VPCのアクセス制御
ネットワークACLとセキュリティグループの比較
| ネットワークACL | セキュリティグループ | |
| 設定単位 | VPC/サブネット単位で設定 | インスタンス(リソース)単位で設定 |
| 許可/拒否の設定 | ルールの許可と拒否が可能 | ルールの許可のみ可能 (許可しないものはすべて拒否) |
| ステーレス/フル | ステートレス | ステートフル |
| ルールの優先順位 | 番号を指定して優先順位を決定 | すべてのルールを評価 |
| デフォルト | 全ての通信を許可 | 同じセキュリティグループ内の通信のみ可 |
ファイアーウォール
AWS WAF
- 一般的はWebの脆弱性からWebアプリケーションまたはAPIを保護するファイアーウォール
- 詳細なログ情報も提供
AWS Shield
- DDoS攻撃からAWSリソースを保護するサービス
AWS Network Firewall
- VPCをまたぐ通信に対し、ファイアーウォールの役割を果たす
AWS Firewall Manager
- アカウント全体のファイアウォールルールを一元的に構成および管理する
- 組織内の複数のAWSアカウントにまたがるAmazon VPCセキュリティグループを一元的に構成・管理できる。
- VPCサブネットのトラフィック制御には使用されない。
AWS Security Hub
- AWSアカウント全体に対して、セキュリティアラートを一元管理
- アラートを標準化された形式で集約するクラウドセキュリティ状態管理(CSPM)
- セキュリティチェックを自動的に実行し、優先度が高いセキュリティ問題に対応することができる。
暗号化
KMS (AWS Key Management Service)
- 暗号化用のキーを作成・管理するサービス、キーの自動ローテーションが可能
- 幅広いAWSのサービスやアプリケーションの暗号化を制御できる
ACM (AWS Certificate Manager)
- SSL/TLS証明書を作成・管理するサービスCloudFront、EBSに証明書を適用することで通信を暗号化(HTTPS通信)する
AWS CloudHSM
- クラウドベースのハードウェアセキュリティモジュール(HSM)で、業界標準のFIPS 140-2のレベル3認証済みのHSMを使用して暗号化キーを管理する
自動検知
Amazon GuardDuty
- AWS上で発生する不正な動作や悪意のある操作などの脅威を自動検出するサービス
- 悪意ある操作や不正なトラフィック通信を継続的にモニタリングする脅威検出サービス
- 機械学習を使った自動検出が可能
Amazon Inspector
- ソフトウェアの脆弱性や意図しないネットワークへの接続などの脆弱性をリアルタイムで自動検出する管理サービス
Amazon Macie
- S3バケットに保存されたデータから機械学習によって個人情報などの機密情報(センシティブデータ)を自動的に検出、分類、保護するサービス
Amazon Detective
- CloudTrailのログ、VPCフローログ、GuardDutyの結果を自動収集して、潜在的なセキュリティ情報を分析するサービス
- AWSリソースからログデータを自動収集し、機械学習、統計分析、グラフ理論を使用して原因を特定する
AWS Audit Manager
- AWSリソース の使用状況を継続的に監査して、リスクとコンプライアンスの評価を自動化するサービス
- 監査に利用する証拠収集を自動化することで、クラウドでの監査機能を拡張できるようにする。
- ポリシー、手順、および活動 (コントロールとも呼ばれる) が効果的に機能しているかどうかを簡単に評価できる。
コメント