テーマ 3: 自動化によるミュータブルなインフラストラクチャの管理

Essential Eight 戦略の対象

アプリケーション制御、アプリケーションへのパッチ適用、オペレーティングシステムへのパッチ適用

イミュータブルなインフラストラクチャと同様に、ミュータブルなインフラストラクチャも、IaC として管理し、自動プロセスを通じて変更または更新します。イミュータブルなインフラストラクチャを実装する手順の多くは、ミュータブルなインフラストラクチャにも当てはまりますが、ミュータブルなインフラストラクチャでは、手動制御も実装して、変更済みワークロードがベストプラクティスに準拠している状態を維持しなければなりません

変更可能なインフラストラクチャでは、の一機能である Patch Manager を使用してパッチ管理を自動化できます AWS Systems Manager。Patch Manager は、 AWS 組織内のすべてのアカウントで有効にしてください。

また、SSH および RDP による直接アクセスを防止し、ユーザーに Systems Manager の機能でもある Session Manager または Run Command の使用を求めます。SSH や RDP とは異なり、これらの機能では、システムへのアクセスおよび変更がログに記録されます。

コンプライアンスをモニタリングし報告するには、パッチ適用上のコンプライアンスを継続的にレビューする必要があります。 AWS Config ルールを使用して、すべての Amazon EC2 インスタンスが Systems Manager によって管理され、必要なアクセス許可とインストールされたアプリケーションがあり、パッチに準拠していることを確認できます。

AWS Well-Architected フレームワークの関連するベストプラクティス

このテーマの実装

パッチ適用を自動化する

AWS 組織内のすべてのアカウントで Patch Manager を有効にする手順を実行する
すべての EC2 インスタンスのインスタンスプロファイルまたは IAM ロールに、CloudWatchAgentServerPolicy と AmazonSSMManagedInstanceCore を追加します。これらは、Systems Manager によるインスタンスアクセスに使用されます。

手動ではなく、自動プロセスを使用する

テーマ 2: 安全なパイプラインによる、イミュータブルなインフラストラクチャの管理の「AMI およびコンテナビルドパイプラインの実装」のガイダンスを実行する
SSH または RDP による直接アクセスではなく、Session Manager または Run Command を使用する

自動化によって EC2 インスタンスに以下をインストールする

インスタンスの検出と管理に使用される AWS Systems Manager エージェント (SSM エージェント)
Security Enhanced Linux (SELinux) (GitHub)、ファイルアクセスポリシーデーモン (fapolicyd) (GitHub)、OpenSCAP などのアプリケーション制御用のセキュリティツール
Amazon CloudWatch エージェント (ログ記録に使用する)

リリース前にピアレビューを行い、変更がベストプラクティスに準拠していることを確認します。

ワイルドカードを使用するポリシーなど、許可範囲が広すぎる IAM ポリシー
ワイルドカードを使用したり、SSH アクセスを許可したりするなど、許可範囲が広すぎるセキュリティグループルール
有効になっていないアクセスログ
有効になっていない暗号化
パスワードの直接的な記述
IAM ポリシーのセキュリティ強化

ID レベルの制御を使用する

ユーザーに自動プロセスでのリソース変更を求め、手動設定を防ぐには、ユーザーが引き受けられるロールに読み取り専用アクセス許可を付与する
Systems Manager によって使用されるロールなど、サービスロールにのみ、リソース変更に必要なアクセス許可を付与する

脆弱性スキャンの実装

テーマ 2: 安全なパイプラインによる、イミュータブルなインフラストラクチャの管理の「脆弱性スキャンの実装」に記載のガイダンスを実装する
Amazon Inspector を使用して EC2 インスタンスをスキャンする

このテーマのモニタリング

パッチ適用上のコンプライアンスを継続的にモニタリングする

自動化とダッシュボードを使用して、パッチ適用上のコンプライアンスを報告する
ダッシュボードでパッチ適用上のコンプライアンスを確認する仕組みを実装する

IAM とログの継続的なモニタリング

IAM ポリシーを定期的に見直し、以下を確認します。
- デプロイパイプラインのみがリソースに直接アクセスできる
- 承認済みサービスのみがデータに直接アクセスできる
- ユーザーは、リソースまたはデータに直接アクセスできない
AWS CloudTrail ログをモニタリングして、ユーザーがパイプラインを介してリソースを変更しており、リソースを直接変更したりデータにアクセスしたりしていないことを確認します。
検出 AWS Identity and Access Management Access Analyzer 結果を定期的に確認する
AWS アカウントのルートユーザー認証情報が使用された場合にその旨が通知されるアラートを設定する

次の AWS Config ルールを実装する

EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK
EC2_INSTANCE_MANAGED_BY_SSM
EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent
EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps
IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM
EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK
REQUIRED_TAGS
RESTRICTED_INCOMING_TRAFFIC - 22, 3389

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

テーマ 2: イミュータブルなインフラストラクチャ

テーマ 4: ID