テーマ 2: 安全なパイプラインによる、イミュータブルなインフラストラクチャの管理

Essential Eight 戦略の対象

アプリケーション制御、アプリケーションへのパッチ適用、オペレーティングシステムへのパッチ適用

イミュータブルインフラストラクチャの場合は、システム変更のデプロイパイプラインを保護する必要があります。 AWS 著名エンジニアである Colm MacC árthaigh は、2022 AWS re:Invent カンファレンスの「ゼロ特権オペレーション: データにアクセスできないサービスの実行YouTube」プレゼンテーションでこの原則について説明しました。

AWS リソースを設定するための直接アクセスを制限することで、承認済み、セキュア、自動化されたパイプラインを通じてすべてのリソースをデプロイまたは変更することを要求できます。具体的には、通常、AWS Identity and Access Management (IAM) ポリシーを作成し、ユーザーがデプロイパイプラインをホストするアカウントにのみアクセスできるようにし、限られた数のユーザーにブレークグラスアクセスを許可する IAM ポリシーも設定します。また、手動の変更を防ぐために、セキュリティグループを使用して、SSH および Windows リモートデスクトッププロトコル (RDP) によるサーバーアクセスをブロックできます。の一機能である Session Manager は AWS Systems Manager、インバウンドポートを開いたり踏み台ホストを維持したりすることなく、インスタンスへのアクセスを提供できます。

Amazon マシンイメージ (AMI) とコンテナイメージは、安全で反復可能な方法で構築しなければなりません。Amazon EC2 インスタンスの場合、EC2 Image Builder を使用して、インスタンス検出、アプリケーション制御、ログ記録などのセキュリティ機能を組み込んだ AMI を構築できます。アプリケーション制御の詳細については、ACSC ウェブサイトの「Implementing Application Control」を参照してください。また、Image Builder でコンテナイメージを構築して、Amazon Elastic Container Registry (Amazon ECR) を使用し、それらのイメージをアカウント間で共有することも可能です。中央のセキュリティチームでは、こうした AMI とコンテナイメージを構築する自動プロセスを承認でき、これによって、作成された AMI またはコンテナイメージをアプリケーションチームで使用することが承認されます。

アプリケーションは、AWS CloudFormation や AWS Cloud Development Kit (AWS CDK) などのサービスを使用して、Infrastructure as Code (IaC) で定義する必要があります。cfn-nag AWS CloudFormation Guardや cdk-nag などのコード分析ツールは、承認されたパイプラインのセキュリティのベストプラクティスに照らしてコードを自動的にテストできます。

テーマ 1: マネージドサービスの使用と同様に、Amazon Inspector を使用すると、 AWS アカウント全体の脆弱性をレポートできます。一元化されたクラウドおよびセキュリティチームでは、こうした情報を使用して、アプリケーションチームがセキュリティおよびコンプライアンス要件を満たしていることを確認できます。

コンプライアンスをモニタリングし報告するには、IAM リソースとログを継続的にレビューします。 AWS Config ルールを使用して、承認された AMIs のみを使用し、Amazon Inspector が Amazon ECR リソースの脆弱性をスキャンするように設定されていることを確認します。

AWS Well-Architected フレームワークの関連するベストプラクティス

このテーマの実装

AMI およびコンテナビルドパイプラインの実装

EC2 Image Builder を使用して、AMI に以下を組み込みます。
- インスタンスの検出と管理に使用される AWS Systems Manager エージェント (SSM エージェント)
- Security Enhanced Linux (SELinux) (GitHub)、ファイルアクセスポリシーデーモン (fapolicyd) (GitHub)、OpenSCAP などのアプリケーション制御用のセキュリティツール
- Amazon CloudWatch エージェント (ログ記録に使用する)
すべての EC2 インスタンスを対象に、Systems Manager がインスタンスアクセスに使用するインスタンスプロファイルまたは IAM ロールに、CloudWatchAgentServerPolicy および AmazonSSMManagedInstanceCore ポリシーを組み込みます。
組織全体と AMI を共有する
EC2 Image Builder リソースを共有する
アプリケーションチームで、最新の AMI が参照されていることを確認する
パッチ管理に AMI パイプラインを使用する
コンテナビルドパイプラインを実装します。
- EC2 Image Builder コンソールウィザードを使用してコンテナイメージパイプラインを作成する
- Amazon ECR をソースとして使用してコンテナイメージの継続的な配信パイプラインを構築する (AWS ブログ記事)
マルチアカウントおよびマルチリージョンアーキテクチャを使用して、組織全体で ECR コンテナイメージを共有する

安全なアプリケーションビルドパイプラインの実装

EC2 Image Builder や AWS CodePipeline を使用するなど、IaC のビルドパイプラインを実装する (AWS ブログ記事)
CI/CD パイプラインで AWS CloudFormation Guard、cfn-nag (GitHub)、cdk-nag (GitHub) などのコード分析ツールを使用して、次のようなベストプラクティス違反を検出します。
- ワイルドカードを使用するポリシーなど、許可範囲が広すぎる IAM ポリシー
- ワイルドカードを使用したり、SSH アクセスを許可したりするなど、許可範囲が広すぎるセキュリティグループルール
- 有効になっていないアクセスログ
- 有効になっていない暗号化
- パスワードの直接的な記述
パイプラインにスキャンツールを実装する (AWS ブログ記事)
パイプライン AWS Identity and Access Management Access Analyzer (ブログ記事) でを使用して、CloudFormation テンプレートで定義されている IAM ポリシーを検証するAWS
IAM ポリシーとサービス制御ポリシーを設定して、パイプラインの使用や変更のためのアクセス時に最小特権が付与されるようにする

脆弱性スキャンの実装

組織内のすべてのアカウントで Amazon Inspector を有効にする
Amazon Inspector を使用して、AMI ビルドパイプライン内の AMI をスキャンします。
- EC2 Image Builder (GitHub) で AMI のライフサイクルを管理する
Amazon Inspector を使用して、Amazon ECR リポジトリの拡張スキャンを設定する
セキュリティ関連の検出結果をトリアージして修正する脆弱性管理プログラムを構築する

このテーマのモニタリング

IAM とログの継続的なモニタリング

IAM ポリシーを定期的に見直し、以下を確認します。
- デプロイパイプラインのみがリソースに直接アクセスできる
- 承認済みサービスのみがデータに直接アクセスできる
- ユーザーは、リソースまたはデータに直接アクセスできない
AWS CloudTrail ログをモニタリングして、ユーザーがパイプラインを介してリソースを変更しており、リソースを直接変更したりデータにアクセスしたりしていないことを確認します。
IAM Access Analyzer の検出結果を定期的に確認する
AWS アカウントのルートユーザー認証情報が使用された場合にその旨が通知されるアラートを設定する

次の AWS Config ルールを実装する

APPROVED_AMIS_BY_ID
APPROVED_AMIS_BY_TAG
ECR_PRIVATE_IMAGE_SCANNING_ENABLED

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

テーマ 1: マネージドサービス

テーマ 3: ミュータブルなインフラストラクチャ