運用: 組織が成熟したクラウドセキュリティ体制に備える

DevSecOps パイプラインとプロセス – 統合されたセキュリティツールを使用して DevOps パイプラインを実装すると、Infrastructure as a Code (IaC) をより安全にデプロイできます。オープンソースの静的コードアナライザーである cfn_nag (GitHub) などのコードスキャンとセキュリティチェックをパイプラインプロセスに実装できます。

タグ付けとアセット管理 – タグは、クラウド内のリソースをより効率的かつ一貫して管理するのに役立ちます。詳細については、「AWS リソースのタグ付け」を参照してください。クラウドの絶えず変化する性質に適応できる動的なアセット管理戦略を策定することが重要です。AWS Systems Manager インベントリは、タグの割り当てに役立つため、リソースをすばやく検索、管理、識別できます。

モニタリングと検出の統合 – クラウドからオンプレミスのセキュリティオペレーションセンター (SOCs) およびセキュリティ情報とイベント管理 (SIEM) システムにアラートを送信する方法を確立することが重要です。Amazon GuardDuty は、ログを分析して処理し、環境内の予期しないアクティビティや不正なアクティビティの可能性を特定する継続的なセキュリティモニタリングサービスです AWS 。また、多くのサードパーティー製ツールとも統合されています。

クラウドインシデント対応計画とプログラム – クラウドアラートの処理を担当する担当者が、オンプレミスアラートと比較して、これらのアラートを取り込むプロセスに精通し、クラウドアラートへの対応方法を理解していることが重要です。インシデント対応機能を向上させるには、ログ分析に Amazon Detective を使用するように担当者をトレーニングします。Amazon Detective は、セキュリティ上の検出結果や疑わしいアクティビティの根本原因の分析、調査、特定に役立ちます。Amazon Detective はインシデント対応計画の一部である必要があります。

クラウド脆弱性管理 – クラウドの脆弱性を管理するプロセスは、オンプレミス環境とは異なります。従来の脆弱性管理に加えて、インフラストラクチャコードレイヤーも評価する必要があります。Amazon Inspector は、リソースの脆弱性と意図しないネットワークへの露出を継続的に評価する自動脆弱性管理サービスです。

クラウド体制管理 – 「評価」セクションで説明されているように、クラウド体制管理はクラウドセキュリティの重要な側面です。 AWS Security Hub を使用して、セキュリティのベストプラクティスチェックを自動化し、すべての で全体的なクラウド体制を評価できます AWS アカウント。

クラウドセキュリティトレーニング – 従業員がクラウドセキュリティに習熟できるように、適切なトレーニングを提供することが重要です。これには、 リソースへのアクセスを提供し、従業員が必要な知識とスキルを習得するための時間を割り当てることが含まれます。 は、AWS スキルビルダーなど、スキルアップと教育のための多くのトレーニングリソース AWS を提供します。