AWS セキュリティツールについて
今日は'デジタル時代を迎えたクラウドは、多くの企業にとって基盤となり、スケーラビリティ、柔軟性、費用対効果を提供しています。 しかし、クラウドサービスの継続的な採用に伴い、セキュリティ上の懸念も急増しています。 クラウド内のデータとアプリケーションの安全性を確保することは、組織にとって最も重要であり、そこでAmazon Web Services(AWS)の出番です。
この投稿では、 クラウドセキュリティ 今日で'のデジタルランドスケープ。 企業がスケーラビリティ、柔軟性、費用対効果のためにクラウドにますます依存するにつれて、データとアプリケーションの保護の重要性はかつてないほど高まっています。 これに関連して、アマゾン ウェブ サービス (AWS) は、これらのセキュリティ上の懸念に対処するための堅牢なソリューションを提供します。
AWS Security Best Practices [Cheat Sheet]
This cheat sheet goes beyond the essential AWS security best practices and offers actionable step-by-step implementations, relevant code snippets, and industry- leading recommendations to fortify your AWS security posture.
Download Cheat Sheet
クラウドセキュリティの必須事項
クラウド環境には多くの利点がありますが、多くの脅威の影響を受けやすい環境でもあります。 データ侵害から不正アクセスまで、潜在的なリスクは膨大です。 これらの課題を認識したAWSは、防御の最前線として安全なインフラストラクチャを提供することを優先しています。 AWSの'のセキュリティに対する取り組みは、クラウドのすべてのレイヤーを保護するように設計された包括的なツールスイートに表れています。
AWS Security Foundations For Dummies
Everything you need to know to protect your AWS environment
Download PDF
AWSが提供するトップセキュリティツール
AWSセキュリティツールの役割
AWSセキュリティツールは、不正アクセスやデータ侵害を防ぐだけではありません。 これらは、AWSアカウント、その中で実行されるアプリケーション、および利用されるサービスの全体的なセキュリティを確保する上で多面的な役割を果たします。 これらのツールは、AWS で重要な役割を果たします' 堅牢なセキュリティインフラストラクチャは、特定のセキュリティニーズに対応するソリューションを提供しながら、セキュリティ体制の全体像を提供します。
AWSの'セキュリティ製品は、大きく分類できます。
次のセクションでは、これらのツールについて深く掘り下げ、その機能、ユースケース、およびAWSユーザーに提供する利点について説明します。
IDおよびアクセス管理
エコシステム内で誰が何を閲覧できるかを制限することは、今日のデジタル世界では非常に重要です。 ここでの鍵となるソリューションは、AWSのよく知られたIDおよびアクセスウェブサービスです。
AWS Identity and Access Management (IAM) (英語)
AWS IAM は AWS セキュリティの基盤であり、組織が AWS のサービスやリソースへのアクセスを制御できるようにします。 また、AWS ユーザーとグループを作成および管理して、許可された個人のみが特定のリソースにアクセスできるようにすることもできます。
IAMの主な特徴をまとめると、以下のようになります。
AWS アカウントへの共有アクセス: 複数のユーザーにAWSアカウントへのアクセス権を付与し、コラボレーションと安全な運用を確保します。
きめ細かな権限: アクセス許可を微調整して、ユーザーが自分の仕事に必要なリソースへのアクセスのみを許可されるようにします。
アプリケーションへの安全なアクセス: IAM を他の AWS サービスと統合して、アプリケーションアクセスを保護します。
多要素認証: 2つ以上の検証方法を義務付けることで、セキュリティをさらに強化します。
IAMは、セキュリティを損なうことなくAWSリソースにアクセスできるようにすることで、大規模なチームのアクセス許可を管理するのに特に適しています。 また、許可された担当者のみにアクセスを制限するため、機密データを保護する場合にも使用する必要があります。
データ保護
多くの場合、データは組織にとって最も価値のある資産です。 AWS は、AWS Secrets Manager や Amazon Macie などのツールを提供して、データを安全に保ち、個人を特定できる情報 (PII) などの機密情報を確実に保護します。
AWS シークレットマネージャー
AWS シークレットマネージャー は、組織がアプリケーション、サービス、ITリソースへのアクセスを保護する必要がある場合に極めて重要なツールです。 機密情報を安全に管理し、秘密が確実に保護されるようにします'3つの重要な機能によって脆弱性になります。
シークレットのローテーション: 設定した間隔でシークレットを自動的に変更し、不正アクセスのリスクを軽減します。
安全でスケーラブルなシークレットストレージ: シークレットを安全に保存して、'再暗号化され、許可されたエンティティのみがアクセスできます。
シークレットの監視: シークレットへのアクセスを追跡および監視し、透明性とセキュリティを確保します。
AWS Secrets Manager は、以下のユースケースで役立ちます。
サードパーティサービスの認証情報の管理
以下のコードを使用して、APIキー、データベース認証情報、その他のシークレットを安全に保存できます。
aws secretsmanager create-secret --name MyTestDatabaseSecret
--説明: __________ "CLIで作成したテスト・データベース・シークレット"
--シークレット文字列 '{"ユーザー名":"テストユーザー","パスワード":"マイパスワード"}'このコマンドは、 MyTestDatabaseSecret (英語)説明と、ユーザー名とパスワードを含む JSON 形式のシークレット文字列。
シークレットのローテーションの自動化
これにより、シークレットが定期的に変更され、侵害のリスクが軽減されます。 シークレットの自動ローテーションを設定するには、ローテーションロジックを定義する Lambda 関数を作成し、この関数を使用するように Secrets Manager でシークレットを設定します。
aws secretsmanager rotate-secret --secret-id MyTestDatabaseSecret (英語)
--rotation-lambda-arn を使用します
arn:aws:lambda:region:account-id:function:rotation-function-name (英語)
--rotation-rules AutomaticallyAfterDays=30のコマンドは、 MyTestDatabaseSecret (英語) 指定されたLambda関数を使用し、シークレットが30日ごとに自動的にローテーションされるようにします。
アマゾンセキュリティレイク
アマゾンセキュリティレイク さまざまなソースからのセキュリティデータを一元化し、次の主要機能を備えた高度な脅威の検出と分析のための統合プラットフォームを提供します。
データの暗号化: Security Lake 内のすべてのデータが暗号化され、機密性が維持されるようにします。
データレイクのエクスポート: 詳細な分析やコンプライアンスの目的でデータをエクスポートします。
カスタムデータのアップロード: さまざまなソースからのデータを統合し、セキュリティの包括的なビューを確保します。
このツールは、潜在的な脅威や脆弱性をプロアクティブに検索することで、脅威ハンティングに役立ちます。 さらに、セキュリティデータの分析を提供して、洞察を導き出し、セキュリティ体制を改善します。
アマゾン Macie
アマゾン Macie 機械学習とパターン認識を利用して、AWS内の機密データを検出して保護します。 Macie を使用すると、AWS ユーザーは機密データを大規模に理解して管理できるため、いくつかの主要な機能を介してデータプライバシー規制を簡単に満たすことができます。 以下では、これらをサンプルコードとともに説明します。
データディスカバリー: S3バケットを自動的にスキャンして、AWS内の機密データが存在する場所を特定します。
# S3 バケットを一覧表示し、Macie で確認するための Python コードスニペット
boto3をインポートします
s3 = boto3.client('S3の')
macie = boto3.client('macie2 さん')
# すべての S3 バケットを一覧表示する
バケット= s3.list_buckets()
バケツ内のバケツの場合['バケット']:
# Macie で各バケットに機密データを確認する
応答 = macie.create_classification_job(
jobType='ONE_TIME',
s3JobDefinition={
'bucket定義': [{'バケット名': バケット['名前']}]
}
)データ分類: 定義済みのデータ識別子を使用して、PII などの機密性に基づいてデータを分類します。
# 分類結果を取得するためのPythonコードスニペット
調査結果 = macie.get_findings()
検出結果['所見']:
print(f"機密データの種類: {finding['種類']}")セキュリティ アラート: Macie が潜在的な不正アクセスまたはデータ侵害を検出したときに、AWS CloudWatch または SNS を介して通知を受信します。
# Macie アラートの SNS トピックを作成するための Python コードスニペット
sns = boto3.client('SNSの')
topic = sns.create_topic(名前='MacieAlerts(マーシーアラート)')
macie_alert_arn = topic['TopicArn (トピック アーン)']ネットワークとアプリケーションの保護
ネットワークとアプリケーションを潜在的な脅威から保護することは非常に重要です。 このセクションで説明するツールは、分散型サービス拒否 (DDoS) 攻撃などのリスクからアプリケーションを保護するように設計されています。
AWSシールド
AWSシールド は、AWS アプリケーションを保護するために設計された、包括的なマネージド分散型サービス拒否 (DDoS) 保護サービスです。 これにより、ユーザーは、アプリケーションに変更を加えることなく、DDoS攻撃を受けた場合でも、アプリの可用性とパフォーマンスを確保できます。 その主な機能を、関連するサンプルコードとともに以下に示します。
DDoS攻撃対策: 最も一般的なDDoS攻撃ベクトルに対する堅牢な保護を実現し、アプリケーションの可用性を維持します。
# AWS Shield アドバンスド 保護を有効にするための Python コードスニペット
boto3をインポートします
シールド= boto3.client('盾')
応答 = shield.create_protection(
名前='マイプロテクション',
ResourceArn='arn:aws:elasticloadbalancing:us-west-2:123456789012:loadbalancer/app/my-load-balancer/50dc6c495c0c9188'
)コスト保護: AWS Shield がスケーリング料金を負担するため、DDoS 攻撃によって AWS のサービスがスケーリングされた場合の財務負担を回避できます。
脅威インテリジェンス: 現在進行中の攻撃と過去の攻撃に関する詳細な洞察を受け取り、脅威の状況を理解し、防御を強化するのに役立ちます。
コンプライアンス管理
関連する業界の規制や規格への準拠を確保することは必須です。 AWS は、AWS CloudTrail や AWS Config などのツールを提供し、リソースの変更を追跡し、設定を監査することで、組織がコンプライアンスを維持できるようにします。
AWS CloudTrail
AWS CloudTrail は、AWS 環境全体のユーザーとリソースのアクティビティを可視化する強力なサービスです。 CloudTrail は、変更と更新の包括的なログを取得することで、組織が安全でコンプライアンスに準拠した AWS 環境を維持し、運用とリスクの監査を容易にするのに役立ちます。
AWS CloudTrail にはいくつかの重要な機能があります。
イベント履歴: CloudTrail のイベント時系列ログを使用して、AWS 環境での過去のすべてのアクションと変更を確認します。
# 最近のイベントを検索するためのPythonコードスニペット
boto3をインポートします
cloudtrail = boto3.client('cloudtrail (クラウドトレイル)')
イベント= cloudtrail.lookup_events(LookupAttributes=[{'AttributeKey (属性キー)':'イベント名', '属性値':'インスタンスの実行'}])
events in events['イベント']:
print(イベント['イベント名'], イベント['イベント時間'])管理イベント: AWS アカウントのリソースに対して実行された管理オペレーションに関する情報を常に把握します。
# 管理イベントをフィルタリングするPythonコードスニペット
management_events = cloudtrail.lookup_events(EventCategory='管理')
management_eventsのイベントの場合['イベント']:
print(イベント['イベント名'], イベント['ユーザー名'])データイベント: リソース自体上またはリソース内で実行されるリソース操作に関する分析情報を活用します。
# S3バケットのデータイベントをフィルタリングするPythonコードスニペット
data_events = cloudtrail.lookup_events(LookupAttributes=[{'AttributeKey (属性キー)':'リソースの種類', '属性値':'AWSの場合::S3::オブジェクト'}])
data_eventsのイベントの場合['イベント']:
print(イベント['イベント名'], イベント['リソース'])洞察 力: リソースプロビジョニングのスパイクなど、異常なアクティビティを特定します。
# インサイトイベントを取得するためのPythonコードスニペット
insights = cloudtrail.lookup_events(InsightSelectors=[{'インサイトタイプ': 'ApiCallRateInsight(アピコールレートインサイト)'}])
インサイトのインサイト['イベント']:
print(insight['イベント名']、洞察['インサイト詳細'])AWS Config
AWS Config は、組織が AWS のリソース、設定、依存関係を明確に把握できるように設計された動的なサービスです。 変更を追跡し、必要なセットアップに対して構成を評価できるため、次の機能を介してAWS環境の安全性とコンプライアンスが維持されます。
リソースインベントリ: AWS Config は AWS リソース設定を継続的にモニタリングおよび記録するため、環境全体の設定を監査および確認します。
# 検出されたリソースを一覧表示するPythonコードスニペット
boto3をインポートします
config = boto3.client('設定')
resources = config.list_discovered_resources(resourceType='AWSの場合::EC2::例')
for resource in resources['リソース識別子']:
print(resource['リソース ID'])構成履歴: AWSリソースの設定履歴を深く掘り下げ、明確な監査証跡を提供します。
構成変更通知: 設定が変更されたときにリアルタイムのアラートを受信するように SNS トピックを設定し、次のことを確実にします。'常に通知されます。
コンプライアンス監査: AWS リソースが内部ポリシーと外部の規制基準の両方に従って設定されていることを確認します。
AWS Config と他のサービスの統合は、次のビジュアライゼーションに示されています。
AWS セキュリティハブ
AWS セキュリティハブ は、AWS エコシステム全体のセキュリティとコンプライアンスの管理を簡素化するために設計された一元化されたサービスです。 Security Hub は、AWS のサービスとサードパーティー製ツールからの調査結果を統合することで、統一された整理されたビューを提供し、最も重要なセキュリティアラートに集中し、堅牢なセキュリティ体制を維持できるようにします。
自動セキュリティチェック: AWS 環境を一連の AWS のベストプラクティス そして業界標準。
統合された AWS サービス: Security Hub をさまざまな AWS サービスと統合し、セキュリティとコンプライアンスの調査結果を包括的に把握できます。
コンプライアンス基準: CIS AWS Foundations などの標準に照らして AWS リソースを監視および評価します。
一元化されたダッシュボード: 一元化されたダッシュボードを介して複数のAWSアカウントとサービスからの調査結果を統合し、セキュリティとコンプライアンスの洞察を得ます。
Security Hub を使用すると、結果をフィルタリングして優先順位を付けることができるため、最も差し迫ったセキュリティの脅威をすばやく特定して対応できます。
脅威の検出
AWS は、AWS アカウントとワークロードに対する潜在的な脅威を継続的に監視および検出するツールを提供しています。 これらのサービスでは、機械学習と脅威インテリジェンス フィードを使用して、潜在的な脅威を発見します。
Amazon GuardDuty
Amazon GuardDuty は、AWSエコシステムにシームレスに統合される最先端の脅威検出サービスです。 GuardDuty は、悪意のあるアクティビティや不正なアクティビティを継続的にスキャンすることで、新たな脅威が出現しても、AWS アカウントとワークロードの安全性を確保します。 その主な機能を以下に示し、関連するコードスニペットを示します。
異常検出: AWS環境のアクティビティを常に監視し、標準から逸脱し、潜在的な脅威を示す可能性のあるパターンを特定します。
機械学習: 新しい脅威が存在していても特定'機械学習によって時間の経過とともに進化する GuardDuty の機能を活用しています。
# 注: GuardDuty は機械学習を内部で使用しており、その結果は機械学習機能を反映しています
findings = guardduty.list_findings(DetectorId=detector['DetectorId (検出器 ID)'])
検出結果['FindingIds (検索 ID)']:
print(検索)異常な API 呼び出しの検出: 悪意のあるアクティビティを示す可能性のある予期しない、または疑わしい API 呼び出しについてアラートを受け取ります。
# 通常とは異なる API 呼び出しに関連する結果をフィルタリングするための Python コードスニペット
基準= {
'種類': [{'価値': 'Recon:IAMUser/UnusualAPIActivity (英語)', '比較': '含む'}]
}
unusual_api_findings = guardduty.list_findings(DetectorId=detector['DetectorId (検出器 ID)'], FindingCriteria=criteria)
unusual_api_findings['FindingIds (検索 ID)']:
print(検索)未承認のデプロイの監視: アカウントの侵害や構成ミスの兆候である可能性のある予期しないリソースのデプロイを検出します。
Amazon インスペクター
Amazon インスペクター は、AWSとシームレスに統合される強力なセキュリティ評価ツールです。 Inspector は、潜在的な脆弱性や AWS のベストプラクティスからの逸脱についてアプリケーションを自動的に評価することで、いくつかの主要な機能を通じて、アプリケーションのライフサイクル全体を通じて安全性とコンプライアンスを維持することを保証します。
評価テンプレート: アプリケーションを評価するためのルールと標準を指定するテンプレートを定義します。
所見: 評価後、セキュリティの問題を強調する詳細な結果を取得し、タイムリーな修復を可能にします。
ベストプラクティスの確保: アプリケーションが AWS のベストプラクティス (セキュリティグループや SSH 設定を適切に構成するなど) に沿っていることを確認します。
アマゾン探偵
アマゾン探偵 は、AWS 環境のセキュリティ体制を強化するために設計された強力なツールです。 機械学習、統計分析、グラフ理論などの高度な手法を活用することで、セキュリティの調査結果に関する深い洞察が得られ、調査プロセスがより効率的かつ正確になります。
Amazon Detective の主な利点をまとめると、次のようになります。
異常検出: Amazon Detective のときに潜在的なセキュリティ上の懸念にフラグが立てられる'の機械学習アルゴリズムは、異常なパターンや動作を自動的に識別します。
# 異常検出を有効にする Python コード
detective = boto3.client('探偵')
応答 = detective.enable_anomaly_detection(accountId='123456789012')
print(response['地位'])視覚 エフェクト: 詳細な視覚化を通じてセキュリティの調査結果を探索し、複雑なセキュリティイベントを理解しやすくします。
セキュリティの調査結果: さまざまなAWSサービスからのデータを関連付けて、セキュリティイベントの全体像を把握します。
# セキュリティ検出結果を一覧表示するPythonコード
調査結果 = detective.list_findings(accountId='123456789012')
検出結果で検索する場合:
print(finding['身分証明書']、検索['種類'])過去のアカウント行動の分析: 過去のアカウントアクティビティを見直して、傾向、脆弱性、または潜在的な脅威を特定し、プロアクティブなセキュリティアプローチを確保します。
サードパーティー製ツールによる AWS セキュリティサービスの強化
AWSは包括的なネイティブセキュリティツールを提供していますが、クラウドセキュリティのランドスケープは広大で、常に進化しています。 サードパーティーのソリューションは AWS を強化できます'は、追加の保護レイヤー、特殊な機能、および強化された分析を提供します。
統合の価値
サードパーティー製ツールを AWS セキュリティサービスと統合すると、いくつかの利点があります。
集約されたセキュリティ情報: すべてのセキュリティ情報を独自のデータモデルの下にまとめることで、組織はセキュリティ体制を統一的に把握できます。
充実した調査結果: GuardDuty の調査結果などの AWS データをサードパーティーのインテリジェンスで強化することで、より多くのコンテキストを提供し、脅威をより迅速かつ正確に検出して対応することができます。
特殊な機能: 一部のサードパーティー製ツールは、ネイティブの AWS ツールでは利用できない特殊な機能を提供し、ニッチなセキュリティニーズに対応しています。
Connect Wiz with AWS
Gain complete visibility into your entire AWS estate across workloads, data stores, accounts, and environments.
Learn more
Wiz:AWSセキュリティの強化
Wizは、組織がAWS環境における重大なリスクを特定して修正するのに役立ちます。 Wizは50+ AWSサービスと統合 クラウド資産を完全に可視化し、機械学習を使用して、従来のセキュリティツールでは見落とされがちなリスクを特定します。
Wiz は、いくつかの異なる方法で AWS と連携します。
Wiz は AWS のサービスと統合して、可視性とコンテキストを提供します。たとえば、Wiz can iAWS CloudTrail との連携 を使用して AWS リソースからログを収集し、機械学習を使用してリスクを示すパターンを特定します。 Wizもできます AWS Security Hub との統合 を使用して、AWS 全体からセキュリティの調査結果を統合的に把握できます。
Wiz は修復のための推奨事項を提供します。Wizがリスクを特定すると、修復のための推奨事項を提供します。 これらの推奨事項は、次のような具体的です "このユーザーのパスワードを変更する" 又は "このリソースの 2 要素認証を有効にします。"
Wizは修復を自動化できます。Wizは、パスワードの変更や2要素認証の有効化など、一部のリスクの修復を自動化できます。 これにより、組織はAWS環境を安全に保つために必要な時間と労力を削減できます。
Wiz は、AWS のサービスと統合し、機械学習を使用することで、従来のセキュリティツールでは見落とされがちな重大なリスクを特定して修復できます。
AWSのセキュリティをさらに強化したい方は、 Wizのデモ. AWS環境により包括的で効果的なセキュリティソリューションを提供する方法を直接体験してください。
Agentless Full Stack coverage of your AWS Workloads in minutes
Learn why CISOs at the fastest growing companies choose Wiz to help secure their AWS environments.
あなたが興味を持つかもしれない他のセキュリティツールのまとめ: