翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
シナリオおよびアーキテクチャの概要
この政府機関は、 AWS クラウドで 3 つのワークロードを運用しています。
-
ストレージと抽出、変換、ロード (ETL) オペレーション AWS Lambda に Amazon Simple Storage Service (Amazon S3) を使用するサーバーレスデータレイク
-
コンテナ化されたウェブサービス: Amazon Elastic Container Service (Amazon ECS) で稼働させ、Amazon Relational Database Service (Amazon RDS) のデータベースを使用している
-
Commercial Off-The-Shelf (COTS) ソフトウェア: Amazon EC2 で稼働させている
クラウドチームは、組織の一元化されたプラットフォームを提供し、 AWS 環境のコアサービスを実行します。クラウドチームは、 AWS 環境にコアサービスを提供します。各ワークロードは、独立したアプリケーションチーム (開発チームまたはデリバリーチームとも呼ばれる) が所有しています。
コアアーキテクチャ
クラウドチームでは、 AWS クラウドで以下の機能を構築済みです。
-
ID Microsoft フェデレーションは、Entra ID (以前の Azure Active Directory) インスタンス AWS IAM アイデンティティセンター にリンクします。フェデレーションでは、MFA、ユーザーアカウントの自動有効期限、および AWS Identity and Access Management (IAM) ロールを介した有効期間の短い認証情報の使用が適用されます。
-
一元化され、EC2 Image Builder を使用する AMI パイプラインで、OS とコアアプリケーションにパッチを適用しています。
-
Amazon Inspector を利用して、脆弱性を特定しており、セキュリティ関連の検出結果はすべて Amazon GuardDuty に送信し、一元管理しています。
-
アプリケーション制御ルールの更新、サイバーセキュリティイベントへの対応、コンプライアンス上の不備確認を行う仕組みが確立されています。
-
AWS CloudTrail はログ記録とモニタリングに使用されます。
-
セキュリティイベント (ルートユーザーのログインなど) が発生したら、アラートが発行されます。
-
SCP および VPC エンドポイントポリシーにより、 AWS 環境のデータ境界を確立しています。
-
SCP により、アプリケーションチームが CloudTrail や AWS Configなどのセキュリティおよびログ記録サービスを無効化できないようにしています。
-
AWS Config 検出結果は AWS 組織全体から 1 つの に集約され、セキュリティ AWS アカウント が確保されます。
-
AWS Config ACSC Essential 8 コンフォーマンスパックは、組織内のすべての AWS アカウント で有効になっています。
