アマゾン ウェブ サービス (AWS) などの主要なクラウド プラットフォームを使用すると、組織は、社内で同様の展開を行う場合にかかる費用の数分の 1 の価格で、スケーラブルで柔軟なコンピューティング インフラストラクチャを利用できます。 ただし、組織はクラウドベースのインフラストラクチャの使用と利点をすぐに導入しますが、クラウド セキュリティは多くの場合遅れをとっており、広範なクラウド データ侵害やその他のクラウド セキュリティインシデントにつながります。 これらの知識のギャップを埋めることは、組織の AWS デプロイメントをサイバー脅威から保護するために不可欠です。
ここでは、AWS およびパブリック クラウド環境で一貫したセキュリティ体制を確立および維持しながら、強力なAWSセキュリティを実装するためのベスト プラクティスについて説明します。 この AWS セキュリティのベスト プラクティス リストでは、AWS クラウドを保護するための最新のガイダンスを提供します。
多くの組織は、クラウド環境に強力なサイバーセキュリティを導入することに苦労しています。 クラウド インフラストラクチャを保護するための最も一般的な課題は次の 4 つです。
クラウドでは、組織は基盤となるインフラストラクチャを制御できず、多くの場合、可視性を維持するための従来のアプローチ (ログ ファイルへのアクセス、エンドポイント セキュリティ ソリューションの使用など) が使用できなくなります。 そのため、クラウド サービス プロバイダーが提供するソリューションに依存することになりますが、ソリューションはプロバイダーごとに異なり、組織のすべてのクラウドベース環境に対する一貫した可視性を維持することが困難になります。 企業は、あらゆるクラウド環境に導入でき、組織のクラウドベースの資産すべてを検出して一貫した可視性を提供できるセキュリティ ソリューションを利用する必要があります。
クラウドで強力なサイバーセキュリティを実現するのは困難に思えるかもしれませんが、不可能ではありません。 この AWS セキュリティのベストプラクティスチェックリストに従うことで、AWS デプロイメントのセキュリティを向上させることができます。
1. AWS での資産の定義と分類:存在を知らないシステムを保護することは不可能です。 AWS デプロイメントのセキュリティを向上させる最初のステップは、所有する資産を特定し、それらを目的に基づいてカテゴリに整理することです。
2. データとアプリケーションの分類を作成する:すべての AWS アセットが特定されたら、関連するデータと機能の機密性と重要性に基づいて、各アセットまたはアセットのカテゴリにセキュリティ分類を割り当てる必要があります。 これらの分類は、各資産に必要な保護レベルと特定のセキュリティ制御を決定するのに役立ちます。
クラウドベースのインフラストラクチャには、従来のオンプレミス環境とは異なるセキュリティ アプローチとツールが必要です。 組織の AWS デプロイメントを効果的に保護するには、クラウド向けに設計されたセキュリティ ソリューションを導入することが不可欠です。
3. クラウド アクセスの管理:クラウド ベースのリソースには、組織の既存のネットワーク境界 (およびそこに展開されているセキュリティ スタック) を介してトラフィックを送信せずに直接アクセスできるため、クラウド ベースのインフラストラクチャへのアクセスを制限することが不可欠です。
4. クラウドネイティブのセキュリティ ソリューションを使用する:最近のクラウド セキュリティ レポートでは、回答者の 82% が、従来のセキュリティ ソリューションはまったく機能しないか、機能が制限されていると考えています。 クラウドネイティブのセキュリティ ソリューションは、クラウド資産の保護に最適です。 さらに、クラウドネイティブのセキュリティ ソリューションを導入すると、保護対象の資産の隣にセキュリティ機能が配置され、セキュリティ ソリューションが導入環境内で最適に動作することが保証されます。
5. すべての境界を保護し、すべてをセグメント化する: オンプレミスのセキュリティには、外部とのネットワーク接続という単一の境界があります。 クラウド セキュリティには複数の境界があります。クラウド ネイティブ サービスごとに 1 つ以上です。 組織は、 南北および東西のトラフィックを含むすべての境界を確実に保護する必要があります。 さらに、クラウド ワークロードが適切にセグメント化および分離されていればいるほど、侵害の影響を抑えることが容易になります。
Amazon は、AWS の顧客をサイバー脅威から保護するために、さまざまな組み込みのセキュリティ構成とツールを提供しています。 これらの設定を適切に構成することは、組織の AWS デプロイメント全体で一貫したクラウド セキュリティ体制を確保するために重要です。
6. AWS アカウント、IAM ユーザー、グループ、およびロールの管理:クラウドベースのインフラストラクチャはパブリック インターネットから直接アクセスできるため、ID およびアクセス管理 (IAM) はクラウド コンピューティングの優先事項です。 組織のクラウドベースのインフラストラクチャ内でデータ侵害やその他のサイバーセキュリティ インシデントが発生する可能性を最小限に抑えるには、最小限の特権の原則 (ユーザーには業務の遂行に必要なアクセスと権限のみが付与される) を実装することが不可欠です。
7. Amazon EC2 インスタンスへのアクセスを管理する:組織の EC2 インスタンスにアクセスできる攻撃者は、既存のアプリケーション内の機密データや機能にアクセスしようとしたり、組織のリースされたコンピューティング能力を浪費または悪用する仮想通貨マイナーなどの新しい悪意のあるアプリケーションを導入したりする可能性があります。 組織の AWS 導入におけるサイバーセキュリティのリスクを最小限にするには、最小特権の原則に基づいて EC2 へのアクセスを制御することが必要です。
サーバーレスおよびコンテナ化されたデプロイメントを使用して、クラウドベースのマイクロサービスを実装する組織が増えています。 これらの独自のアーキテクチャには、クラウド ワークロード保護など、ニーズに合わせたセキュリティが必要です。
8. サーバーレスおよびコンテナーにクラウド ワークロード保護を実装する:クラウド インフラストラクチャのマイクロサービス ワークロードには、従来のアプリケーションとは異なるセキュリティ ソリューションが必要です。 可観測性、最小権限の強制、仮想対策機能などのクラウド ワークロード保護の導入は、コンテナ化されたマイクロサービス、サーバーレス サービス、およびその他のマイクロサービスに対する潜在的なサイバー脅威を最小限に抑えるために不可欠です。
多くの組織は、サイバー脅威がネットワーク内でアクティブになった場合にのみ対応する、事後対応型のサイバーセキュリティ戦略を導入しています。 ただし、これはインシデント対応活動を遅らせることで組織を危険にさらします。 組織は、クラウドベースのインフラストラクチャ内でよりプロアクティブなセキュリティ防御を実装するために、いくつかの手順を実行できます。
9. 脅威インテリジェンス フィードを購読する: 脅威インテリジェンスは、現在および進行中のサイバー脅威に関する貴重な情報と侵害の兆候を提供します。 脅威インテリジェンス フィードを購読し、それを組織のクラウドベースのセキュリティ ソリューションに統合すると、潜在的なサイバー脅威を早期に特定してブロックすることができます。
10. AWS で脅威ハンティングを実行する:進行中の攻撃の特定と対応に基づいた完全に事後対応型のサイバーセキュリティ ポリシーは、組織をリスクにさらします。 攻撃が特定されるまでに、攻撃者はすでに組織のクラウドベースのインフラストラクチャにアクセスし、データを盗んだり、その他の損害を与えたりしている可能性があります。 サイバーセキュリティ アナリストがネットワークへの潜在的な侵入の兆候を探すプロアクティブな脅威ハンティングを実行すると、組織はサイバーセキュリティ防御を検出されずにすり抜けた脅威を特定して修復できます。 これには、組織のクラウド インフラストラクチャに対する詳細な可視性が必要であり、スケーラブルで効果的な脅威インテリジェンス フィードと自動データ分析へのアクセスが必要です。
11. インシデント対応 ポリシーと手順を定義する: 多くの組織では、既存の サイバーセキュリティ ポリシーと手順が整備されています。 ただし、これらのポリシーと手順は、ネットワーク インフラストラクチャのすべてのコンポーネントを完全に可視化し、制御できるオンプレミス環境向けに設計されている可能性があります。 組織のクラウドベースのデプロイメント内でサイバーセキュリティの脅威に効果的に対応するには、オンプレミスとクラウドベースのデプロイメントの違いに対処するためにこれらのポリシーを更新および適応させることが不可欠です。
ほとんどの組織には、所有する機密性の高い顧客データをどのように保護する必要があるかを定義する多くの規制が適用されます。 これらの規制は組織のクラウド インフラストラクチャにも適用されるため、組織はクラウドにおけるこれらの規制を継続的に遵守するための措置を講じる必要があります。
12. セキュリティ制御の可視性を確保する: データ保護規制では、通常、組織が特定の攻撃ベクトルから機密データを保護するための一連のセキュリティ制御を実施していることが規定されています。 規制コンプライアンスには、セキュリティ制御が継続的に可視化されていることを確認し、それらが正しく機能していることを検証する能力が必要です。これにより、組織のセキュリティ体制が改善され、サイバーセキュリティのリスクが軽減されます。
13. 規制遵守を継続的に検証する:組織が必要なセキュリティ管理の可視性を維持していることを確認することに加えて、組織のセキュリティ整備が適用される規制のニーズを満たしていることを検証することも重要です。 これには、適用される規制と組織のクラウドベースのインフラストラクチャの確認、特定されたセキュリティ ギャップの特定と閉鎖が含まれます。
クラウド セキュリティには、従来のオンプレミス環境とは異なるプラクティスとツールが必要です。 組織は、セキュリティへのアプローチをクラウドベースのデプロイメントの動的かつ機敏な性質に適応させ、サイバー脅威に対する AWS デプロイメントの保護を最大限に高めるためにクラウドネイティブのセキュリティソリューションを選択する必要があります。
組織のクラウド セキュリティを改善するための最初のステップは、攻撃に対して脆弱なままにする可能性のある既存のセキュリティギャップを特定することです。 このセルフガイド評価には、 100 を超えるコンプライアンス要件を監査する完全なセキュリティ レポートが含まれており、AWS デプロイメント内のセキュリティ設定ミスをチェックし、AWS 資産の完全なインベントリを提供し、特定された問題を修正するために実行するアクションの優先順位付きリストを生成します。
さらに、このインスタント クラウド ネットワーク セキュリティ評価を使用すると、高度なクラウド ネットワーク セキュリティの脅威に対する脆弱性のレポートが送信されます。 または期間限定のチェック・ポイントでは、この評価が完了すると 100 ドルの AWS クレジットが送信されます。
組織の現在の AWS セキュリティ体制との潜在的なギャップと問題を特定したら、次のステップはそれらのギャップを埋めることです。 チェック・ポイントは、組織のクラウド セキュリティの自動化に役立つクラウドネイティブ ソリューションを提供し、包括的なクラウド保護を提供し、組織のセキュリティ チームの影響を最大化します。 また、お客様の AWS デプロイメントを保護するために当社がどのように支援できるかについて詳しく知りたい場合や、チェック・ポイント CloudGuard の動作を確認するためのデモをリクエストすることもできます。