運用化: 成熟したクラウドセキュリティ体制に向けた組織の準備

DevSecOps パイプラインとプロセス – 統合されたセキュリティツールを備えた DevOps パイプラインを実装することで、Infrastructure as Code (IaC) をより安全にデプロイできます。パイプラインプロセスには、オープンソースの静的コードアナライザーである cfn_nag (GitHub) など、コードスキャンやセキュリティチェックを実装できます。

タグ付けとアセット管理 – タグは、クラウド内のリソースをより効率的かつ一貫性をもって管理するのに役立ちます。詳細については、「AWS リソースのタグ付け」を参照してください。クラウドの絶えず変化する性質に適応できる動的なアセット管理戦略を策定することが重要です。AWS Systems Manager インベントリはタグの割り当てを支援します。これにより、リソースをすばやく検索、管理、識別できるようになります。

モニタリングと検出の統合 – クラウドからオンプレミスのセキュリティオペレーションセンター (SOC) やセキュリティ情報イベント管理 (SIEM) システムにアラートを送信する方法を確立することが重要です。Amazon GuardDuty は、ログを分析および処理して、 AWS 環境内の予期しないアクティビティや不正な可能性のあるアクティビティを特定する継続的なセキュリティ監視サービスです。また、多くのサードパーティー製ツールとも統合されます。

クラウドインシデント対応計画とプログラム – クラウドのアラートを処理する担当者が、それらのアラートを取り込むプロセスに精通しており、オンプレミスのアラートとの違いを含めて、クラウドのアラートへの対応方法を理解していることを確認することが重要です。インシデント対応機能を向上させるには、担当者が Amazon Detective を使用してログ分析を行うためのトレーニングを行います。Amazon Detective は、セキュリティ検出結果や不審なアクティビティを分析および調査し、その根本原因を特定するのに役立ちます。Amazon Detective をインシデント対応計画に含めることをお勧めします。

クラウド脆弱性管理 – クラウドにおける脆弱性の管理プロセスは、オンプレミス環境とは異なります。従来の脆弱性管理に加えて、インフラストラクチャコードレイヤーも評価する必要があります。Amazon Inspector は自動化された脆弱性管理サービスであり、リソースの脆弱性や意図しないネットワーク露出を継続的に評価します。

クラウド体制管理 – 「評価」セクションで説明されているように、クラウド体制管理はクラウドセキュリティの重要な側面です。 AWS Security Hub CSPM を使用してセキュリティのベストプラクティスチェックを自動化し、すべての で全体的なクラウド体制を評価できます AWS アカウント。

クラウドセキュリティトレーニング – 従業員がクラウドセキュリティに習熟できるように、適切なトレーニングを提供することが不可欠です。これには、リソースへのアクセスを提供し、従業員が必要な知識とスキルを取得するための時間を割り当てることが含まれます。 は、AWS スキルビルダーなど、スキルアップと教育のための多くのトレーニングリソース AWS を提供します。