ラボの概要
このラボでは、AWS リソースを監査して、設定が基本的なセキュリティのベストプラクティスに従っていることを確認する手順を説明します。このラボでは、セキュリティは AWS Trusted Advisor を使用して保護します。セキュリティグループ、多要素認証 (MFA)、AWS Identity and Access Management (IAM) の操作といったトピックを取り上げます。
目標
本ラボを修了すると、次のことができるようになります。
- Trusted Advisor を使用して AWS リソースの基本的な監査を実行する
- ベストプラクティスに合うように Amazon Elastic Compute Cloud (Amazon EC2) セキュリティグループを変更する
- 多要素認証 (MFA) を設定する (任意で、モバイルデバイスにソフトウェアをインストールする必要があります)
技術知識の前提条件
このラボを適切に完了するためには、Amazon EC2 などの AWS のサービスに精通していて、セキュリティグループについての基本的な知識があることが必要です。AWS マネジメントコンソールにログインして使用することができ、IAM を十分に理解している必要があります。
所要時間
このラボの所要時間は約 90 分です。
アイコンキー
このラボでは、さまざまな種類の手順と注記への注意を促すため、各種アイコンが使用されています。以下のリストは、各アイコンの目的を説明したものです。
- 実行するステップ/タスクの、出力の検証に使用できるサンプル出力。
- ヒントや重要なガイダンス
- 追加情報: 詳細を確認可能。
AWS Security Best Practices
責任共有モデル
AWS セキュリティモデルは責任共有モデルです。このモデルでは、AWS とお客様の双方が連携してセキュリティ目標を達成する必要があります。AWS では、安全性と可用性が非常に高い、基盤となるインフラストラクチャですべての AWS のサービスを運用しています。AWS のセキュリティレイヤーには、物理ハードウェア、施設、ネットワークインフラストラクチャ、仮想化インフラストラクチャのセキュリティが含まれています。
AWS の直接制御を越えたレイヤーでは、お客様がクラウドインフラストラクチャで使用するリソースを適切に保護する責任を持つ必要があります。
クラウドリソースを保護する
AWS では、お客様がクラウド内の情報資産を保護するために使用できる複数の制御機能を提供しています。これには、IAM、Amazon Virtual Private Cloud (VPC)、セキュリティグループ、ネットワーク ACL、証明書などが含まれます。
AWS でクラウドベースのインフラストラクチャを構築および維持するときに、データとリソースを保護するためにベストプラクティスに従うことが重要です。
セキュリティ、アイデンティティ、コンプライアンスに関するベストプラクティス は、Amazon Web Services のセキュリティのベストプラクティスを理解するための重要な参照ガイドです。
AWS Trusted Advisor
AWS Trusted Advisor では、次の 5 つのカテゴリでベストプラクティスをご提案します。
- コスト最適化
- セキュリティ
- 耐障害性
- パフォーマンスの向上
- サービスの制限
AWS Trusted Advisor の 60 を超えるチェックを使うことで、Amazon EC2、Elastic Load Balancing (ELB)、Amazon Elastic Block Store (Amazon EBS)、Amazon Simple Storage Service (Amazon S3)、Amazon EC2 Auto Scaling、AWS Identity and Access Management (IAM)、Amazon Relational Database Service (Amazon RDS)、Amazon Route 53、その他のサービスのデプロイをモニタリングし、向上させることができます。AWS Trusted Advisor レコメンデーションページで AWS リソースのステータス全体およびコスト削減の見積りを表示できます。
AWS Trusted Advisor は、特に、セキュリティのベストプラクティスに従っていることを確認するときに役立ちます。このラボでは、AWS Trusted Advisor の無料のセキュリティチェックを使用します。
AWS Trusted Advisor の料金
ベーシックサポートおよびデベロッパーサポートプランをご利用中の場合、Trusted Advisor コンソールを使用して、サービスの制限カテゴリのチェックすべてと、セキュリティカテゴリの以下のチェックにアクセスできます。
セキュリティグループ – 開いたポート: 特定のポートに対して無制限のアクセス (0.0.0.0/0) を許可しているルールがないかどうか、セキュリティグループをチェックします。無制限のアクセスにより、悪意のあるアクティビティ (ハッキング、サービス拒否攻撃、データの損失) の危険が増加します。リスクが最も高いポートには赤いフラグ、それよりもリスクが低いポートには黄色いフラグが付けられます。緑のフラグが付けられたポートは、通常、HTTP や SMTP などの無制限アクセスが必要なアプリケーションによって使用されます。
IAM の使用: ユーザーによる IAM の使用をチェックします。IAM を使用して、AWS のユーザー、グループ、ロールを作成できます。また、権限を設定して AWS リソースへのアクセスを管理できます。
ルートアカウントの MFA: ルートアカウントをチェックし、多要素認証 (MFA) が有効になっていない場合は警告します。セキュリティを強化するため、AWS では MFA を使用してアカウントを保護することを推奨しています。MFA を設定すると、ユーザーは AWS コンソールおよび関連ウェブサイトにアクセスするときに、MFA ハードウェアまたは仮想デバイスから得た一意の認証コードを入力する必要があります。
Amazon EBS パブリックスナップショット: Amazon EBS ボリュームスナップショットのアクセス許可設定をチェックし、スナップショットがパブリックに設定されている場合は通知します。スナップショットをパブリックに設定すると、すべての AWS アカウントとユーザーが、スナップショットの全データにアクセスできるようになってしまいます。スナップショットを特定のユーザーまたはアカウントと共有する場合は、そのスナップショットをプライベートに設定し、そのうえでスナップショットデータを共有するユーザーまたはアカウントを指定します。
Amazon RDS パブリックスナップショット: Amazon RDS の DB スナップショットのアクセス許可設定をチェックし、スナップショットがパブリックに設定されている場合は通知します。スナップショットをパブリックに設定すると、すべての AWS アカウントとユーザーが、スナップショットの全データにアクセスできるようになってしまいます。スナップショットを特定のユーザーまたはアカウントと共有する場合は、そのスナップショットをプライベートに設定し、そのうえでスナップショットデータを共有するユーザーまたはアカウントを指定します。
ルートアカウントの MFA: ルートアカウントをチェックし、多要素認証 (MFA) が有効になっていない場合は警告します。
これらのチェックの一部は、セキュリティ設定の非常に基本的な監査として使用できます。60 を超えるチェックのすべてにフルアクセスするには、アカウントをビジネスまたはエンタープライズサポートプランにアップグレードする必要があります。
AWS サポートの料金の詳細についてはこちらを参照してください: AWS サポートプラン
MFA デバイス
多要素認証 (MFA) デバイスには、仮想デバイスまたは物理デバイスのいずれかを使用できます。物理 MFA の場合、Gemalto ハードウェアキーまたはディスプレイカードを購入する必要があります。または、Android、iPhone、Windows、Blackberry のモバイルデバイスで利用可能な無料でサポートされている仮想 MFA アプリケーションのいずれかを使用できます。このラボでは、モバイルデバイスで仮想 MFA アプリケーションを設定する手順を説明します。この設定が好ましくない場合は、行わなくても構いません。
こちらの、サポートされている仮想 MFA アプリケーションのリストをご覧いただき、お使いのモバイルデバイスで使用可能かどうかご確認ください。Multi-Factor Authentication (MFA) for IAM
