翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
プラットフォームエンジニアリング
パッケージ化された再利用可能なクラウド製品を使用して、安全で準拠したマルチアカウントクラウド環境を構築します。
開発チームを有効にしてイノベーションをサポートするには、プラットフォームがビジネスの要求に迅速に対応する必要があります。(AWS CAF Business のパースペクティブを参照してください)。これは、製品管理の需要に適応するのに十分な柔軟性を持ち、セキュリティの制約に従うのに十分な剛性を持ち、運用上のニーズを満たすのに十分な速さで行う必要があります。このプロセスでは、セキュリティ機能が強化された準拠のマルチアカウントクラウド環境と、パッケージ化された再利用可能なクラウド製品を構築する必要があります。
効果的なクラウド環境により、チームは新しいアカウントを簡単にプロビジョニングしながら、それらのアカウントが組織のポリシーに準拠していることを確認できます。クラウド製品の厳選されたセットにより、ベストプラクティスを体系化し、ガバナンスを支援し、クラウドデプロイの速度と一貫性を向上させることができます。ベストプラクティスの設計図、検出ガードレール、予防ガードレールをデプロイします。クラウド環境を既存のランドスケープと統合して、希望するハイブリッドクラウドのユースケースを有効にします。
アカウントのプロビジョニングワークフローを自動化し、複数のアカウントを使用してセキュリティとガバナンスの目標をサポートします。オンプレミス環境とクラウド環境間、および異なるクラウドアカウント間の接続を設定します。既存の ID プロバイダー (IdP) とクラウド環境間のフェデレーション
企業の標準と設定管理に従って、クラウドサービスを使用するために評価および認定します。セルフサービスのデプロイ可能な製品および消耗サービスとして、エンタープライズ標準をパッケージ化し、継続的に改善します。Infrastructure as Code (IaC)
以下のセクションで説明するタスクを完了するには、組織を最新のプラットフォームエンジニアリングに進化させる能力とチームを構築する必要があります。技術的な詳細については、ホワイトペーパーの「 クラウド基盤の確立 AWS」を参照してください。
Start
ランディングゾーンを構築し、ガードレールをデプロイする
プラットフォームエンジニアリングを成熟させるには、まずプラットフォームアーキテクチャ機能で定義されている検出ガードレールと予防ガードレールを使用してランディングゾーンをデプロイする必要があります。ガードレールは、アプリケーション所有者がクラウドリソースを消費する際に、組織の標準に違反しないようにします。このメカニズムを使用すると、アカウントプロビジョニングワークフローを自動化して、セキュリティとガバナンスの目標をサポートする複数のアカウントを使用します。
認証を確立する
AWS CAF セキュリティの観点から指定された標準に従って、すべての環境、システム、ワークロード、プロセスにアイデンティティ管理とアクセスコントロール
ネットワークのデプロイ
プラットフォームアーキテクチャ設計に従って、一元化されたネットワークアカウントを作成して、環境との間で送受信されるトラフィックを制御します。オンプレミスネットワークと AWS 環境間、インターネットとの間で、および AWS 環境間で、迅速にプロビジョニングされた接続を実現するようにネットワークを設計することをお勧めします。ネットワーク管理を一元化することで、予防コントロールと事後対応コントロールを使用して、ネットワークコントロールをデプロイし、環境全体でネットワークと接続を分離できます。
イベントおよびログデータの収集、集約、保護
Amazon CloudWatch クロスアカウントオブザーバビリティを使用します。リンクされたアカウント全体のメトリクス、ログ、トレースを検索、視覚化、分析するための統合インターフェイスを提供し、アカウントの境界を排除します。
一元化されたログ管理とセキュリティに関する特定のコンプライアンス要件が組織にある場合は、専用のログアーカイブアカウントを設定することを検討してください。これにより、ログデータ専用の一元化された暗号化されたリポジトリが提供されます。暗号化キーを定期的にローテーションすることで、このアーカイブのセキュリティを強化します。
必要に応じてマスキング手法を使用して、機密ログデータを保護するための堅牢なポリシーを実装します。コンプライアンス、セキュリティ、監査ログにログ集約を使用し、ログ設定への不正な変更を防ぐために厳格なガードレールと ID 構造を使用していることを確認します。
コントロールの確立
AWS CAF セキュリティの観点からの定義に従って、ビジネス要件を満たす基本的なセキュリティ機能を
クラウド財務管理の実装
AWS CAF ガバナンスの観点に従って、組織のタグ付け戦略をクラウド消費の財務説明責任と整合させるコスト配分タグと AWS Cost Categoriesを実装します。 AWS Cost Categoriesを使用すると、 AWS Cost Explorer
アドバンス
インフラストラクチャの自動化を構築する
先に進む前に、プラットフォームアーキテクチャに合わせてクラウドサービスを評価し、使用を認定してください。次に、デプロイ可能な製品やサービスとしてエンタープライズ標準をパッケージ化して継続的に改善し、Infrastructure as Code (IaC) を使用して宣言的な方法で設定を定義します。インフラストラクチャオートメーションは、ロールベースのアクセスコントロール (RBAC) または属性ベースのアクセスコントロール (ABAC) を使用して、各アカウントの特定のサービスへのアクセスを許可することで、ソフトウェア開発サイクルを模倣します。APIs を使用して新しいアカウントを迅速にプロビジョニングし、サービスやインシデント管理機能に合わせて調整する方法をデプロイするか、セルフサービス機能を開発します。コンプライアンスとネットワークセキュリティを確保するために、アカウントの作成時にネットワーク統合と IP 割り当てを自動化します。運用するように設定されたネイティブコネクタを使用して、新しいアカウントを IT サービス管理 (ITSM) ソリューションと統合します AWS。必要に応じてプレイブックとランブックを更新します。
一元的なオブザーバビリティサービスを提供する
効果的なクラウドオブザーバビリティを実現するには、プラットフォームがローカルログデータと集中ログデータの両方のリアルタイム検索と分析をサポートしている必要があります。オペレーションがスケールするにつれて、プラットフォームがログ、メトリクス、トレースをインデックス化、視覚化、解釈できるかどうかが、未加工データを実用的なインサイトに変換するための鍵となります。
ログ、メトリクス、トレースを相関させることで、実用的な結論を抽出し、的を絞った情報に基づいたレスポンスを開発できます。ログ、メトリクス、またはトレースで識別されるセキュリティイベントまたはパターンへのプロアクティブレスポンスを許可するルールを確立します。 AWS ソリューションが拡張したら、モニタリング戦略が並行してスケーリングされ、オブザーバビリティ機能を維持および強化することを確認します。
システム管理と AMI ガバナンスを実装する
Amazon Elastic Compute Cloud (Amazon EC2) インスタンスを使用する組織では、インスタンスを大規模に管理するための運用ツールが広く必要です。ソフトウェアアセット管理、エンドポイントの検出と対応、インベントリ管理、脆弱性管理、アクセス管理は、多くの組織にとって基本的な機能です。 これらの機能は、多くの場合、インスタンスにインストールされているソフトウェアエージェントを通じて提供されます。エージェントやその他のカスタム設定を Amazon マシンイメージ (AMIs) にパッケージ化し、これらの AMIs をクラウドプラットフォームのコンシューマーが利用できるようにする機能を開発します。これらの AMIs。AMIs には、特に新しい AMI を定期的に消費しない変更可能な Amazon EC2 ワークロードに対して、長時間実行される EC2 インスタンスAMIs大規模に管理できるツールが含まれている必要があります。 Amazon EC2 AWS Systems Manager を大規模に使用して、エージェントのアップグレードの自動化、システムインベントリの収集、EC2 インスタンスへのリモートアクセス、オペレーティングシステムの脆弱性へのパッチ適用を行うことができます。
認証情報の使用を管理する
AWS CAF セキュリティの観点から、ロールと一時的な認証情報を実装します。ツールを使用して、シークレットを保存せずにプリインストールされたエージェントを使用して、インスタンスまたはオンプレミスシステムへのリモートアクセスを管理します。長期認証情報への依存を減らし、IaC テンプレートでハードコードされた認証情報をスキャンします。一時的な認証情報を使用できない場合は、アプリケーショントークンやデータベースパスワードなどのプログラムツールを使用して、認証情報のローテーションと管理を自動化します。IaC で最小特権の原則を使用してユーザー、グループ、ロールをコーディングし、ガードレールを使用して ID アカウントを手動で作成しないようにします。
セキュリティツールを確立する
セキュリティモニタリングツールは、インフラストラクチャ、アプリケーション、ワークロード全体にわたるきめ細かなセキュリティモニタリングをサポートし、パターン分析のための集約ビューを提供する必要があります。他のすべてのセキュリティ管理ツールと同様に、拡張検出および対応 (XDR) ツールを拡張して、AWS CAF セキュリティの観点から定義された要件 AWS に従って、 上のアプリケーション、リソース、環境のセキュリティを評価、検出、対応、修復する機能を提供する必要があります。
Excel
自動化による ID コンストラクトのソースと配布
IaC ツールを使用して、ロール、ポリシー、テンプレートなどの ID コンストラクトをコーディングおよびバージョン管理します。ポリシー検証ツールを使用して、セキュリティ警告、エラー、一般的な警告、IAM ポリシーへの推奨変更、およびその他の検出結果を確認します。必要に応じて、環境への一時的なアクセスを自動的に提供する ID コンストラクトをデプロイおよび削除し、 コンソールを使用している個人によるデプロイを禁止します。
環境間で異常なパターンの検出とアラートを追加する
既知の脆弱性について環境を積極的に評価し、異常なイベントやアクティビティパターンの検出を追加します。調査結果を確認し、プラットフォームアーキテクチャチームに、さらなる効率とイノベーションを促進する変更についてレコメンデーションを行います。
脅威の分析とモデル化
AWS CAF セキュリティの観点からの要件に従って、業界およびセキュリティベンチマークに対して継続的なモニタリングと測定を実装します。計測アプローチを実装するときは、どのタイプのイベントデータと情報がセキュリティ管理機能に最も役立つかを判断します。このモニタリングには、サービスの使用など、いくつかの攻撃ベクトルが含まれます。セキュリティ基盤には、複数のソースからのイベントを関連付ける機能を含む、マルチアカウント環境全体の安全なログ記録と分析のための包括的な機能が含まれている必要があります。特定のコントロールとガードレールを使用して、この設定の変更を防止します。
アクセス許可の継続的な収集、レビュー、絞り込み
ID ロールとアクセス許可の変更を記録し、検出ガードレールが予想される設定状態からの逸脱を検出したときにアラートを実装します。集約およびパターン識別ツールを使用して、一元化されたイベントのコレクションを確認し、必要に応じてアクセス許可を絞り込みます。
プラットフォームメトリクスを選択、測定、継続的に改善する
プラットフォームオペレーションを成功させるには、包括的なメトリクスを確立して定期的にレビューします。組織の目標とステークホルダーのニーズに合致していることを確認します。プラットフォームのパフォーマンスメトリクスと改善メトリクスの両方を追跡し、チームの有効化とツール導入指標を使用して、パッチ、バックアップ、コンプライアンスなどの運用パラメータを組み合わせます。
CloudWatch クロスアカウントオブザーバビリティを使用して、効率的なメトリクス管理を行います。このサービスは、データ集約と視覚化を合理化し、情報に基づいた意思決定とターゲットを絞った機能強化を可能にします。これらのメトリクスを成功の指標と変化の推進要因として使用して、継続的な改善の環境を育みます。
