翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クラウドチームの例: VPC 設定の変更
クラウドチームは、ユースケースに合わない AWS デフォルト設定の変更など、一般的な傾向を持つセキュリティ検出結果の優先順位付けと修復を担当します。これらの検出結果は、VPC 設定などの多くの AWS アカウント またはリソースに影響を与える傾向があり、環境全体に配置する必要がある制限が含まれています。ほとんどの場合、クラウドチームはポリシーの追加や更新など、手動で 1 回限りの変更を行います。
組織が AWS 環境をしばらく使用した後、一連のアンチパターンが開発されている場合があります。アンチパターンは、ソリューションが代替方法よりも非生産的、非効率、または効果が低いという繰り返しの問題に対して頻繁に使用されるソリューションです。これらのアンチパターンの代わりに、サービス AWS Organizations コントロールポリシー (SCPsアクセス許可セットなど、より効果的な環境全体の制限を使用できます。SCPsとアクセス許可セットは、ユーザーがパブリック Amazon Simple Storage Service (Amazon S3) バケットを設定できないようにするなど、リソースタイプに追加の制限を与えることができます。可能なすべてのセキュリティ設定を制限したいと思うかもしれませんが、SCPs とアクセス許可セットにはポリシーサイズの制限があります。予防的コントロールと検出的コントロールにはバランスの取れたアプローチをお勧めします。
クラウドチームが担当する AWS Security Hub Foundational Security Best Practices (FSBP) 標準のコントロールを以下に示します。
この例では、クラウドチームが FSBP コントロール EC2.2 の検出結果に対処しています。このコントロールのドキュメントでは、デフォルトのインバウンドルールとアウトバウンドルールによる広範なアクセスを許可するため、デフォルトのセキュリティグループを使用しないことを推奨しています。デフォルトのセキュリティグループは削除できません。そのため、ルール設定を変更してインバウンドトラフィックとアウトバウンドトラフィックを制限することをお勧めします。この問題に効率的に対処するには、各 VPCs にこのデフォルトのセキュリティグループがあるため、クラウドチームは確立されたメカニズムを使用してすべての VPC のセキュリティグループルールを変更する必要があります。ほとんどの場合、クラウドチームはAWS Control Tower、カスタマイズまたは HashiCorp Terraform
