翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# テーマ 3: 自動化によるミュータブルなインフラストラクチャの管理
<a name="theme-3"></a>

**Essential Eight 戦略の対象**  
アプリケーション制御、アプリケーションへのパッチ適用、オペレーティングシステムへのパッチ適用

イミュータブルなインフラストラクチャと同様に、ミュータブルなインフラストラクチャも、IaC として管理し、自動プロセスを通じて変更または更新します。イミュータブルなインフラストラクチャを実装する手順の多くは、ミュータブルなインフラストラクチャにも当てはまりますが、ミュータブルなインフラストラクチャでは、手動制御も実装して、変更済みワークロードがベストプラクティスに準拠している状態を維持しなければなりません

変更可能なインフラストラクチャでは、 の一機能である [Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager.html) を使用してパッチ管理を自動化できます AWS Systems Manager。Patch Manager は、 AWS 組織内のすべてのアカウントで有効にしてください。

また、SSH および RDP による直接アクセスを防止し、ユーザーに Systems Manager の機能でもある [Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) または [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) の使用を求めます。SSH や RDP とは異なり、これらの機能では、システムへのアクセスおよび変更がログに記録されます。

コンプライアンスをモニタリングし報告するには、パッチ適用上のコンプライアンスを継続的にレビューする必要があります。 AWS Config ルールを使用して、すべての Amazon EC2 インスタンスが Systems Manager によって管理され、必要なアクセス許可とインストールされたアプリケーションがあり、パッチに準拠していることを確認できます。

## AWS Well-Architected フレームワークの関連するベストプラクティス
<a name="theme-3-best-practices"></a>
+ [SEC06-BP03 手動管理とインタラクティブアクセスを削減する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_reduce_manual_management.html)
+ [SEC06-BP05 コンピューティング保護を自動化する](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_compute_auto_protection.html)

## このテーマの実装
<a name="theme-3-implementation"></a>

### パッチ適用を自動化する
<a name="t3-automate-patching"></a>
+ [AWS 組織内のすべてのアカウントで Patch Manager を有効にする](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)手順を実行する
+ すべての EC2 インスタンスの[インスタンスプロファイルまたは IAM ロール](https://docs.aws.amazon.com/systems-manager/latest/userguide/setup-instance-permissions.html)に、`CloudWatchAgentServerPolicy` と `AmazonSSMManagedInstanceCore` を追加します。これらは、Systems Manager によるインスタンスアクセスに使用されます。

### 手動ではなく、自動プロセスを使用する
<a name="t3-automate"></a>
+ [テーマ 2: 安全なパイプラインによる、イミュータブルなインフラストラクチャの管理](theme-2.md) の「[AMI およびコンテナビルドパイプラインの実装](theme-2.md#theme-2-implementation)」のガイダンスを実行する
+ SSH または RDP による直接アクセスではなく、[Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) または [Run Command](https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html) を使用する

### 自動化によって EC2 インスタンスに以下をインストールする
<a name="t3-ec2"></a>
+ インスタンスの検出と管理に使用される [AWS Systems Manager エージェント (SSM エージェント)](https://docs.aws.amazon.com/systems-manager/latest/userguide/manually-install-ssm-agent-linux.html)
+ Security [Enhanced Linux (SELinux)](https://github.com/SELinuxProject) (GitHub)、[ファイルアクセスポリシーデーモン (fapolicyd)](https://github.com/linux-application-whitelisting/fapolicyd/blob/main/README.md) (GitHub)、[OpenSCAP](https://www.open-scap.org/) などのアプリケーション制御用のセキュリティツール
+ [Amazon CloudWatch エージェント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-EC2-Instance.html) (ログ記録に使用する)

### リリース前にピアレビューを行い、変更がベストプラクティスに準拠していることを確認します。
<a name="t3-peer-review"></a>
+ ワイルドカードを使用するポリシーなど、許可範囲が広すぎる IAM ポリシー
+ ワイルドカードを使用したり、SSH アクセスを許可したりするなど、許可範囲が広すぎるセキュリティグループルール
+ 有効になっていないアクセスログ
+ 有効になっていない暗号化
+ パスワードの直接的な記述
+ IAM ポリシーのセキュリティ強化

### ID レベルの制御を使用する
<a name="t3-identity-controls"></a>
+ ユーザーに自動プロセスでのリソース変更を求め、手動設定を防ぐには、ユーザーが引き受けられるロールに読み取り専用アクセス許可を付与する
+ Systems Manager によって使用されるロールなど、サービスロールにのみ、リソース変更に必要なアクセス許可を付与する

### 脆弱性スキャンの実装
<a name="t3-vulnerability-scanning"></a>
+ [テーマ 2: 安全なパイプラインによる、イミュータブルなインフラストラクチャの管理](theme-2.md) の「[脆弱性スキャンの実装](theme-2.md#theme-2-implementation)」に記載のガイダンスを実装する
+ Amazon Inspector を使用して EC2 インスタンスをスキャンする

## このテーマのモニタリング
<a name="theme-3-monitoring"></a>

### パッチ適用上のコンプライアンスを継続的にモニタリングする
<a name="t3-patch-compliance"></a>
+ [自動化とダッシュボードを使用して、パッチ適用上のコンプライアンスを報告する](https://docs.aws.amazon.com/prescriptive-guidance/latest/patch-management-hybrid-cloud/design-standard.html)
+ ダッシュボードでパッチ適用上のコンプライアンスを確認する仕組みを実装する

### IAM とログの継続的なモニタリング
<a name="t3-monitor-iam"></a>
+ IAM ポリシーを定期的に見直し、以下を確認します。
  + デプロイパイプラインのみがリソースに直接アクセスできる
  + 承認済みサービスのみがデータに直接アクセスできる
  + ユーザーは、リソースまたはデータに直接アクセスできない
+  AWS CloudTrail ログをモニタリングして、ユーザーがパイプラインを介してリソースを変更しており、リソースを直接変更したりデータにアクセスしたりしていないことを確認します。
+ 検出 AWS Identity and Access Management Access Analyzer 結果を定期的に確認する
+  AWS アカウント のルートユーザー認証情報が使用された場合にその旨が通知されるアラートを設定する

### 次の AWS Config ルールを実装する
<a name="t3-cc-rules"></a>
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EC2_INSTANCE_MANAGED_BY_SSM`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_REQUIRED - SELinux/fapolicyd/OpenSCAP, CW Agent`
+ `EC2_MANAGEDINSTANCE_APPLICATIONS_BLACKLISTED - any unsupported apps`
+ `IAM_ROLE_MANAGED_POLICY_CHECK - CW Logs, SSM`
+ `EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK`
+ `REQUIRED_TAGS`
+ `RESTRICTED_INCOMING_TRAFFIC - 22, 3389`