クラウド コンピューティング テクノロジーの継続的な発展と広範な応用により、ますます多くの企業や開発者がワークロードをクラウド プラットフォームに移行することを選択し、AWS (Amazon Web Services) は最も人気のあるクラウド サービス プロバイダーの 1 つになりました。しかし、クラウド環境においてもセキュリティ上の問題、特にアカウントとリソースの保護が、クラウド環境の安定した運用を確保するための鍵となっています。 AWS は、ユーザーがクラウド内でデータを安全に保つために役立つ、さまざまな強力なセキュリティツールとベストプラクティスを提供しています。この記事では、AWS リソースの保護を強化し、クラウド環境を潜在的な脅威から保護するのに役立つ 10 の AWS セキュリティのベストプラクティスを紹介します。
1. 強力で安全なパスワードを作成する
常に使用するランダムに生成された強力なパスワード、パスワードには少なくとも24〜30 文字の記号、大文字、数字。
2. あらゆる場所で多要素認証
AWSではルートアカウント(欠かせない) およびその他のアカウント。アカウントがハッキングされるのを防ぎたい場合は、できるだけ一貫して MFA を適用してください。
3. ルートアカウントから資格情報を削除する
ルート アカウントは、環境内のすべてのものにアクセスできるため、AWS にサインアップするためにのみ使用し、他の目的には使用しないでください。最初のステップはいからプログラムによるアクセス権を削除します。
IAM ユーザーを作成し、呼び出す予定の API に必要な権限のみをそのユーザーに付与します。
4. CloudTrailログを有効にして、トレースを別のアカウントに保存します。
CloudTrail を使用すると、AWS 環境で発生するすべての事象を記録し、セキュリティ侵害を検出して調査することができます。
次のベストプラクティスは一般的なガイドラインです: 必要に応じて調整してください。
- すべての AWS リージョンに証跡を適用するには:AWS アカウントで発生するすべてのイベントを必ずログに記録してください。
- CloudTrail ログファイルの整合性を有効にする:ログ ファイルが削除または変更されたかどうかを通知します。
- ログは常に別のアカウントに保存する: 厳格なセキュリティ制御、アクセス、職務の分離を実装します。
- 標準の S3-SSE の代わりに AWS KMS を使用してキーを管理します。簡単で管理しやすいセキュリティ層を提供します。
5. IAMユーザー、グループ、ロールを使用して操作する
日常業務では root ユーザーを使用しないでください。代わりに、AWS を引用します: 最初の IAM ユーザーを作成するときは、ルート ユーザーのみを使用するというベスト プラクティスに従ってください。アクセス資格情報と秘密資格情報を安全に保存できます。特定のタスクに必要な場合を除きます。
IAMユーザーAWS リソースに対してアクションを実行できる IAM ID を表します。ユーザーグループIAM ユーザーの集合を 1 つの単位として扱います。最後に、ロールはリソースに直接接続され、他のリソースに対する操作を実行できるようになります。
6. IAMポリシーに最小権限の原則を適用する
管理者権限を使用してすべてにアクセスしないでくださいすべての権限を拒否タスクを完了するために必要な特定のサービスに対する権限から始めて、タスクを完了するために必要な特定のサービスに対する権限を徐々に追加します。これにより、最小権限の原則が遵守されます。
7. AWS Organizationsでプロジェクトアカウントを設定する
AWS Organizations は、複数のアカウントを一元管理できるアカウント管理サービスです。組織構造を定義すると、組織単位ごとにアカウントの使用をより適切に分類および定義できます。
さらに、AWS Organizations には、料金の全体的な内訳を表示するための統合請求が含まれています。これにより、異常をより早く発見できるようになります。
組織内で AWS シングルサインオンが有効になっている場合は、Leapp を通じてプログラムで適格なロールにアクセスできます。
AWS組織がセキュリティ目的で使用サービス制御ポリシーは、すべてのアカウントの IAM ポリシーよりも優先して機能し、利用可能な最大権限を制限します。組織単位に適用すると、さまざまな会社の領域の権限の境界を定義するのに役立ちます。
8. AWS Configルールと請求アラートを有効にする
AWSはAWSリソースが改ざんまたは不正使用されていないことを確認する道具。
AWS Config では、アカウント内の AWS リソースの構成の詳細なビューが提供されます。これには、それらが互いにどのように関連しているか、および過去にどのように構成されていたかが含まれます。 AWS Config を使用すると、時間の経過とともにどのように変化するかを理解できます。
請求アラートと請求しきい値アカウントに問題がある場合に通知を受け取るためのもう 1 つの優れた方法です。
9. すべての層でセキュリティを適用する
AWS を使用してプロジェクトを構築するときは、常にアプリケーションと環境のすべてのレイヤーを保護するように努めてください。
- プロトコルとして HTTPS を使用します。これを行うには、API Gateway、CloudFront、LoadBalancers、または単純な EC2 インスタンスなどのサービスを使用できます。 B2B アプリケーションを開発している場合は、相互 TLS 認証も考慮してください。
- リソースにセキュリティ グループを適用して、環境の内外で通信できる CIDR、特定の IP アドレス、ポートを慎重に管理します。
- 適切なネットワーク設計を適用し、インターネットへの直接アクセスを必要としないすべてのリソースをプライベート VPC に分離して、監視しやすい特定のゲートウェイへの入力を減らすようにしてください。
- 可能な限り、常に暗号化を適用します。 AWS では、S3 での直接暗号化、キー管理用の KMS、EBS ボリュームの直接暗号化機能が提供されていることに注意してください。
10. 一時的に生成された認証情報を使用する
認証情報と .aws フォルダは悪意のある攻撃のベクトルとなる可能性があります。
すべての認証情報を保護し、IAM Simple Token Serviceを通じて一時的な認証情報を作成する手間を省くために、オープンソース プロジェクト Leapp。
その機能の一部を簡単に紹介します。
- ワンクリックでクラウド認証情報を生成
- データはOSのシステムボールトにローカルで暗号化されて保存されます
- 複数のクラウドアクセスサポート戦略
- 短期認証情報の自動ローテーション
- AWS シングルサインオンでセッションを自動設定する
- フレンドリーでスムーズなユーザーインターフェース :)
結論は
クラウド環境では、セキュリティはすべてのユーザーが注意を払う必要がある中心的な問題です。この記事で説明されている 10 のベスト プラクティス (強力なパスワードの作成、多要素認証の有効化、最小権限の原則の適用、セキュリティ監視とログ記録の有効化など) を実装することで、アカウントやリソースが侵害されるリスクを大幅に軽減できます。さらに、AWS Organizations や一時的な認証情報などのツールを使用すると、セキュリティ保護がさらに強化され、システムが常に制御され追跡可能な状態になることが保証されます。 AWS 環境の規模に関係なく、これらのセキュリティのベストプラクティスはクラウドリソースを強力に保護し、安心して作業できるようにします。
オンクラウドAIAWS エージェントとして、Amazon クラウド サービスの提供、Amazon クラウド サーバーの AWS 支払いのサポート、AWS 移行、AWS 運用保守ホスティングなどのサービスを提供します。関連するニーズがございましたら、お問い合わせください。オンクラウドAI。
