Amazon Web Services: ジョブゼロセキュリティの実践と 5 層保護システムの構築

企業がクラウドへの移行を加速するにつれて、クラウド上のデータの種類と量は増加し続けています。同時に、ますます多くの中国企業が海外に進出し、世界規模で事業を拡大し、さらには複数の業界にまたがって競争することを選んでいます。これらすべてにより、セキュリティとコンプライアンスに関して企業が直面する課題がさらに深刻化しています。

現在、世界132の国と地域でデータ保護やプライバシーに関する法律や規制が制定されています。我が国でも「データセキュリティ法」や「個人情報保護法」など、さまざまな法律や規制が相次いで導入されています。ユーザーがクラウド サービス プロバイダーを選択するときは、セキュリティとコンプライアンスの問題に特に注意を払います。クラウドに移行しても安全でしょうか?クラウドベンダー自体が提供する製品やサービスは安全でコンプライアンスに準拠していますか?アプリケーションをクラウドに移行した後、クラウドベンダーはクラウドでのセキュリティとコンプライアンスの確保にどのように役立つのでしょうか?

Amazon Web Services は、これらの問題に対応するためにこれを実行します。

まず、 Amazon Web Services は創業以来、セキュリティを最重要課題「Job Zero」と位置付けており、設計段階からあらゆるサービスにセキュリティの遺伝子が組み込まれています。

第二に、 Amazon Web Services が先駆けて導入した共有セキュリティ責任モデルは、クラウド コンピューティング セキュリティ モデルの標準を確立しました。現在、多くのクラウドベンダーがこの標準セットに従って、ユーザーにより安全なクラウドを提供しています。

具体的には、共有セキュリティ責任モデルでは、Amazon Web Services が自社のクラウド インフラストラクチャとクラウド サービスのセキュリティ コンプライアンスに責任を持ち、さまざまなグローバル コンプライアンス認証を取得し、顧客がこれらのコンプライアンス認証を継承できるようにする必要があります。ユーザーは、自社のクラウドビジネスのセキュリティに責任を持ち、どのリージョンを選択するか、どのサービスを利用するか、アクセス制御の認可、セキュリティ保護対策など、完全な選択権を持ちます。お客様は、実際のビジネス状況とデータの重要性に基づいて、適切なセキュリティコンプライアンス対策を講じることができます。このプロセスでは、Amazon Web Services は、顧客がクラウドでセキュリティを構築する際に使用できる、より多くのクラウド セキュリティ サービスをユーザーに提供します。同時に、幅広いセキュリティ パートナーを導入し、ユーザーにさらに多くのセキュリティ ソリューションを提供します。最後に、Amazon Web Services は、さまざまな業界のセキュリティのベストプラクティスをユーザーに提供します。

現在、Amazon Web Services は世界中で 98 のセキュリティ標準およびコンプライアンス認証を取得しており、世界中で蓄積された保護経験とセキュリティおよびコンプライアンス機能を中国地域にもたらしています。現在、北京地域と寧夏地域の両地域は独立した第三者機関の検証に合格し、第3レベルのネットワークセキュリティ保護レベルの評価を完了し、中国情報通信研究院から信頼できるクラウドサービス評価を取得しています。同時に、Amazon Web Services は、中国で広く使用されている一連の ISO 情報セキュリティ品質管理認証のほか、PCI-DSS、SOC などの業界情報セキュリティ認証も取得しています。 Amazon Web Services は、グローバルなセキュリティコンプライアンスへの投資とリーダーシップを継続しており、欧州クラウドインフラストラクチャサービスプロバイダー行動規範 (CISPE コード) などのサードパーティ検証を通じて、何千ものグローバルコンプライアンスを定期的に更新および反復しています。現在までに、Amazon Web Services には CISPE コードに準拠した 50 を超えるサービスがあります。

急速なイノベーションと安全コンプライアンスのバランスを保つ

セキュリティを確保しながら急速なイノベーションを実現することは難しい作業であり、企業は常にそのバランスを取るのに苦労しています。この点に関して、Amazon Web Services には 3 つの概念があります。最初のステップは、クラウド上のイベント駆動型アーキテクチャを使用して、脅威の検出からイベントの対応、原因の分析、回復までの一連の自動化された保護を確立することです。自動化によってのみ、会社の開発チームはビジネス革新にさらに多くの時間を費やすことができます。

2 番目に、クラウドのセキュリティは、単に事後対応的ではなく、事前に設計されます。セキュリティとビジネスは統合されており、セキュリティ コンプライアンスは、セキュリティ コンプライアンス インシデントへの遅れた対応ではなく、設計に基づく必要があります。セキュリティ構築は事前に計画し、予防、検出、対応、修復の 4 つの側面から設計する必要があります。

3 番目に、クラウド セキュリティは、タマネギ型の階層化された保護メカニズムである必要があります。

タマネギ型多層防御モデルの詳細な説明

Amazon Web Services のオニオン型多層保護モデルは、脅威の検出とインシデント対応、ID 認証とアクセス制御、ネットワークとインフラストラクチャのセキュリティ、データ保護とプライバシー、リスク管理とコンプライアンスの 5 つのレイヤーで構成されています。

第一レベルの脅威検出とインシデント対応: Gu Fan 氏は、Amazon Web Services の脅威検出およびインシデント対応ソリューションは、正確な位置特定、迅速な対応、継続的な監視、原因分析という 4 つの主要な要素を備えたプロの天気予報士のようなものだと述べました。 Amazon GuardDuty は脅威を正確に特定できます。 Amazon eコマースからの直接的な脅威インテリジェンスソースが組み込まれており、CrowdStrikeとProofpointの業界トップの脅威インテリジェンスソースと統合され、世界のトップクラスのセキュリティ企業と協力して、インテリジェンスソースを継続的に充実させています。次に、Amazon GuardDuty は機械学習機能を統合して API 呼び出しの動作をモデル化し、それを確率予測と組み合わせて、非常に疑わしいユーザーの動作をより正確に分離して警告します。機械学習を使用すると、異常検出のみの場合と比較して、疑わしいユーザー行動に対するアラートの数を 50% 削減できます。

Amazon Security Hub は、24 時間 365 日のリアルタイムのオンライン脅威検出を可能にし、脅威イベントの上流と下流を接続して原因を分析します。 Amazon Security Hub は、さらなる分析や視覚化のために、Splunk または Splunk で構築された一連の SIEM プラットフォームにデータを送信することもできます。

ID 認証とアクセス制御の第 2 層:最小限の承認の原則を維持し、各承認がビジネスと責任に関連しているかどうかを確認します。第二に、最小権限の原則は定期的に監査されなければなりません。

技術的には、アクセスの粒度は可能な限り細かくする必要があります。時間、場所、サービスに応じてアクセス条件を設定できます。また、MFA を組み合わせて ID 認証を強化し、長期的な資格情報の使用を減らすことも最適です。 Amazon Identity and Access Management (IAM) は、ID 認証とアクセス制御のためのコアサービスです。すべての Amazon Web Services とリソースを対象とするきめ細かいアクセス制御を提供できます。 Amazon Organizations は、組織の複数のアカウントを一元的に管理および統制し、アクセス許可保護メカニズムとデータ境界を確立できる、効率的な ID 認証およびアクセス制御サービスです。

第 3 層のネットワークとインフラストラクチャのセキュリティ:ネットワークのエッジにおける Amazon Web Services の重要な保護製品は、Amazon Shield Advanced です。顧凡氏は、Amazon Shield Advanced は保険のようなサービスを提供すると述べた。リソースが Amazon Shield Advanced にロードされている限り、リソースは 24 時間保護され、料金はトラフィックのサイズや攻撃の数とは無関係です。もう一つの重要な製品は Amazon WAF です。 Amazon WAF には、最新の攻撃をターゲットに Amazon のセキュリティ専門家チームが開発したルール、完全に管理されたルール、ユーザーがニーズに応じてカスタマイズできるルールなど、アプリケーション層攻撃に対する豊富なルールライブラリがあります。顧客はパートナーからルールを読み込むこともできます。

データ保護とプライバシーの第 4 層: Amazon KMS キー管理サービスは、保存中に暗号化を実装します。 140 の Amazon Web Services と統合されており、これらのサービスに保存されているデータを暗号化できます。 Amazon CloudHSM は、安全でシンプルなクラウドベースの暗号化マシンを提供します。 Amazon Web Services は、データ ライフサイクル全体にわたる暗号化サービスを提供しており、データの保存段階だけでなく、データの使用、転送、そしてコンピューティングで使用するためにデータが実際に取得される段階のチェーン全体での暗号化も考慮されています。

さらに、Amazon Nitro Enclaves はクラウド内で機密コンピューティング環境を提供します。これにより、お客様は自社のシステム管理者、開発者、アプリケーションにアクセスを許可せずに機密データを処理するための隔離された環境を作成できるため、機密データの処理中に攻撃対象領域を減らすことができます。

リスク管理とコンプライアンスの第 5 層: Amazon Web Services 自体のコンプライアンスが含まれます。成熟したコンプライアンス ソリューションはベスト プラクティスです。 Amazon Audit Manager は、コンプライアンス監査においてお客様を支援します。パートナー向けのコンサルティングおよび実装機能に関する豊富な経験を提供します。

結論

Amazon Web Services は 5 つの大きな利点を備え、企業にクラウド セキュリティのベスト プラクティスとトレーニングを提供し、顧客がクラウド セキュリティの文化と戦略を構築できるよう支援し、企業がクラウド上でより安定的かつ安全に活動できるようにします。これらには、優れた可視性と制御、自動化のための緊密な統合、最高のセキュリティとプライバシー保護基準を備えた構築、顧客が継承できるセキュリティとコンプライアンス、豊富なセキュリティおよびコンプライアンス パートナーが含まれます。