クラウドネイティブの AWS サービスを活用してセキュリティ体制を強化するにはどうすればよいでしょうか?

[[428809]]

この記事はWeChat公式アカウント「新チタン雲務」から転載され、喬炳成が翻訳したものです。この記事を転載する場合は、Xintai Cloud Service公式アカウントまでご連絡ください。

クラウド インフラストラクチャは脅威に対してますます脆弱になっているため、ベスト プラクティスとクラウドネイティブの AWS サービスを使用してセキュリティ体制を改善する方法を検討します。

Sophos によると、2020 年には、クラウド上でワークロードをホストしている組織の 70% 以上がセキュリティ インシデントに直面しました。脅威の数が増え続けるにつれて、あらゆる規模の組織にとって、データの安全性を確保するためにクラウド セキュリティがさらに重要になります。

これらの脅威は、クラウドネイティブの AWS サービスを活用し、トップダウンのリーダーシップ実装を通じて企業全体のセキュリティインフラストラクチャを強化することで回避できます。ただし、AWS セキュリティ サービスに移行する前に、まずクラウドに関連するリスクと、その軽減または防止策について理解しておく必要があります。

AWS クラウド セキュリティ リスク トップ 10

AWS はさまざまなセキュリティオプションを提供していますが、利用可能なソリューションの包括的な機能を活用していない組織は、さまざまな脆弱性にさらされる可能性があります。以下にそのいくつかを挙げます。

1. 可視性の欠如

クラウド リソースのライフサイクルは通常短く、組織がクラウド インフラストラクチャでホストされているすべてのものを追跡することは困難な場合があります。その結果、可視性が断片化されて脅威の検出が困難になり、多くの課題が生じます。

2 S3 バケットの権限が多すぎる

S3 バケットへのアクセスを細かいレベルで制限しないと、管理者は権限のないユーザーに過剰なアクセスを許可してしまう可能性があります。これらのユーザーがプライベートデータをパブリックバケットにアップロードすると、多くのセキュリティ上の問題が発生します。

さらに、管理者がそのような資産に対して最小限の権限を強制しない限り、ユーザーは AWS コンソールを使用してアクセスオプションを上書きできます。

3. ルートアカウントへのアクセスを公開する

攻撃者は多くの場合、ルート アカウントを使用してクラウド サービスに不正にアクセスします。これは、ルート API アクセスが適切に無効にされていない場合に発生する可能性があります。ハッカーは、システムへのルートアクセスを取得するためのゲートウェイとしてこれをよく使用します。

4変更されていないIAMアクセスキー

IAM アクセスキーを長期間ローテーションしないと、ユーザーのアカウントとグループが攻撃に対して脆弱になる可能性があります。したがって、攻撃者はこれらのキーを入手してルート アカウントに不正アクセスするための時間が長くなります。

5 つの不適切な認証方法

攻撃者は、アカウントの認証情報を盗むために、フィッシングやその他のソーシャル エンジニアリング手法を使用することが多いです。攻撃者はこれらの資格情報を使用してパブリック クラウド環境に不正にアクセスし、ユーザーの認証なしでこれらの環境に簡単にアクセスできるようになります。

6. 弱い暗号化

暗号化が弱いと、ネットワーク トラフィックが安全でなくなることがよくあります。暗号化が弱いと、侵入者がストレージ アレイ内のデータなどの機密データにアクセスできるようになります。完全なデータセキュリティを確保するには、ネットワークの弱いリンクを暗号化する必要があります。

7 不必要な特権

これは、ユーザーアカウントを管理し、他のユーザーにアクセス許可を付与するために AWS IAM が正しくデプロイされていない場合に発生する可能性があります。さらに、一部の管理者はユーザーに過度のアクセス権を付与しており、機密アカウントの資格情報が盗まれた場合に問題が発生する可能性があります。

8 つのパブリック AMI

AMI (Amazon Machine Image) は、起動されたインスタンスで使用するオペレーティングシステム、アプリケーションサーバー、アプリケーションなどのソフトウェア構成を含むテンプレートとして機能します。パブリック AMI は機密データを他のユーザーに公開することが多く、危険な場合があります。

9. セキュリティグループのIP範囲が広い

セキュリティグループはファイアウォールとして機能し、あらゆる AWS 環境内のトラフィックをフィルタリングおよび制御します。管理者は、セキュリティ グループに不要な広範囲の IP を割り当てることがよくあります。

10. 監査の欠如

クラウド セキュリティ監査は見落とされがちですが、セキュリティ監査はアクセス権限、内部脅威、その他の潜在的なリスクを追跡するのに非常に役立ちます。残念ながら、ネットワーク上のユーザーアクティビティに対する適切なチェックとバランスは整っていません。

AWS クラウドセキュリティプラクティス

以下に定義するセキュリティプラクティスに従うだけで、AWS クラウドのセキュリティを強化できます。

セキュリティソリューションで可視性を向上

AWS セキュリティ可視性ソリューションを実装して、仮想マシン、ロードバランサー、セキュリティグループ、ユーザーなど、すべてのリソースを監視します。さらに、より優れた可視性戦略を実装するには、AWS 環境を理解することが重要です。

ルートアカウントのアクセスを制限する

ルート アカウントは、組織内の権限が限られた少数のユーザーのみに制限する必要があります。不正アクセスを防ぐために、各ルート アカウントに多要素認証システムを導入します。

IAM アクセスキーのローテーション

ハッカーが古い IAM アクセス キーを入手した場合でも、不正アクセスのリスクを最小限に抑えるために、IAM アクセス キーを少なくとも 90 日ごとにローテーションします。さらに、必要な権限を持つユーザーは、IAM キーを自分でローテーションすることもできます。

強力な認証ポリシー

すべての管理者とユーザーが自分のアカウントに多要素認証を実装し、適切な認証戦略を確立します。 Amazon AWS では、コンソール対応のすべてのアカウントで MFA を有効にすることを強くお勧めします。攻撃者が資格情報を侵害した場合でも、強力な認証プロセスにより機密アカウントにログインすることはできません。

最小権限の原則

あらゆるクラウド環境における IAM 構成は、過剰な権限による不正アクセスを防ぐために、最小権限の原則に従う必要があります。ユーザーとグループには、過度の権限を与えず、必要な権限のみを付与する必要があります。

IP範囲を制限する

セキュリティ グループの IP 範囲を制限して、攻撃者に悪用される可能性のある不要なオープン ゲートウェイなしでネットワークがスムーズに実行されるようにします。

監査履歴あり

AWS CloudTrail は、AWS マネジメントコンソール、AWS SDK、コマンドラインツール、その他の AWS サービスを通じて実行されたアクションなど、AWS アカウントに関連付けられたアクティビティの履歴を提供します。 CloudTrail は、リソースの変更の監視とトラブルシューティングを簡素化します。

AWS を使用したクラウド セキュリティ態勢管理

クラウド資産を慎重に管理して脆弱性や侵害を防ぎ、全体的なセキュリティ体制を強化します。クラウド環境では、AWS とユーザーの両方がクラウド インフラストラクチャとアプリケーションを保護する責任を負います。

AWS はクラウド インフラストラクチャ全体のセキュリティ保護に責任を負っていますが、ユーザーにも、重大な脅威が環境に侵入するのを防ぐために内部運用を保護する大きな責任があります。

クラウドのセキュリティ インフラストラクチャを強化するには、主に 2 つの方法があります。

• AWSセキュリティサービスを活用することで
• マネージドセキュリティサービスを活用することで

AWS セキュリティサービス

AWS は戦略的なセキュリティアプローチを使用して、クラウド環境をさまざまな脅威から保護します。このプロセスは、予防、検出、対応、修復の 4 つのステップに分けられます。

AWS は、アプリケーション、クラウド インフラストラクチャ セキュリティ、クラウド セキュリティ ポスチャ管理、エンドポイント セキュリティ、ID およびアクセス管理などのための統合セキュリティ ソリューションを提供します。

マネージドセキュリティサービス

これには、AWS Marketplace で利用可能なすべてのクラウドセキュリティポスチャ管理 (CSPM) ツールが含まれます。これらのツールには、Pervasio、CrowdStrike、Sophos、CloudGuard などが含まれます。

これらのツールの中には、脆弱性スキャナーが組み込まれているものもあれば、Sophos などのツールではクラウド環境に重大な脅威がないかチェックし、すべてのベストプラクティスが使用されていることを確認します。

Rapid7 などの他のサードパーティ ソリューションを使用すると、すべてのクラウドの誤った構成を自動的に修復できます。 Netskope は、AWS の一部である別のマネージド サービス プロバイダーであり、クラウド環境での作業中にリアルタイムのデータと脅威からの保護を提供します。

概要: クラウド セキュリティのすべてのリスクを考慮すると、組織は、プロバイダーに関係なく、あらゆる種類のセキュリティ ソリューションに頼る前に、ベスト セキュリティ プラクティスを使用していることを確認する必要があることは明らかです。

クラウド インフラストラクチャは脅威の影響を受けやすいため、エンタープライズ インフラストラクチャの全体的なセキュリティ体制を強化することは、成功する企業にとって最優先事項です。

元の記事: https://dzone.com/articles/using-best-practices-amp-cloud-native-aws-services