使用している場合、拡張モニタリングは各デバイスのデータを収集します。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータとセカンダリホストメトリクスが収集されます。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | Amazon Relational Database Service (Amazon RDS) でのマルチ AZ サポートにより、データベースインスタンスの可用性と耐久性が向上します。マルチ AZ データベースインスタンスをプロビジョニングすると、Amazon RDSは自動的にプライマリデータベースインスタンスを作成し、データを別のアベイラビリティーゾーンのスタンバイインスタンスに同期的にレプリケートします。各アベイラビリティーゾーンは、物理的に独立した独自のインフラストラクチャで実行されますが、高度な信頼性を実現できるよう設計されています。インフラストラクチャに障害が発生した場合、Amazon はスタンバイへの自動フェイルオーバーRDSを実行するため、フェイルオーバーが完了するとすぐにデータベースオペレーションを再開できます。 | |
| section4b-design-and-secure-the-cloud-3-standard-workloads | AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で が有効になっていることを確認します AWS WAF。は、ウェブアプリケーションや一般的なウェブの悪用APIsから保護するWAFのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | AWS WAF では、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる) を設定できます。悪意のある攻撃から保護ACLするために、Amazon API Gateway ステージがWAFウェブに関連付けられていることを確認する | |
| section4b-design-and-secure-the-cloud-4-material-workloads | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 DMSレプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限VPCsすると、環境内の意図しないアクセスを減らすことができます。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があります。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | 冗長 Site-to-SiteVPNトンネルを実装して、耐障害性要件を満たすことができます。2 つのトンネルを使用して、接続の 1 つが使用できなくなった場合VPNの接続を確保します Site-to-Site。接続が失われるのを防ぐために、カスタマーゲートウェイが使用できなくなった場合は、2 番目の Site-to-Siteカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) と仮想プライベートゲートウェイへの 2 番目のVPN接続を設定できます。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| section4b-design-and-secure-the-cloud-4-material-workloads | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で が有効になっていることを確認します AWS WAF。は、ウェブアプリケーションや一般的なウェブの悪用APIsから保護するWAFのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS WAF では、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる) を設定できます。悪意のある攻撃から保護ACLするために、Amazon API Gateway ステージがWAFウェブに関連付けられていることを確認する | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | EC2 インスタンスプロファイルは、 IAMロールをEC2インスタンスに渡します。インスタンスプロファイルをインスタンスにアタッチすることで、最小特権とアクセス許可を管理できます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | タスク定義に昇格した権限がある場合は、お客様がそれらの設定に特別にオプトインしていることが原因です。このコントロールでは、タスク定義でホストネットワークが有効になっており、お客様が昇格した権限にオプトインしていない場合に、予期しない権限の昇格が発生しないかどうかを確認します。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS では、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしているか、上回っています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true)、 RequireNumbers (AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、サインイン認証情報の上に保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限VPCsすると、環境内の意図しないアクセスを減らすことができます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | 冗長 Site-to-SiteVPNトンネルを実装して、耐障害性要件を満たすことができます。2 つのトンネルを使用して、接続の 1 つが使用できなくなった場合VPNの接続を確保します Site-to-Site。接続が失われるのを防ぐために、カスタマーゲートウェイが使用できなくなった場合は、2 番目の Site-to-Siteカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) と仮想プライベートゲートウェイへの 2 番目のVPN接続を設定できます。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| section4b-design-and-secure-the-cloud-4-standard-workloads | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| section4b-design-and-secure-the-cloud-5-material-workloads | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| section4b-design-and-secure-the-cloud-5-material-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-5-material-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-5-material-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、サインイン認証情報の上に保護レイヤーMFAを追加します。ユーザーMFAを に要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-5-material-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-5-standard-workloads | X509 証明書が によって発行されるようにすることで、ネットワークの整合性が保護されていることを確認します AWS ACM。これらの証明書は有効で、期限切れではない必要があります。このルールには、 daysToExpiration (AWS Foundational Security Best Practices 値: 90) の値が必要です。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-5-standard-workloads | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| section4b-design-and-secure-the-cloud-5-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-5-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-5-standard-workloads | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-5-standard-workloads | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKs) が AWS Key Management Service () で削除されないようにしますAWS KMS。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| section4b-design-and-secure-the-cloud-6-material-workloads | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| section4b-design-and-secure-the-cloud-6-material-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-6-material-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-6-material-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-6-material-workloads | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-6-material-workloads | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKs) が AWS Key Management Service () で削除されないようにしますAWS KMS。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | Elastic Load Balancer (ELB) が http ヘッダーを削除するように設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 転送中のデータを保護するために、Application Load Balancer が暗号化されていないHTTPリクエストを自動的に にリダイレクトすることを確認しますHTTPS。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するため、APIゲートウェイステージのキャッシュで暗号化が有効になっていることを確認します。API メソッドでは機密データをキャプチャできるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 機密データが含まれている可能性があるため、 AWS CloudTrail 証跡の暗号化を有効にして保管中のデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS が所有するカスタマーマスターキー () で暗号化されますCMK。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | Amazon OpenSearch Service node-to-nodeの暗号化が有効になっていることを確認します。 Node-to-node 暗号化は、Amazon Virtual Private Cloud (Amazon ) TLS 内のすべての通信に対して 1.2 暗号化を有効にしますVPC。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 機密データが含まれている可能性があるため、転送中のデータを保護するために Elastic Load Balancing で暗号化を有効にします。 AWS Certificate Manager を使用して、 AWS サービスおよび内部リソースでパブリックおよびプライベート SSL/TLS 証明書を管理、プロビジョニング、デプロイします。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | Elastic Load Balancer (ELBs) が SSLまたは HTTPSリスナーで設定されていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | Amazon Relational Database Service (Amazon RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDSインスタンスには機密データが保管中に存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | Amazon Redshift クラスターがSQLクライアントに接続するために TLS/SSL 暗号化を必要としていることを確認します。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 転送中のデータを保護するために、Amazon Simple Storage Service (Amazon S3) バケットで Secure Socket Layer () を使用するリクエストが必要であることを確認してくださいSSL。機密データが含まれている可能性があるため、転送中の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するため、 SageMaker エンドポイントで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するため、 SageMaker ノートブックで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで Key Management Service () を使用した AWS 暗号化が必要であることを確認してくださいAWS KMS。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | Amazon API Gateway RESTAPIステージにSSL証明書が設定され、バックエンドシステムがリクエストが API Gateway から発信されたことを認証できるようにします。 | |
| section4b-design-and-secure-the-cloud-6-standard-workloads | 保管中のデータを保護するため、Amazon Redshift クラスターで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。Redshift クラスターには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-8-material-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-8-material-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-8-material-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 は、サインイン認証情報に加えて保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-8-material-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-8-material-workloads | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | 認証情報は、組織ポリシーで指定されたIAMとおりにアクセスキーがローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | Organizations AWS アカウント 内の AWS を一元管理することで、アカウントが準拠していることを確認できます。アカウントの管理が一元化されていないと、アカウントの設定に一貫性がなくなり、リソースや機密データが流出する可能性があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | アクセス許可と認可は、Amazon EMRクラスターの Kerberos を有効にすることで、最小特権と職務の分離の原則で管理し、組み込むことができます。Kerberos では、認証を必要とするサービスとユーザーをプリンシパルと呼びます。プリンシパルは Kerberos 領域内に存在します。領域内では、Kerberos サーバーはキー分散センター () と呼ばれますKDC。これは、プリンシパルが認証を行うための手段を提供するものです。は、KDC認証のチケットを発行して認証を行います。は、その領域内のプリンシパルのデータベース、パスワード、および各プリンシパルに関するその他の管理情報KDCを保持します。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | AWS Identity and Access Management (IAM) は、アクセス許可と認可に最小特権と職務分離の原則を組み込むのに役立ちます。これにより、すべての AWS Key Management Service キーでブロックされたアクションをポリシーに含めることを制限できます。タスク完了のために必要以上の特権を持つことは、最小特権と職務分離の原則に反する可能性があります。このルールでは、 blockedActionsPatterns パラメータを設定できます。(AWS 基本的なセキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、すべての AWS Key Management Service キーでブロックされたアクションを許可するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーでは、再利用可能性、バージョニング、ロールバック、アクセス許可の管理を委任できます。このルールでは、 blockedActionsPatternsパラメータを設定できます。(AWS 基礎セキュリティのベストプラクティス値: kms:Decrypt、 kms:ReEncryptFrom)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしているか、上回っています。このルールでは、オプションでIAMパスワードポリシーに RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true)、 RequireNumbers (AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、 (AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | AWS Identity and Access Management (IAM) は、指定した期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 は、サインイン認証情報に加えて保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-8-standard-workloads | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-9-material-workloads | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| section4b-design-and-secure-the-cloud-9-material-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4b-design-and-secure-the-cloud-9-material-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-9-material-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-9-material-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 は、サインイン認証情報に加えて保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-9-material-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-9-material-workloads | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | AWS Identity and Access Management (IAM) は、指定した期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して MFA が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 は、サインイン認証情報に加えて保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-9-standard-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2 リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスすることはできません。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 DMSレプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) インスタンスにパブリックにアクセスできないようにすることで、 クラウドへのアクセスを管理します。Amazon EC2インスタンスには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | ID と認証情報は、組織のIAMパスワードポリシーに基づいて発行、管理、検証されます。NIST SP 800-63 およびパスワード強度に関する AWS Foundational Security Best Practices 標準に記載されている要件を満たしているか、上回っています。このルールでは、IAMパスワードポリシーにオプションで RequireUppercaseCharacters (AWS Foundational Security Best Practices 値: true)、 RequireLowercaseCharacters (AWS Foundational Security Best Practices 値: true) RequireSymbols 、(AWS Foundational Security Best Practices 値: true)、 RequireNumbers (AWS Foundational Security Best Practices 値: true) MinimumPasswordLength 、(AWS Foundational Security Best Practices 値: 14) PasswordReusePrevention、(AWS Foundational Security Best Practices 値: 24)、および MaxPasswordAge (AWS Foundational Security Best Practices 値: 90) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | AWS Lambda 関数にパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。パブリックアクセスにより、リソースの可用性の低下を招く可能性があります。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、サインイン認証情報の上に保護レイヤーMFAを追加します。ユーザーMFAを に要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限VPCsすると、環境内の意図しないアクセスを減らすことができます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Redshift クラスターがパブリックでないことを確認して、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | 強化されたVPCルーティングにより、クラスターCOPYとデータリポジトリ間のすべての および UNLOADトラフィックが Amazon を経由するように強制されますVPC。その後、セキュリティグループやネットワークアクセスコントロールリストなどのVPC機能を使用して、ネットワークトラフィックを保護できます。VPC フローログを使用してネットワークトラフィックをモニタリングすることもできます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1~blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があります。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループ上のすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | 冗長 Site-to-SiteVPNトンネルを実装して、耐障害性要件を満たすことができます。2 つのトンネルを使用して、接続の 1 つが使用できなくなった場合VPNの接続を確保します Site-to-Site。接続が失われるのを防ぐために、カスタマーゲートウェイが使用できなくなった場合は、2 番目の Site-to-Siteカスタマーゲートウェイを使用して Amazon Virtual Private Cloud (Amazon VPC) と仮想プライベートゲートウェイへの 2 番目のVPN接続を設定できます。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| section4b-design-and-secure-the-cloud-10-material-workloads | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | 認証情報は、組織ポリシーで指定されたIAMとおりにアクセスキーがローテーションされるようにすることで、承認されたデバイス、ユーザー、プロセスについて監査されます。アクセスキーを定期的に変更することが、セキュリティのベストプラクティスです。これにより、アクセスキーがアクティブになっている期間が短縮され、キーが侵害された場合のビジネスへの影響を軽減できます。このルールでは、アクセスキーの更新の値が必要です (Config デフォルト: 90)。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | ネットワークインターフェイスをパブリック IP アドレスで設定すると、それらのネットワークインターフェイスに関連付けられたリソースにインターネットからアクセスできます。 EC2リソースは、アプリケーションまたはサーバーへの意図しないアクセスを許可する可能性があるため、パブリックにアクセスできません。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon EMRクラスターマスターノードにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。Amazon EMRクラスターのマスターノードには機密情報が含まれている可能性があるため、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | AWS クラウド内のリソースへのアクセスを制限するには、このルールを有効にします。このルールにより、すべてのユーザーに対して多要素認証 (MFA) が有効になります。 は、ユーザー名とパスワードの上に保護レイヤーMFAを追加します。ユーザーに を要求することで、侵害されたアカウントのインシデントを減らしMFAます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | AWS Identity and Access Management (IAM) は、指定された期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。リソースで 0.0.0.0/0 からポート 22 への入力 (またはリモート) トラフィックを許可しないようにすることで、リモートアクセスを制限できます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Virtual Private Cloud (Amazon EC2) 内に Amazon Elastic Compute Cloud (Amazon VPC) インスタンスをデプロイして、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とせずにVPC、Amazon 内のインスタンスと他のサービス間の安全な通信を可能にします。 Amazon Virtual Private Cloud すべてのトラフィックは AWS クラウド内で安全に維持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。Amazon EC2インスタンスを Amazon に割り当てVPCて、アクセスを適切に管理します。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | インターネットゲートウェイが承認された Amazon Virtual Private AWS Cloud (Amazon ) にのみアタッチされるようにすることで、 クラウド内のリソースへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud インターネットゲートウェイは、Amazon VPCリソースへの不正アクセスにつながるVPC可能性のある、Amazon との間の双方向のインターネットアクセスを可能にします。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Virtual Private Cloud (Amazon VPC) 内に AWS Lambda 関数をデプロイして、関数と Amazon 内の他の サービス間の安全な通信を実現しますVPC。この設定では、インターネットゲートウェイ、NATデバイス、またはVPN接続は必要ありません。すべてのトラフィックは AWS クラウド内に安全に保持されます。論理的な分離により、Amazon 内に存在するドメインVPCは、パブリックエンドポイントを使用するドメインと比較して、セキュリティを強化します。アクセスを適切に管理するには、 AWS Lambda 関数を に割り当てる必要がありますVPC。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | コンソールパスワードを持つすべての AWS Identity and Access Management (IAM) ユーザーに対して が有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。 MFAは、サインイン認証情報の上に保護レイヤーMFAを追加します。MFA をユーザーに要求することで、侵害されたアカウントのインシデントを減らし、権限のないユーザーが機密データにアクセスしないようにすることができます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon EC2ルートテーブルにインターネットゲートウェイへの無制限のルートがないことを確認します。Amazon 内のワークロードのインターネットへのアクセスを削除または制限VPCsすると、環境内の意図しないアクセスを減らすことができます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報が含まれている可能性があるため、そのようなアカウントには原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Redshift クラスターが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon Redshift クラスターには機密情報が含まれている可能性があるため、これらのアカウントに対する原則とアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。ポートへのアクセスを信頼できるソースに制限しなければ、システムの可用性、完全性、機密性に対する脅威を招く可能性があります。このルールでは、オプションで blockedPort1 ~ blockedPort5 個のパラメータ (設定デフォルト: 20,21,3389,3306,4333) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | ルートユーザーに対してハードウェアMFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、サインイン認証情報の保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | ルートユーザーに対して MFAが有効になっていることを確認して、 AWS クラウド内のリソースへのアクセスを管理します。ルートユーザーは、最も権限のある AWS アカウントのユーザーです。は、ユーザー名とパスワードの保護レイヤーMFAを追加します。ルートユーザーに MFAを要求することで、侵害されるインシデントを減らすことができます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon SageMaker ノートブックが直接インターネットアクセスを許可しないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。インターネットからの直接アクセスを防止することで、権限のないユーザーが機密データにアクセスするのを防ぐことができます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | AWS Systems Manager (SSM) ドキュメントが公開されていないことを確認します。これにより、SSMドキュメントへの意図しないアクセスが許可される可能性があります。パブリックSSMドキュメントは、アカウント、リソース、内部プロセスに関する情報を公開できます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループは、 AWS リソースへの送受信ネットワークトラフィックをステートフルにフィルタリングすることで、ネットワークアクセスの管理に役立ちます。デフォルトのセキュリティグループのすべてのトラフィックを制限すると、 AWS リソースへのリモートアクセスを制限するのに役立ちます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Elastic Compute AWS Cloud (Amazon EC2) セキュリティグループで共通ポートが制限されるようにすることで、 クラウド内のリソースへのアクセスを管理します。信頼できるソースへのポートに対するアクセスを制限しないと、システムの可用性、完全性、機密性に対する攻撃を招く可能性があります。インターネットからのセキュリティグループ内のリソースへのアクセスを制限することで (0.0.0.0/0)、内部システムへのリモートアクセスをコントロールできます。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールでは、バケットレベルでのパブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護します。 | |
| section4b-design-and-secure-the-cloud-10-standard-workloads | Amazon Virtual Private AWS Cloud (VPC) サブネットにパブリック IP アドレスが自動的に割り当てられないようにすることで、 クラウドへのアクセスを管理します。 Amazon Virtual Private Cloud この属性が有効になっているサブネットで起動される Amazon Elastic Compute Cloud (EC2) インスタンスには、プライマリネットワークインターフェイスにパブリック IP アドレスが割り当てられます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | AWS Identity and Access Management (IAM) は、指定した期間に使用されていないIAMパスワードとアクセスキーをチェックすることで、アクセス許可と認可に役立ちます。これらの未使用の認証情報が特定された場合は、最小特権の原則に反する可能性があるため、その認証情報を無効にするか、削除する必要があります。このルールでは、値を maxCredentialUsageAge (Config デフォルト: 90) に設定する必要があります。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| section4b-design-and-secure-the-cloud-11-material-workloads | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中のデータを保護するため、APIゲートウェイステージのキャッシュで暗号化が有効になっていることを確認します。API メソッドでは機密データをキャプチャできるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 機密データが含まれている可能性があるため、 AWS CloudTrail 証跡の暗号化を有効にして保管中のデータを保護します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 認証情報と AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY が AWS Codebuild プロジェクト環境内に存在しないことを確認します。これらの変数をクリアテキストで保存しないでください。これらの変数をクリアテキストで保存すると、意図しないデータ漏えいや不正アクセスを招く可能性があります。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | GitHub または Bitbucket ソースリポジトリに、Codebuild プロジェクト環境内の AWS 個人用アクセストークン、サインイン認証情報が含まれURLていないことを確認します。個人用のアクセストークンやサインイン認証情報OAuthの代わりに を使用して、 GitHub または Bitbucket リポジトリにアクセスするための認可を付与します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | Amazon DynamoDB テーブルで、暗号化が有効になっていることを確認します。これらのテーブルには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。デフォルトでは、DynamoDB テーブルは AWS が所有するカスタマーマスターキー () で暗号化されますCMK。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service (OpenSearch Service) ドメインで暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「リソース」:「*」ではなく「アクション」:「*」で「効果」:「許可」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | このルールにより、 AWS Identity and Access Management (IAM) ポリシーがグループまたはロールにのみアタッチされ、システムおよびアセットへのアクセスが制御されます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon OpenSearch Service ドメインで暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | Amazon Relational Database Service (Amazon RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中のデータを保護するため、Amazon Relational Database Service (Amazon RDS) インスタンスで暗号化が有効になっていることを確認します。Amazon RDSインスタンスには機密データが保管中に存在する可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中のデータを保護するため、 SageMaker エンドポイントで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker エンドポイントに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中のデータを保護するため、 SageMaker ノートブックで Key Management Service (AWS KMS) による AWS 暗号化が有効になっていることを確認します。機密データは SageMaker ノートブックに保存されている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-12-standard-workloads | 保管中のデータを保護するために、Amazon Simple Notification Service (Amazon SNS) トピックで Key Management Service () を使用した AWS 暗号化が必要であることを確認してくださいAWS KMS。公開されたメッセージには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | Amazon のバックアップ機能により、データベースとトランザクションログのバックアップRDSが作成されます。Amazon は DB インスタンスのストレージボリュームスナップショットRDSを自動的に作成し、DB インスタンス全体をバックアップします。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| section4b-design-and-secure-the-cloud-14-material-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | 保管中の機密データを保護するために、Amazon CloudWatch Log Groups で暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が表示されます AWS アカウント。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | 機密データが含まれている可能性があるため、 AWS CloudTrail 証跡の暗号化を有効にして保管中のデータを保護します。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 がログファイルを CloudTrail 配信した後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュの場合は SHA-256、デジタル署名RSAの場合は SHA-256 です。これにより、ログファイルを検出 CloudTrail せずに変更、削除、または偽造することが計算上実行不可能になります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | トラブルシューティングとフォレンジック調査を実行するため、ロググループでイベントログデータの最小期間が保持されていることを確認します。利用可能な過去のイベントログデータを入手できない場合、悪意のあるイベントの再構築と特定が困難になります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元の IP アドレス、および呼び出しが発生した日時を特定できます。MULTI_REGION_CLOUDTRAIL_ ENABLEDが有効になっている場合 CloudTrail 、 はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) の値を設定する必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットで、 デフォルトでロックが有効になっていることを確認します。S3 バケットには機密データが含まれている可能性があるため、保管時にオブジェクトロックを適用してデータを保護します。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) によって制限IDsされていることを確認します。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| section4b-design-and-secure-the-cloud-14-standard-workloads | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| section4b-design-and-secure-the-cloud-15-material-workloads | Amazon のバックアップ機能により、データベースとトランザクションログのバックアップRDSが作成されます。Amazon は DB インスタンスのストレージボリュームスナップショットRDSを自動的に作成し、DB インスタンス全体をバックアップします。このシステムでは、回復性の要件を満たす特定の保持期間を設定できます。 | |
| section4b-design-and-secure-the-cloud-15-material-workloads | データのバックアッププロセスを支援するために、Amazon DynamoDB テーブルが AWS Backup プランの一部であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| section4b-design-and-secure-the-cloud-15-material-workloads | データのバックアッププロセスを支援するために、Amazon Relational Database Service (Amazon RDS) インスタンスが Backup プランの一部 AWS であることを確認します。 AWS Backup は、ポリシーベースのバックアップソリューションを備えたフルマネージドバックアップサービスです。このソリューションを使用すると、バックアップの管理が簡素化され、バックアップに関するビジネスおよび規制のコンプライアンス要件を満たすことができます。 | |
| section4b-design-and-secure-the-cloud-15-material-workloads | データのバックアッププロセスを実行するため、Amazon Redshift クラスターで自動スナップショットが設定されていることを確認します。クラスターの自動スナップショットを有効にすると、Amazon Redshift はそのクラスターのスナップショットを定期的に作成します。デフォルトでは、Redshift は 8 時間ごと、または各ノードの 5 GB ごとのデータ変更、またはそのいずれか早い方のタイミングでスナップショットを作成します。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | キーのローテーションを有効にして、暗号化期間の最後に到達したときにキーがローテーションされるようにします。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | DMS レプリケーション インスタンスにパブリックにアクセスできないようにすることで、 AWS クラウドへのアクセスを管理します。 レDMSプリケーション インスタンスには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | EBS スナップショットがパブリックに復元できないようにすることで、 AWS クラウドへのアクセスを管理します。 EBSボリュームスナップショットには機密情報が含まれている場合があり、そのようなアカウントにはアクセス制御が必要です。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | 保管中のデータを保護するため、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。これらのボリュームには機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic File System () で暗号化が有効になっていることを確認しますEFS。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | 機密データが存在する可能性があるため、保管中のデータを保護するために、Amazon Elastic Block Store (Amazon EBS) ボリュームで暗号化が有効になっていることを確認します。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | 保管中のデータを保護するため、必要なカスタマーマスターキー (CMKs) が AWS Key Management Service () で削除されないようにしますAWS KMS。キーの削除が必要になる場合があるため、このルールでは、キーが意図せずスケジュールされた場合に備えて、削除予定のすべてのキーをチェックすることができます。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon OpenSearch サービスドメインが Amazon Virtual Private AWS Cloud (Amazon ) 内にあることを確認して、 クラウドへのアクセスを管理しますVPC。 Amazon Virtual Private Cloud Amazon 内の Amazon OpenSearch Service ドメインVPCを使用すると、インターネットゲートウェイ、NATデバイス、またはVPN接続を必要とVPCせずに、Amazon OpenSearch Service と Amazon 内の他の サービスとの間の安全な通信が可能になります。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon Relational Database Service (Amazon RDS) インスタンスが公開されていないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。Amazon RDS データベースインスタンスには機密情報や原則を含めることができ、そのようなアカウントにはアクセスコントロールが必要です。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon Relational Database Service (Amazon RDS) スナップショットで暗号化が有効になっていることを確認します。機密データが含まれている可能性があるため、保管時の暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットにパブリックにアクセスできないようにすることで、 AWS クラウド内のリソースへのアクセスを管理します。このルールは、パブリックアクセスを防止することで、権限のないリモートユーザーから機密データを保護するのに役立ちます。このルールでは、オプションで ignorePublicAcls (Config デフォルト: True) blockPublicPolicy 、 (Config デフォルト: True)、 blockPublicAcls (Config デフォルト: True)、および restrictPublicBuckets パラメータ (Config デフォルト: True) を設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットで、 デフォルトでロックが有効になっていることを確認します。S3 バケットには機密データが含まれている可能性があるため、保管時にオブジェクトロックを適用してデータを保護します。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | s3_ bucket_policy_grantee_check を有効にして、 AWS クラウドへのアクセスを管理します。このルールは、Amazon S3 バケットによって付与されるアクセスが、指定したプリン AWS シパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または Amazon Virtual Private Cloud (Amazon VPC) によって制限IDsされていることを確認します。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットへのアクセスを許可されたユーザー、プロセス、およびデバイスのみに許可することで、 AWS クラウド内のリソースへのアクセスを管理します。アクセスの管理は、データの分類と一致している必要があります。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | 保管中のデータを保護するため、Amazon Simple Storage Service (Amazon S3) バケットで暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、暗号化を有効にしてデータを保護します。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットのバージョニングは、同じ Amazon S3 バケットでオブジェクトの複数のバリアントを保持するのに役立ちます。バージョニングを使用すると、Amazon S3 バケットに保存されたあらゆるオブジェクトのすべてのバージョンを、保存、取得、復元することができます。バージョニングによって、意図しないユーザーアクションやアプリケーション障害から簡単に復旧できます。 | |
| section4b-design-and-secure-the-cloud-15-standard-workloads | Amazon Simple Storage Service (Amazon S3) バケットで、暗号化が有効になっていることを確認します。Amazon S3 バケットには機密データが含まれている可能性があるため、保管中のデータの暗号化を有効にしてデータを保護します。 | |
| section4c-run-the-cloud-1-standard-workloads | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| section4c-run-the-cloud-2-material-workloads | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| section4c-run-the-cloud-2-material-workloads | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| section4c-run-the-cloud-2-standard-workloads | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| section4c-run-the-cloud-2-standard-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4c-run-the-cloud-2-standard-workloads | AWS Identity and Access Management (IAM) は、IAMグループが少なくとも 1 人のユーザーを持つようにすることで、最小特権と職務分離の原則をアクセス許可と認可に組み込むのに役立ちます。関連するアクセス許可や職務に基づいてユーザーをグループに配置することは、最小特権を組み込む方法の 1 つです。 | |
| section4c-run-the-cloud-2-standard-workloads | AWS Identity and Access Management (IAM) ユーザー、IAMロール、またはIAMグループに、システムおよびアセットへのアクセスを制御するインラインポリシーがないことを確認します。 AWS は、インラインポリシーではなく、 管理ポリシーを使用することをお勧めします。管理ポリシーにより、再利用性、バージョニング、ロールバック、権限管理の委任が可能になります。 | |
| section4c-run-the-cloud-2-standard-workloads | AWS Identity and Access Management (IAM) は、最小特権と職務分離の原則をアクセス許可と認可に組み込み、ポリシーに「Resource」:「*」ではなく「Action」:「*」の「Effect」:「Allow」を含めることを制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4c-run-the-cloud-2-standard-workloads | IAM アクションが必要なアクションのみに制限されていることを確認します。タスク完了のために必要以上の権限をユーザーに付与することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4c-run-the-cloud-2-standard-workloads | ルートユーザーに AWS Identity and Access Management (IAM) ロールにアタッチされたアクセスキーがないことを確認することで、システムとアセットへのアクセスを制御できます。root アクセスキーが削除されていることを確認します。代わりに、最小機能の原則を組み込む AWS アカウント のに役立つロールベースの を作成して使用します。 | |
| section4c-run-the-cloud-2-standard-workloads | AWS Identity and Access Management (IAM) は、ユーザーが少なくとも 1 つのグループのメンバーであることを確認することで、アクセス許可と認可を制限するのに役立ちます。タスク完了のために必要以上の権限をユーザーに許可することは、最小特権と職務の分離の原則に反する可能性があります。 | |
| section4c-run-the-cloud-2-standard-workloads | このルールにより、 AWS Identity and Access Management (IAM) ポリシーは、システムおよびアセットへのアクセスを制御するために、グループまたはロールにのみアタッチされます。グループレベルまたはロールレベルで特権を割り当てると、ID が過剰な特権を受け取ったり保持したりする機会を減らすことができます。 | |
| section4c-run-the-cloud-2-standard-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4c-run-the-cloud-3-standard-workloads | API ゲートウェイのログ記録には、 にアクセスしたユーザーの詳細なビューAPIと、 へのアクセス方法が表示されますAPI。このインサイトにより、ユーザーアクティビティを可視化することができます。 | |
| section4c-run-the-cloud-3-standard-workloads | Simple Storage Service (Amazon S3) のデータイベントを収集することで、異常性の高いアクティビティを検出できます。詳細には、Amazon S3 バケットにアクセスした AWS アカウントの情報、IP アドレス、イベント発生時刻が含まれます。 | |
| section4c-run-the-cloud-3-standard-workloads | このルールは、複数の設定が有効になっていることをチェックすることで AWS CloudTrail、 AWS 推奨されるセキュリティのベストプラクティスを確実に使用するのに役立ちます。これには、ログ暗号化の使用、ログの検証、複数のリージョン AWS CloudTrail での の有効化が含まれます。 | |
| section4c-run-the-cloud-3-standard-workloads | Amazon CloudWatch アラームは、メトリクスが指定された評価期間数のしきい値を超えたときに警告します。アラームは、複数の期間にわたる閾値に対するメトリックまたはメートルの値に基づいて、1つまたは複数のアクションを実行します。このルールには、 alarmActionRequired (Config デフォルト: True) insufficientDataAction、必須 (Config デフォルト: True)、 okActionRequired (Config デフォルト: False) の値が必要です。実際の値には、環境に合わせたアラームのアクションを反映する必要があります。 | |
| section4c-run-the-cloud-3-standard-workloads | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
| section4c-run-the-cloud-3-standard-workloads | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録することで、否認防止に役立ちます。 AWS サービスを呼び出し AWS アカウント たユーザーと 、呼び出しが生成された送信元 IP アドレス、および呼び出しのタイミングを特定できます。キャプチャされたデータの詳細は、 AWS CloudTrail レコードコンテンツ内に表示されます。 | |
| section4c-run-the-cloud-3-standard-workloads | 機密データが含まれている可能性があるため、 AWS CloudTrail 証跡の暗号化を有効にして保管中のデータを保護します。 | |
| section4c-run-the-cloud-3-standard-workloads | AWS CloudTrail ログファイルの検証を使用して、 CloudTrail ログの整合性を確認します。ログファイルの検証は、 がログファイルを CloudTrail 配信した後にログファイルが変更または削除されたか、変更されていないかを判断するのに役立ちます。この機能は、業界標準のアルゴリズムを使用して構築されています。ハッシュの場合は SHA-256、デジタル署名RSAの場合は SHA-256 です。これにより、ログファイルを検出 CloudTrail せずに変更、削除、または偽造することが計算上実行不可能になります。 | |
| section4c-run-the-cloud-3-standard-workloads | Amazon OpenSearch Service ドメインでエラーログが有効になっており、保持と応答のために Amazon CloudWatch Logs にストリーミングされていることを確認します。ドメインのエラーログは、セキュリティとアクセス監査や、可用性の問題の診断に役立ちます。 | |
| section4c-run-the-cloud-3-standard-workloads | Elastic Load Balancing でのアクティビティは、環境内の通信の中心となるポイントです。ELB ログ記録が有効になっていることを確認します。収集されたデータは、 に送信されたリクエストに関する詳細情報を提供しますELB。各ログには、リクエストを受け取った時刻、クライアントの IP アドレス、レイテンシー、リクエストのパス、サーバーレスポンスなどの情報が含まれます。 | |
| section4c-run-the-cloud-3-standard-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4c-run-the-cloud-3-standard-workloads | AWS CloudTrail は、 AWS マネジメントコンソールのアクションとAPI呼び出しを記録します。が呼び出したユーザーとアカウント AWS、呼び出し元のソース IP アドレス、および呼び出しの発生日時を特定できます。MULTI_REGION_CLOUD_ TRAILENABLEDが有効になっている場合 CloudTrail 、 はすべての AWS リージョンから S3 バケットにログファイルを配信します。さらに、 が新しいリージョン AWS を起動すると、 CloudTrail は新しいリージョンに同じ証跡を作成します。その結果、アクションを実行せずに、新しいリージョンのAPIアクティビティを含むログファイルを受け取ります。 | |
| section4c-run-the-cloud-3-standard-workloads | 環境内のログ記録とモニタリングに役立つように、Amazon Relational Database Service (Amazon RDS) のログ記録が有効になっていることを確認します。Amazon RDSログ記録を使用すると、接続、切断、クエリ、クエリされたテーブルなどのイベントをキャプチャできます。 | |
| section4c-run-the-cloud-3-standard-workloads | 保管中のデータを保護するため、Amazon Redshift クラスターで暗号化が有効になっていることを確認します。また、必要な設定が Amazon Redshift クラスターにデプロイされていることを確認する必要があります。監査ログを有効にして、データベース内の接続とユーザーアクティビティに関する情報を提供します。このルールでは、 clusterDbEncrypted (Config デフォルト: TRUE)、および loggingEnabled (Config デフォルト: ) に値が設定されている必要がありますTRUE。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4c-run-the-cloud-3-standard-workloads | Amazon Simple Storage Service (Amazon S3) サーバーアクセスのログ記録によって、ネットワークをモニタリングし、潜在的なサイバーセキュリティイベントに対応することができます。Amazon S3 バケットに対して行われたリクエストの詳細な記録をキャプチャすることで、イベントをモニタリングします。各アクセスのログレコードから、1 つのアクセスリクエストについての詳細情報を取得できます。詳細情報には、リクエスタ、バケット名、リクエスト時刻、リクエストアクション、レスポンスのステータス、エラーコード (該当する場合) などの情報が含まれます。 | |
| section4c-run-the-cloud-3-standard-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4c-run-the-cloud-3-standard-workloads | VPC フローログは、Amazon Virtual Private Cloud (Amazon ) のネットワークインターフェイスとの間で送受信される IP トラフィックに関する詳細レコードを提供しますVPC。フローログレコードには、送信元、送信先、プロトコルなど、IP フローのさまざまなコンポーネントの値がデフォルトで含まれています。 | |
| section4c-run-the-cloud-3-standard-workloads | 環境内のログ記録とモニタリングに役立つように、リージョンおよびグローバルウェブ で (V2) ログ記録を有効にします AWS WAFACLs。 AWS WAFログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。ログには、 が AWS WAF AWS リソースからリクエストを受信した時間、リクエストに関する情報、および各リクエストが一致したルールのアクションが記録されます。 | |
| section4c-run-the-cloud-4-standard-workloads | response-plan-exists-maintained (プロセスチェック) | インシデント対応計画が確立および維持され、責任者に配布されていることを確認します。 |
| section4c-run-the-cloud-4-material-workloads | ウェブアプリケーションを保護するために、Elastic Load Balancer (ELB) で が有効になっていることを確認します AWS WAF。は、ウェブアプリケーションや一般的なウェブの悪用APIsから保護するWAFのに役立ちます。これらのウェブの脆弱性は、お客様の環境で可用性に影響を与えたり、セキュリティを侵害したり、リソースを過剰に消費したりする可能性があります。 | |
| section4c-run-the-cloud-4-material-workloads | AWS WAF では、定義したカスタマイズ可能なウェブセキュリティルールと条件に基づいてウェブリクエストを許可、ブロック、またはカウントする一連のルール (ウェブアクセスコントロールリスト (ウェブ ACL) と呼ばれる) を設定できます。悪意のある攻撃から保護ACLするために、Amazon API Gateway ステージがWAFウェブに関連付けられていることを確認する | |
| section4c-run-the-cloud-4-material-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4c-run-the-cloud-4-material-workloads | AWS Security Hub は、権限のない担当者、接続、デバイス、ソフトウェアをモニタリングするのに役立ちます。 AWS Security Hub は、複数の AWS サービスからセキュリティアラートや検出結果を集約、整理、優先順位付けします。このようなサービスには、Amazon Security Hub、Amazon Inspector、Amazon Macie、 AWS Identity and Access Management (IAM) Access Analyzer、 AWS Firewall Manager、 AWS パートナーソリューションなどがあります。 | |
| section4c-run-the-cloud-5-standard-workloads | Amazon Elastic Compute Cloud (Amazon ELB) Auto Scaling グループの Elastic Load Balancer (EC2) ヘルスチェックは、適切な容量と可用性のメンテナンスをサポートします。ロードバランサーは、定期的に ping を送信したり、接続を試みたり、リクエストを送信して、Auto Scaling グループ内の Amazon EC2インスタンスの状態をテストしたりします。インスタンスがレポートされない場合、トラフィックは新しい Amazon EC2インスタンスに送信されます。 | |
| section4c-run-the-cloud-5-standard-workloads | Amazon CloudWatch を使用して、ログイベントアクティビティを一元的に収集および管理します。 AWS CloudTrail データを含めると、 内のAPI通話アクティビティの詳細が提供されます AWS アカウント。 | |
| section4c-run-the-cloud-5-standard-workloads | Amazon DynamoDB Auto Scaling は、 AWS Application Auto Scaling サービスを使用して、実際のトラフィックパターンに自動的に応答するプロビジョニングされたスループットキャパシティを調整します。これにより、テーブルまたはグローバルセカンダリインデックスで、プロビジョンされた読み取りおよび書き込みの容量が拡張され、トラフィックの急激な増加をスロットリングなしで処理できるようになります。 | |
| section4c-run-the-cloud-5-standard-workloads | このルールを有効にすると、Amazon DynamoDB テーブルでのプロビジョンドスループットキャパシティがチェックされるようになります。これは、各テーブルがサポートできる読み取りおよび書き込みアクティビティの量です。DynamoDB はこの情報を使用して、スループット要件を満たすのに十分なシステムリソースを予約します。このルールでは、スループットがお客様のアカウントの最大限度に近づいたときにアラートが生成されます。このルールでは、オプションでaccountRCUThresholdパーセンテージ (Config デフォルト: 80) およびaccountWCUThresholdパーセンテージ (Config デフォルト: 80) パラメータを設定できます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4c-run-the-cloud-5-standard-workloads | このルールを有効にすると、Amazon EC2コンソールでの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのモニタリングが改善され、インスタンスのモニタリンググラフが 1 分間表示されます。 | |
| section4c-run-the-cloud-5-standard-workloads | このルールにより、Lambda 関数の同時実行数の上限と下限が確立されているかどうかを確認します。これは、関数が任意の時点で処理しているリクエスト数をベースライン化する際に役立ちます。 | |
| section4c-run-the-cloud-5-standard-workloads | Amazon Relational Database Service (Amazon RDS) を有効にして、Amazon のRDS可用性をモニタリングできるようにします。これにより、Amazon RDS データベースインスタンスの状態を詳細に把握できます。Amazon RDSストレージが複数の基盤となる物理デバイスを使用している場合、拡張モニタリングは各デバイスのデータを収集します。また、Amazon RDS データベースインスタンスがマルチ AZ 配置で実行されている場合、セカンダリホスト上の各デバイスのデータとセカンダリホストメトリクスが収集されます。 | |
| section4c-run-the-cloud-5-standard-workloads | AWS Elastic Beanstalk の拡張ヘルスレポートにより、基盤となるインフラストラクチャのヘルスの変化により迅速に対応できます。これらの変更は、アプリケーションの可用性を低下させる可能性があります。Elastic Beanstalk 拡張ヘルスレポートは、特定された問題の重要度を測定し、調査すべき可能性のある原因を特定するためのステータス記述子を提供します。 | |
| section4c-run-the-cloud-6-material-workloads | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| section4c-run-the-cloud-6-material-workloads | AWS Systems Manager Associations を使用して、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成します。 AWS Systems Manager では、マネージドインスタンスに設定のステータスを割り当て、オペレーティングシステムのパッチレベル、ソフトウェアのインストール、アプリケーション設定、環境に関するその他の詳細のベースラインを設定できます。 | |
| section4c-run-the-cloud-6-material-workloads | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| section4c-run-the-cloud-6-material-workloads | Amazon GuardDuty は、脅威インテリジェンスフィードを使用して、潜在的なサイバーセキュリティイベントをモニタリングおよび検出するのに役立ちます。これにはIPs、 AWS クラウド環境内の予期しないアクティビティ、許可されていないアクティビティ、悪意のあるアクティビティを識別するための悪意のあるアクティビティと機械学習のリストが含まれます。 | |
| section4c-run-the-cloud-6-material-workloads | Amazon GuardDuty は、調査結果を重要度: 低、中、高で分類することで、インシデントの影響を理解するのに役立ちます。これらの分類を使用して、修復戦略と優先度を決定することができます。このルールでは、必要に応じて、アーカイブされていない結果の daysLowSev (Config デフォルト: 30)、 daysMediumSev (Config デフォルト: 7)、および daysHighSev (Config デフォルト: 1) を、組織のポリシーで必要とされるとおりに設定できます。 | |
| section4c-run-the-cloud-6-standard-workloads | AWS Systems Manager で Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを管理することで、組織内のソフトウェアプラットフォームとアプリケーションのインベントリを作成できます。 AWS Systems Manager を使用して、詳細なシステム設定、オペレーティングシステムのパッチレベル、サービス名とタイプ、ソフトウェアのインストール、アプリケーション名、パブリッシャーとバージョン、および環境に関するその他の詳細を提供します。 | |
| section4c-run-the-cloud-6-standard-workloads | このルールを有効にすると、Amazon Elastic Compute Cloud (Amazon EC2) の脆弱性の特定と文書化に役立ちます。このルールは、組織のポリシーと手順で義務付けられている Systems AWS Manager の Amazon EC2インスタンスパッチコンプライアンスをチェックします。 | |
| section4c-run-the-cloud-6-standard-workloads | このルールにより、Amazon Redshift クラスターで組織に適した設定が行われるようになります。具体的には、データベースの任意のメンテナンスウインドウと自動スナップショットの保持期間を設定します。このルールでは、 を設定する必要があります allowVersionUpgrade。デフォルトは true です。また、オプションで preferredMaintenanceWindow (デフォルトは sat:16:00-sat:16:30) と automatedSnapshotRetention期間 (デフォルトは 1) を設定することもできます。実際の値には、組織のポリシーを反映する必要があります。 | |
| section4c-run-the-cloud-6-standard-workloads | Amazon Elastic Beanstalk 環境でマネージドプラットフォームの更新を有効にすると、利用可能なプラットフォームの最新の修正、更新と、環境のための機能がインストールされます。パッチのインストールを最新の状態に保つことは、システムのセキュリティ保護のベストプラクティスです。 |
テンプレート
テンプレートは、 GitHub「Operational Best Practices for ABS CCIG 2.0 Material Workloads
