コンソール VPC:仮想専有領域 EC2:OS領域 EBS:ローカルディスク RDS:データベース S3:ストレージ CloudWatch:監視 Direct Connect:NW セキュリティの標準設計ルール例(防御) 検知の対応例 GuardDuty Control Tower Security Hub Firewall Manager Macie Trusted Advisor ・AWSアカウント:利用制限 ・IAMユーザ:操作権限と接続元制限 利用可能リソースに対するアクセスコントロール、多要素認証の導入 ・本番環境、開発環境といった環境単位でVPCの分離 ・サブネット単位での通信制御、ルーティング設定 ・VPCフローログの取得 ・Security Groupによるサーバ間通信制御 ・Systems Manager等を利用しての、サーバ状態の把握と一括パッチ当て ・サーバのログイン管理の仕組みと、ログ集約の仕組みの導入 ・暗号化オプションによるディスク全体の暗号化 CloudTrailによる AWS操作履歴 トラフィックログ 各種アプリケーションログ OSログイン履歴 DB監査ログ AWSサービス各種による ログ・アラート 検査するべきログ ・専用線(DX)やVPNを利用した経路安全の確保 ・Transit Gatewayを利用したVPC・経路の管理 ・経路の冗長化による事業継続性の確保 ・DBMSの機能によるテーブル全体(表領域)の暗号化 ・DBに対するアクセス権限の管理 ・暗号化オプションによるストレージ全体の暗号化 ・クライアントサイドは暗号化キーによりデータを保護 ・CloudWatchによるAWSの監視と、運用監視ソフトウェアを利 用したサービス、アプリケーション監視の併用 Inspector AWSの利用状況の監査 AWSアカウントの設定とガバナンス セキュリティーアラートの集約と検知・ 対応 AWSの不正利用の検知 OS、アプリのセキュリティ評価 Firewallの一元管理と検知・対応 S3内の機密情報の検出、分類、保 護 Organizations