AWS Security Checklist
AWS Security Checklistは、Amazon Web Servicesのセキュリティに関するチェックリストを提供します。
チェック対象のサービスは以下になります。
- AWS Identity and Access Management (IAM)
- AWS CloudTrail
- AWS Security Token Service (STS)
- Amazon Elastic Compute Cloud (EC2)
- Amazon Virtual Private Cloud (VPC)
- Amazon Elastic Block Store (EBS)
- Amazon Simple Storage Service(S3)
Security Checklistはこちらからダウンロードできます。
チェック内容は以下となります。
Security Checklist - General
ASC 01 rootアカウントのアクセスキーが設定されていないこと
- アラート基準:rootアカウントにアクセスキーが設定されている場合
- rootアカウントは強力な権限を持ちます。rootアカウントは利用せずIAMユーザーを利用します
- rootアカウントのアクセスキーを削除し、IAMユーザーを利用してください
- 対応手順はこちら
ASC 02 CloudTrailログ及び、請求レポートのS3バケットが公開設定となっていないこと
ASC 02-01 CloudTrailログのS3バケットが公開設定となっていないこと
- アラート基準:CloudTrailログを保管しているS3バケットがパブリック公開されている場合
- 不特定多数が読み取れる状態になっている為、今すぐパブリック公開設定を削除してください
- 対応手順はこちら
ASC 02-02 請求レポートのS3バケットが公開設定となっていないこと
- アラート基準:前回のチェックから180日経過した場合
- 不特定多数が読み取れる状態になっている為、今すぐパブリック公開設定を削除してください
- 対応手順はこちら
ASC 03 全リージョンでCloudTrailが有効であること
- アラート基準:CloudTrailが有効になっていないリージョンが存在する場合
- CloudTrailはAWSのAPI呼び出しを記録します(IP、時刻、パラメータ)
- セキュリティ分析、リソース変更追跡、コンプライアンス監査に必要です
- CloudTrailを有効化してください
- 対応手順はこちら
- 参考:AWS CloudTrailに関する料金
ASC 04 管理者ロールも限定的な権限であること
- アラート基準:Admin権限 ( "Effect": "Allow", "Action": "\*", "Resource": "\*" ) ポリシーが付与されている場合
- IAMには最小権限を付与することで、必要なタスクのみ実行できるようになります
- ユーザーが利用するサービスを確認し、必要な権限のみを付与してください
- 対応手順はこちら
- 補足情報
ASC 05 AWS Security Token Service(STS)とロールを利用すること
- アラート基準:前回のチェックから180日経過した場合
- EC2からAWSリソースへのアクセスは、アクセスキーではなくIAMロールを利用することでキー漏洩時のリスクを低減できます
- 適切な権限を付与したIAMロールを作成し、EC2にアタッチしてください
- AWS STSを使用すると、アプリケーションへ長期の認証情報を保存する必要がなく、ユーザーのリクエストに応じて、一時的に有効な認証情報が動的に生成されます�
- アプリケーションにセキュリティ認証情報を保存せず、AWS STSを利用してください
- 対応手順
ASC 06 毎月の請求レポートで使用状況を確認すること
- アラート基準:前回のチェックから180日経過した場合
- 請求レポートは、AWSの使用状況を追跡し、AWSリソース、使用タイプ、オペレーションの固有の組み合わせごとに明細項目が表示されます
- 請求レポートを確認しておくことで、想定外の課金を回避するために役立ちます
- 対応手順はこちら
- クラスメソッドメンバーズご利用のお客様は、メンバーズポータルのAWSアカウントメニューを開くと請求レポートが表示されます
Security Checklist – EC2/VPC/EBS
ASC 07 暗号化されたEBSボリュームを使用すること
- アラート基準:Amazon EBS 暗号化機能を使用してEBS暗号化が有効化されていない場合
- インスタンスとそれに接続されたEBSストレージ間でのデータの保存と転送中のデータの両方のセキュリティが保証されます
- Amazon EBS 暗号化機能を使用してEBSを暗号化をしてください
- 対応手順はこちら
ASC 08 利用可能な全てのリージョンにおいて、VPC Flow Logsが有効化されていること
- アラート基準:VPC Flow Logsが有効化されていない場合
- VPC Flow Logsは、VPC内のネットワーク通信のログを保存します
- セキュリティ分析や異常な通信を調査するのに役立ちます
- VPC Flow Logを有効化してください
- 対応手順はこちら
- CloudWatch Logsは保持期間を設定しない限り、ログが無期限に保存されるため、こちらを参照し、ログの保持期間を最短365日に設定します
- VPC Flow Logs(Amazon CloudWatch 供給ログ)に関する料金
ASC 09 EC2キーペアを保護すること
- アラート基準:前回のチェックから180日経過した場合
- EC2キーペアを持っていればEC2インスタンスへアクセス可能な場合があります
- EC2インスタンスにログインするキーペアを定期的にローテーション(削除/作成)してください
- 対応手順はこちら
ASC 10 EC2でのAWSリソースへのAPIアクセスはIAMインスタンスロールを利用していること
- アラート基準:EC2にIAMロールがアタッチされていない場合
- IAMロールでは期限付きの一時的なキーを利用します
- EC2からAWSリソースへのアクセスは、アクセスキーではなくIAMロールを利用することでキー漏洩時のリスクを低減できます
- 適切な権限を付与したIAMロールを作成し、EC2にアタッチしてください
- 対応手順はこちら
ASC 11 セキュリティグループを使用してEC2の通信を制御すること
- アラート基準:前回のチェックから180日経過した場合
- EC2インスタンスに対するインバウンドおよびアウトバウンドトラフィックの制御にセキュリティグループを利用してください
- 対応手順はこちら
Security Checklist – S3
ASC 12 パブリックアクセス可能なS3バケットを作成しないこと
- アラート基準:S3バケットがパブリック公開されている場合
- 不特定多数が読み取れる状態になっています。意図しない場合、すぐにパブリック公開設定を削除してください
- 対応手順はこちら
ASC 13 サーバ側の暗号化(SSE-S3)を利用してバケットを保護すること
- アラート基準:サーバ側の暗号化が有効でないバケットが存在する場合
- サーバー側の暗号化(SSE-S3)では、256ビットの高度暗号化規格(AES-256)を使用してデータを暗号化します
- サーバー側の暗号化(SSE-S3)を使用して、保管中のデータを保護してください
- 対応手順はこちら
ASC 14 S3バケットへのインバウンドおよびアウトバウンドのトラフィックを暗号化すること
- アラート基準:前回のチェックから180日経過した場合
- S3バケットへのアクセスはHTTPSプロトコルを使用してアクセスしてください
- 静的ウェブサイトホスティング利用時は、SSL/TLSに対応してください
- 対応手順
ASC 15 S3のバージョン管理、S3のライフサイクルポリシーを理解すること
- アラート基準:前回のチェックから180日経過した場合
- S3バージョニングを使用するとS3バケットに格納されたあらゆるオブジェクトのバージョンを、格納、取得、復元することができます
- ライフサイクル設定を使用すると、別のストレージクラスにオブジェクトを移行することや、オブジェクトの有効期限を定義することができます
- 対応手順
ASC 16 S3のアクセスログを有効化すること
- アラート基準:アクセスのログ記録が有効でないバケットが存在する場合
- バケットへのアクセスを求めるリクエストを追跡するため、アクセスのログ記録を有効にすることができます
- アクセスのログ記録を有効化してください
- 対応手順はこちら
コメント
0件のコメント
記事コメントは受け付けていません。