SRA AWS のコードリポジトリの例 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SRA AWS のコードリポジトリの例

簡単な調査を行い、 AWS セキュリティリファレンスアーキテクチャ (AWS SRA) の未来に影響を与えます。

AWS SRA でガイダンスの構築と実装を開始できるように、https://github.com/aws-samples/aws-security-reference-architecture-examples の Infrastructure as Code (IaC) リポジトリにこのガイドが付属しています。このリポジトリには、デベロッパーとエンジニアがこのドキュメントで説明されているガイダンスとアーキテクチャパターンの一部をデプロイするのに役立つコードが含まれています。このコードは、 AWS プロフェッショナルサービスコンサルタントのお客様との直接の経験に基づいています。テンプレートは本質的に一般的なものであり、完全なソリューションを提供するのではなく、実装パターンを説明することが目的です。 AWS のサービス 設定とリソースのデプロイは、意図的に非常に制限されています。環境やセキュリティのニーズに合わせて、これらのソリューションを変更して調整する必要がある場合があります。

AWS SRA コードリポジトリは、 AWS CloudFormation と Terraform の両方のデプロイオプションを含むコードサンプルを提供します。ソリューションパターンは 2 つの環境をサポートします。1 つは を必要とし AWS Control Tower 、もう 1 つは AWS Organizations なしで使用します AWS Control Tower。このリポジトリで を必要とするソリューションは、 および Customizations for AWS Control Tower (CfCT) を使用してAWS Control Tower環境内でデプロイ AWS CloudFormationおよびテスト AWS Control Tower されています。不要なソリューションは、 AWS Organizationsを使用して環境内でテスト AWS Control Tower されています AWS CloudFormation。CfCT ソリューションは、 AWS お客様がベストプラクティスに基づいて安全なマルチアカウント AWS 環境を迅速にセットアップするのに役立ちます。アカウントとリソースの作成を通じて初期セキュリティベースラインを実装しながら、安全でスケーラブルなワークロードを実行する環境のセットアップを自動化することで、時間を節約できます。また、 は、マルチアカウントアーキテクチャ、アイデンティティとアクセスの管理、ガバナンス、データセキュリティ、ネットワーク設計、ログ記録を開始するためのベースライン環境 AWS Control Tower も提供します。 AWS SRA リポジトリのソリューションは、このドキュメントで説明されているパターンを実装するための追加のセキュリティ設定を提供します。

AWS SRA リポジトリ内のソリューションの概要を次に示します。各ソリューションには、詳細を含む README.md ファイルが含まれています。 

  • CloudTrail Organization ソリューションは、組織管理アカウント内に組織の証跡を作成し、監査やセキュリティツールアカウントなどのメンバーアカウントに管理を委任します。この証跡は、Security Tooling アカウントで作成されたカスタマーマネージドキーで暗号化され、ログアーカイブアカウントの S3 バケットにログを配信します。必要に応じて、Amazon S3 および AWS Lambda 関数でデータイベントを有効にすることができます。組織の証跡は、メンバーアカウントが設定を変更できないようにしながら、 AWS 組織 AWS アカウント 内のすべての のイベントをログに記録します。

  • GuardDuty Organization ソリューションは、Security Tooling アカウントに管理を委任することで、Amazon GuardDuty を有効にします。すべての既存および将来の AWS 組織アカウントについて、Security Tooling アカウント内で GuardDuty を設定します。GuardDuty の結果も KMS キーで暗号化され、ログアーカイブアカウントの S3 バケットに送信されます。

  • Security Hub CSPM Organization ソリューションは、Security Tooling アカウントに管理を委任することで、Security Hub CSPM を設定します。すべての既存および将来の AWS 組織アカウントの Security Tooling アカウント内で Security Hub CSPM を設定します。このソリューションでは、すべてのアカウントとリージョンで有効なセキュリティ標準を同期し、Security Tooling アカウント内でリージョンアグリゲータを設定するためのパラメータも提供します。Security Tooling アカウント内の Security Hub CSPM を一元化すると、セキュリティ標準のコンプライアンスと、 AWS のサービス とサードパーティー AWS Partner の統合の結果をクロスアカウントで確認できます。

  • Inspector ソリューションは、組織内のすべての AWS アカウントと管理対象リージョンの委任管理者 (セキュリティツール) アカウント内で Amazon Inspector を設定します。

  • Firewall Manager ソリューションは、Security Tooling アカウントに管理を委任し、 AWS Firewall Manager セキュリティグループポリシーと複数の AWS WAF ポリシーを使用して Firewall Manager を設定することで、セキュリティポリシーを設定します。セキュリティグループポリシーには、ソリューションによってデプロイされる VPC (既存またはソリューションによって作成された) 内の最大許容セキュリティグループが必要です。

  • Macie Organization ソリューションでは、管理を Security Tooling アカウントに委任することで Amazon Macie を有効にします。すべての既存および将来の AWS 組織アカウントについて、Security Tooling アカウント内で Macie を設定します。Macie は、KMS キーで暗号化された中央の S3 バケットにディスカバリ結果を送信するようにさらに構成されています。

  • AWS Config:

    • Config Aggregator ソリューションは、Security Tooling AWS Config アカウントに管理を委任してアグリゲータを設定します。次に、このソリューションは、 AWS 組織内のすべての既存アカウントと将来のアカウントに対して Security Tooling AWS Config アカウント内にアグリゲータを設定します。

    • Conformance Pack Organization Rules ソリューションは、Security Tooling アカウントに管理を委任 AWS Config ルール してデプロイします。次に、組織内のすべての既存および将来のアカウントの委任管理者アカウント内に AWS 組織コンフォーマンスパックを作成します。このソリューションは、暗号化とキー管理の運用上のベストプラクティスコンフォーマンスパックのサンプルテンプレートをデプロイするように設定されています。

    • AWS Config Control Tower 管理アカウントソリューションは、 AWS Control Tower 管理アカウント AWS Config で を有効にし、それに応じて Security Tooling AWS Config アカウント内のアグリゲータを更新します。このソリューションでは、 AWS Control Tower CloudFormation テンプレートを使用して をリファレンス AWS Config として有効にし、 AWS 組織内の他のアカウントとの整合性を確保します。

  • IAM:

    • Access Analyzer ソリューションは、Security Tooling アカウントに管理を委任することで、IAM Access Analyzer を有効にします。次に、組織内のすべての既存および将来のアカウントについて、Security Tooling アカウント内で AWS 組織レベルの IAM Access Analyzer を設定します。このソリューションは、アカウントレベルのアクセス許可の分析をサポートするために、IAM Access Analyzer をすべてのメンバーアカウントとリージョンにデプロイします。

    • IAM パスワードポリシーソリューションは、 AWS アカウント AWS 組織内のすべてのアカウント内のパスワードポリシーを更新します。このソリューションには、業界のコンプライアンス標準に合わせてパスワードポリシーを設定するためのパラメータが用意されています。

  • EC2 デフォルト EBS 暗号化ソリューションは、各 AWS アカウント および組織 AWS リージョン 内の AWS アカウントレベルのデフォルトの Amazon EBS 暗号化を有効にします。これにより、作成した新しい EBS ボリュームとスナップショットの暗号化が強制されます。例えば、Amazon EBS は、インスタンスの起動時に作成される EBS ボリュームと、暗号化されていないスナップショットからコピーするスナップショットを暗号化します。

  • S3 ブロックアカウントパブリックアクセスソリューションは、 AWS 組織 AWS アカウント 内の各 内で Amazon S3 アカウントレベルの設定を有効にします。Amazon S3 のパブリックアクセスブロック機能は、Amazon S3 のリソースへのパブリックアクセスの管理に役立つ、アクセスポイント、バケット、アカウントの設定を提供します。デフォルトでは、新しいバケット、アクセスポイント、およびオブジェクトはパブリックアクセスを許可しません。ただし、ユーザーはバケットポリシー、アクセスポイントポリシー、またはオブジェクトのアクセス許可を変更することで、パブリックアクセスを許可できます。Amazon S3 パブリックアクセスブロック設定は、これらのポリシーとアクセス許可を上書きして、これらのリソースへのパブリックアクセスを制限できるようにします。

  • Detective Organization ソリューションは、管理を アカウント (監査またはセキュリティツールアカウントなど) に委任し、既存および将来のすべての AWS Organizations アカウントに対して Detective を設定することで、Amazon Detective の有効化を自動化します。

  • Shield Advanced ソリューションは、 のデプロイを自動化 AWS Shield Advanced して、 上のアプリケーションに拡張 DDoS 保護を提供します AWS。

  • AMI Bakery Organization ソリューションは、標準の強化された Amazon マシンイメージ (AMI) イメージの構築と管理のプロセスを自動化するのに役立ちます。これにより、 AWS インスタンス間の一貫性とセキュリティが確保され、デプロイとメンテナンスのタスクが簡素化されます。

  • Patch Manager ソリューションは、複数の にわたるパッチ管理を効率化するのに役立ちます AWS アカウント。このソリューションを使用して、すべてのマネージドインスタンスで AWS Systems Manager エージェント (SSM エージェント) を更新し、Windows および Linux のタグ付けされたインスタンスで重要かつ重要なセキュリティパッチとバグ修正をスキャンしてインストールできます。このソリューションは、新しい の作成を検出 AWS アカウント し、それらのアカウントにソリューションを自動的にデプロイするように、デフォルトのホスト管理設定も設定します。