翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
SEC01-BP05 セキュリティ管理範囲の縮小
特定のコントロールの管理を AWS ( マネージド AWS サービス) に移行するサービスを使用して、セキュリティの範囲を縮小できるかどうかを判断します。そうしたサービスを導入することで、インフラストラクチャのプロビジョニング、ソフトウェアのセットアップ、パッチ適用、バックアップなどのセキュリティメンテナンスのタスクを軽減できます。
望ましい結果: ワークロード AWS のサービスを選択するときは、セキュリティ管理の範囲を考慮します。管理オーバーヘッドとメンテナンスタスクのコスト (総所有コスト、または TCO) は、Well-Architected のその他の考慮事項に加えて、選択したサービスのコストと比較されます。 AWS コントロールとコンプライアンスのドキュメントをコントロールの評価と検証の手順に組み込みます。
一般的なアンチパターン:
-
選択したサービスの責任共有モデルをしっかりと理解しないまま、ワークロードをデプロイする。
-
データベースやその他のテクノロジーを、同等のマネージドサービスを評価することなく仮想マシンでホストする。
-
マネージドサービスオプションと比較する際に、仮想マシンでテクノロジーをホストする場合の総保有コスト (TCO) にセキュリティ管理タスクを考慮していない。
このベストプラクティスを活用するメリット: マネージドサービスを使用すると、運用上のセキュリティ統制を管理する全体的な負担を軽減でき、セキュリティリスクと総保有コストを減らすことができます。本来なら特定のセキュリティタスクに費やしていた時間を、ビジネスに付加価値をもたらすタスクに使うことができます。マネージドサービスを利用すれば、一部の統制要件を AWSに移し、コンプライアンス要件のスコープを縮小することもできます。
このベストプラクティスを活用しない場合のリスクレベル: 中
実装のガイダンス
AWSでは、多数の方法でワークロードのコンポーネントを統合できます。Amazon EC2インスタンスにテクノロジーをインストールして実行するには、セキュリティ責任全体の最大の割合を占める必要があります。特定のコントロールを運用する負担を軽減するには、責任共有モデルの範囲を縮小する AWS マネージドサービスを特定し、既存のアーキテクチャでそれらを使用する方法を理解します。例としては、データベースのデプロイに Amazon Relational Database Service (Amazon RDS)
コンプライアンス要件も、サービス選択時の検討材料となり得ます。マネージドサービスは、一部の要件のコンプライアンスを に移行できます AWS。コンプライアンスチームと、関連する監査レポートで運用、管理、および統制ステートメントの受け入れを行うサービスの側面を AWS 監査することにどの程度安心しているかについて話し合います。セキュリティ AWS コントロールの証拠として、 で見つかった監査アーティファクトAWS Artifact
マネージドサービスを使用する場合は、リソースを新しいバージョンに更新するプロセス (Amazon が管理するデータベースのバージョンの更新RDS、 AWS Lambda 関数のプログラミング言語ランタイムなど) に精通してください。そうした操作はマネージドサービスで実行される場合もありますが、更新のタイミングを設定し、運用への影響を理解することは依然としてお客様の責任です。AWS Health
実装手順
-
マネージドサービスで置き換え可能なワークロードのコンポーネントを評価します。
-
ワークロードを に移行する場合は AWS、ワークロードをリホスト、リファクタリング、リプラットフォーム、再構築、または置き換える必要があるかどうかを評価する際に、管理 (時間とコスト) の削減とリスクの低減を検討してください。移行の開始時に追加投資を行うことで、長期的には大幅な節約になる場合があります。
-
-
独自のテクノロジーデプロイをインストールして管理するのではなくRDS、Amazon などのマネージドサービスを実装することを検討してください。
-
の 責任ガイダンスを使用して AWS Artifact 、ワークロードに対して導入すべきセキュリティコントロールを判断します。
-
使用中のリソースのインベントリを維持し、新しいサービスやアプローチにと up-to-dateどまり、スコープを減らすための新しい機会を特定します。
リソース
関連するベストプラクティス:
関連ドキュメント:
関連ツール:
関連動画:
