翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
不正アクセスおよびデータ流出の防止
2022 Cost of a Data Breach Report
データを保護するための主な考慮事項には、次のものがあります。
-
セキュアな開発環境へのアクセスのためのユーザー認証
-
セキュアな開発環境内のデータへのアクセスのためのユーザー認可
-
セキュアな開発環境との間で行われるすべての転送のログ記録
-
環境間のセキュアなデータフローのアーキテクチャ設計
-
転送中のデータおよび保管中のデータの暗号化
-
アウトバウンドネットワークトラフィックの制限とログ記録
許可を設定する
AWS Identity and Access Management (IAM) は、誰を認証し、誰に使用を承認するかを制御することで、 AWS リソースへのアクセスを安全に管理できます。デフォルトでは、 のアクション AWS は、明示的に許可されない限り、暗黙的に拒否されます。 AWS では、ポリシーを作成することでアクセスを管理します。ポリシーを使用すると、どのユーザーがどのリソースにアクセスできるか、それらのリソースに対してどのようなアクションを実行できるかを、きめ細かいレベルで定義できます。 AWS ベストプラクティスは、最小特権のアクセス許可を適用することです。つまり、タスクの実行に必要なアクセス許可のみをユーザーに付与します。詳細については、IAM ドキュメントの以下のセクションを参照してください。
ユーザーの認証
一時的な認証情報を使用して、ID プロバイダーとのフェデレーション AWS を使用して にアクセスすることを人間のユーザーに要求するのが AWS ベストプラクティスです。ユーザーワークフォースのアクセスを一元化するために推奨されるサービスは、AWS IAM アイデンティティセンター です。このサービスは、ワークフォース ID を安全に作成または接続し、 AWS アカウント および アプリケーション間で一元的にアクセスを管理するのに役立ちます。IAM Identity Center は、SAML 2.0、Open ID Connect (OIDC)、または OAuth 2.0 を使用して外部 ID プロバイダー (IdP) とフェデレーションすることで、シームレスな統合とユーザー管理を実現できます。詳細については、「Identity federation in AWS
また、AWS Directory Service を使用して Active Directory などのディレクトリで定義されたユーザーやグループを管理することで、ユーザーを認証および認可することもできます。セキュアな開発環境内では、Linux のファイルアクセス許可を使用して、仮想プライベートクラウド (VPC) 内のデータアクセスを認可および制限できます。VPC エンドポイントを使用して、パブリックインターネットを経由 AWS のサービス せずに へのアクセスを提供します。エンドポイントポリシーを使用してエンドポイントを使用できる AWS プリンシパルを制限し、アイデンティティベースのポリシーを使用してアクセスを制限します AWS のサービス。
データ転送
AWS には、オンプレミスデータをクラウドに移行するいくつかの方法があります。一般的には、最初に Amazon Simple Storage Service (Amazon S3) にデータを保存します。Amazon S3 は、任意の量のデータを保存、保護、取得するのに役立つ、クラウドベースのオブジェクトストレージサービスです。Amazon Elastic Compute Cloud (Amazon EC2) インスタンスとの間でデータを転送する場合は、最大 25 Gbps の帯域幅を提供します。また、クロスリージョンのデータレプリケーションとデータ階層化も提供します。Amazon S3 に保存されているデータは、レプリケーションソースとして使用できます。これを使用して、新しいファイルシステムを作成したり、EC2 インスタンスにデータを転送したりできます。Amazon S3 は、半導体ツールとフロー用の AWS マネージドポータブルオペレーティングシステムインターフェイス (POSIX) 準拠のファイルシステムのバックエンドとして使用できます。
もう 1 つの AWS ストレージサービスは Amazon FSx です。これは、業界標準の接続プロトコルをサポートし、 全体で高可用性とレプリケーションを提供するファイルシステムを提供します AWS リージョン。半導体業界における一般的な選択肢としては、Amazon FSx for NetApp ONTAP、Amazon FSx for Lustre、Amazon FSx for OpenZFS などがあります。Amazon FSx のスケーラブルで高性能なファイルシステムは、セキュアな開発環境内でデータをローカルに保存するのに適しています。
AWS では、最初に で AWS 半導体ワークロードのストレージ要件を定義し、次に適切なデータ転送メカニズムを特定することをお勧めします。 AWS では、 を使用してオンプレミスから にデータをAWS DataSync転送することをお勧めします AWS。DataSync は、ファイルまたはオブジェクトデータを AWS ストレージサービスとの間で移動したり、AWS ストレージサービス間で移動したりするのに役立つオンラインデータ転送および検出サービスです。セルフマネージド型のストレージシステムを使用しているか、NetApp などのストレージプロバイダーを使用しているかに応じて、インターネット経由または AWS Direct Connect経由でセキュアな開発環境へのデータの移動とレプリケーションを高速化するように DataSync を設定できます。DataSync は、所有権、タイムスタンプ、アクセス許可などのファイルシステムデータおよびメタデータを転送できます。FSx for ONTAP と NetApp ONTAP の間でファイルを転送する場合は、NetApp SnapMirror を使用する AWS ことをお勧めします。Amazon FSx では、保管中のデータおよび転送中のデータの暗号化をサポートしています。AWS CloudTrail およびその他のサービス固有のログ記録機能を使用して、すべての API コールおよび関連するデータ転送をログに記録します。専用アカウントにログを一元化し、変更不可能な履歴に対してきめ細かいアクセスポリシーを適用します。
AWS は、、AWS Network FirewallAmazon Route 53 Resolver DNS Firewall、、ウェブプロキシなどのアプリケーション対応ネットワークファイアウォールなどAWS WAF、データフローの制御に役立つ追加サービスを提供します。Amazon Virtual Private Cloud (Amazon VPC) 内のセキュリティグループ、ネットワークアクセコントロールリスト、および VPC エンドポイント、さらに Network Firewall、Transit Gateway ルートテーブル、および AWS Organizationsのサービスコントロールポリシー (SCP) を使用してネットワークセグメンテーションを適用することにより、環境内のデータフローを制御します。VPC フローログ、およびそのバージョン 2~5 で使用可能なフィールドを使用して、すべてのネットワークトラフィックを一元的にログ記録します。
データの暗号化
AWS Key Management Service (AWS KMS) カスタマーマネージドキーまたは AWS CloudHSM を使用して、保管中のすべてのデータを暗号化します。きめ細かいキーリソースポリシーを作成して維持します。詳細については、「Creating an enterprise encryption strategy for data at rest」を参照してください。
業界標準の 256 ビット Advanced Encryption Standard (AES-256) 暗号を使用した TLS 1.2 以上を適用して、転送中のデータを暗号化します。
アウトバウンドネットワークトラフィックの管理
セキュアな開発環境でインターネットアクセスが必要である場合、すべてのアウトバウンドインターネットトラフィックは、Network Firewall や Squid
最後に、Amazon VPC の機能である Network Access Analyzer を使用して、ネットワークセグメンテーションの検証を実行したり、指定した要件を満たさない潜在的なネットワークパスを特定したりできます。
セキュリティコントロールをレイヤリングすることで、堅牢なデータ境界を確立して適用できます。詳細については、「 でのデータ境界の構築 AWS」を参照してください。
