ネットワーク保護ガイダンス
Amazon の DPP および AUP に準拠したネットワーク保護技術とコントロール。
概要
ネットワーク保護は、データの機密性、完全性、アクセス性の保護を主な目的として綿密に設計されたツール、ルール、設定のセットです。インターネット接続からアクセスできるあらゆるデバイスは攻撃を受けがちです。強力なネットワーク保護プロトコルおよびポリシーを定義すると、デバイスやネットワークを不要なまたは悪意のあるネットワークトラフィックから保護するのに役立ちます。
開発者は、Amazonデータ保護ポリシー(DPP)の一環として、セキュアな環境を作成し、データ損失リスクと関連脆弱性を軽減する必要があります。AmazonのDPPポリシーと適正利用規約(AUP)ポリシーは、登録プロセス中に開発者によって承認されます。
Amazonは監査時に、開発者のデータ保護ポリシーへのコンプライアンスを評価します。Amazonは、開発者にネットワークインフラストラクチャの一貫性をいつでも守るために必要なプロトコルの遵守を例外なしに要求します。この技術文書では、AmazonのDPPおよびAUP要件への準拠を維持しながらネットワークの保護に役立つ、ネットワーク保護テクニックとコントロールの重要性について説明します。
Amazonデータ保護ポリシー(DPP)要件
1.1 ネットワーク保護のAmazonデータ保護ポリシー(DPP)に記載されているとおり、
ネットワーク保護。開発者は、不正な IP アドレスへのアクセスを拒否するために、ネットワークファイアウォールやネットワークアクセス制御リストなどのネットワーク保護制御を実装する必要があります。開発者は、ネットワークセグメンテーション、ウイルス対策およびマルウェア対策ソフトウェアをエンドユーザーデバイスに実装する必要があります。開発者は、パブリックアクセスを承認されたユーザーのみに制限し、システムにアクセスできるすべてのユーザーを対象にデータ保護とITセキュリティのトレーニングを実施する必要があります。
ネットワークセグメンテーションとファイアウォールフィルタリング
ネットワークセグメンテーションは、大規模なネットワークを小さなサブネットワークに分割して、アクセス制御とセキュリティを強化する手法です。ネットワークの分離とセグメンテーションを実装すると、IT管理者は明確に定義されたセキュリティ境界内のトラフィックフローをうまく制御し、侵入者による侵害や侵入を防止できます。分離はロールと機能に基づいてネットワークを分割するのに対し、セグメンテーションはフラットなネットワークを分断し、ネットワークをそのコンポーネントから切り離します。
ネットワークセグメンテーションはセキュリティ侵害の封じ込めに役立ち、攻撃や障害発生時のリスクを軽減します。境界ベースのセグメンテーションを効果的に実装する方法の1つは、ネットワークファイアウォールの使用です。たとえば、目的のネットワーク境界を効果的に設定することで、越境するすべてのトラフィックがファイアウォールを経由するようにします。ネットワークセグメンテーションの適用は企業のニーズに固有の場合もありますが、AmazonのDPPに準拠するには、開発者は組織として特定のベストプラクティスを実装する必要があります。いくつか例を挙げます。
- 組織の包括的なリスク分析に基づいて、強力なネットワークファイアウォールポリシーを定義します。効果的なファイアウォールポリシーは、信頼できるトラフィックを例外として設定した上で、すべてのインバウンドトラフィックとアウトバウンドトラフィックをブロックすることに基づいています。
- バーチャルローカルエリアネットワーク(VLAN)またはサブネットを使用してネットワークをセグメント化します。VLANタグは、許可されたトラフィックのみを特定の隔離ネットワークに再ルーティングすることで、悪意のあるパケットスニッフィングや攻撃対象領域を低減できます。
- ネットワークへのゲストアクセスを隔離することで、ネットワークをマクロセグメント化します。Wi-Fiネットワークにアクセスするためのゲスト資格の作成に加えて、サードパーティサービスプロバイダー向けに独立したポータルを作成します。
- 社内ユーザーのユーザーアクセスを、範囲を区切ってセグメント化します。これにより、認証を特定のユーザーに制限し、不正アクセスが試みられたときにアラートを発します。
AWS Network Firewallを使用することで、Amazonバーチャルプライベートクラウド(Amazon VPC)で作成したバーチャルプライベートクラウド(VPC)環境向けのステートフルでマネージドなネットワークファイアウォールと侵入検知および防止サービスが手に入ります。
ネットワークファイアウォールはAWSファイアウォールマネージャーによってサポートされています。これを活用して、アカウントとアプリケーション全体でファイアウォールを一元的に設定、管理できます。ファイアウォールポリシーは、VPC内の送受信トラフィックをフィルタリングするために使用するファイアウォールのルールやその他の設定を定義します。
AWS WAF、AWS Shield、およびAWS Firewall Managerは連携して、包括的なセキュリティソリューションとしての役割を果たします。トラフィックがVPCの境界に入ると、AWS WAFを使用してウェブアプリケーションに転送されるリクエストを監視し、コンテンツへのアクセスを制御できます。悪意のあるエンティティが一般的に行う攻撃方法のひとつは、大量のトラフィックを送信してサーバーに過負荷をかけることです。AWS ShieldはこうしたDDoS攻撃からの保護に役立ちます。これらのネットワーク保護メカニズムを一元管理する補完的なツールがAWS Firewall Managerです。ファイアウォールルールを設定でき、新しいリソースが追加された場合でも、そのルールをアカウントやリソース全体に自動的に適用できます。
ネットワークアクセス制御
ネットワークセグメンテーションとファイアウォールの実装に加えて、権限のないデバイスによるネットワークへのアクセスを防止するための対策を講じる必要があります。これはネットワークアクセス制御ツールによって実現できます。これにより、企業はデバイスのコンプライアンスをチェックし、権限のないデバイスによる企業ネットワークへのアクセスを防止できます。
従業員が個人所有のデバイスを仕事目的で使用することに対して組織がオープンになるにつれ、ビジネスデータへのアクセスを許可する前に、これらのデバイスをスキャンして企業ポリシーの順守や脆弱性をチェックすることがこれまで以上に重要になっています。
オンプレミスネットワークに加えて、組織のクラウドサービスも保護することが不可欠です。注意すべき重要な点は、ネットワークアクセス制御と アクセスコントロールリスト (ACL) 2 つの異なる概念です。ネットワークアクセスコントロールは、認証されたユーザーIDまたは信頼できるデバイスに基づいてネットワークノードに適用されるアクセスプロトコルですが、ACLは環境へのアクセスを許可または拒否するためにルーターレベルで適用されるルールです。
Amazon DPPコンプライアンスの一環として、部門、職務、ロール、チーム名などのアクセス制御属性に基づいて、権限を細密に適用できるIDおよびアクセス管理ツールまたはメカニズムを導入することが重要です。このようなロールベースの制御は、組織がアクションを監視したり、イベントやアクションを特定のIDに関連付けるのに役立ちます。オンプレミスネットワークデバイスとクラウドデバイスのどちらにも、ネットワークへのアクセスの割り当てと使用の両方を認証、制限、制御するプロセスを導入する必要があります。規模と価格のニーズに基づいてツールを導入するのは開発者の責任です。
マルウェア対策
インターネットに接続されているあらゆるデバイスは、マルウェアに感染する可能性があります。マルウェアとは、ホストコンピューターに感染させるために書かれたあらゆる悪意のあるコードを表す総称です。ウイルスとは、プログラムに簡単に付着し、メール、リムーバブルストレージデバイス、汚染されたネットワークを媒介に拡散するマルウェアの一種です。コンピューターが感染すると、マルウェアは、ファイルの削除や暗号化、アプリケーションの変更、システム機能の無効化などを実行します。
組織にとって、最も蔓延している攻撃ベクトルに基づいて、マルウェアインシデント防止のための効果的なアプローチを開発・実装することが不可欠です。組織には、マルウェアインシデントの防止に対応するポリシーと、マルウェアインシデントの封じ込めを支援する脅威軽減機能が必要です。
アンチウイルスソフトウェアは、最もよく使用されているマルウェア脅威緩和のための技術的コントロールです。アンチウイルスソフトウェアは、デバイスをスキャンし、ウイルスを識別し、ウイルスを駆除することができます。アクティブスキャンの他に、最新の脅威から保護するため、アンチウイルスアプリケーションを定期的に更新する必要があります。アンチウイルスプログラムは1台のエンドポイントを保護するように設計されているため、さまざまなエンドポイントを擁する大企業の場合、エンタープライズエンドポイントセキュリティによる保護が必要です。高度なエンドポイント保護プラットフォーム(EPP)ソリューションは、最先端の機械学習や封じ込めを利用した、ファイアウォールやヒューリスティック検知などの機能を備えています。
AmazonのDPPでは、SP-APIユーザーにエンドポイントを保護するメカニズムを要求しています。Amazonは特定のアンチマルウェアツールを推奨していませんが、開発者は何らかのコントロールを有効にする必要があります。ユーザーデータにアクセスできるすべてのシステムには、アンチウイルスまたはアンチマルウェアがインストールされている必要があります。システムは、リアルタイムスキャンばかりに依存せず、定期的にフルシステムスキャンを実行する必要があります。
アンチウイルススキャンをオフにするコントロールは無効にする必要があります。アンチウイルス定義が最新であることを確認してください。アンチウイルスのログとアラートを有効にする必要があります。アンチウイルスが無効になっている場合は、ITチームに通知し、適切なフォローアッププロセスを開始する必要があります。
ネットワークベースの侵入検知システム (NIDS)とネットワーク侵入防止システム(NIPS)
ネットワークベースの侵入検知システム(NIDS)は、トラフィックパターンを監視し、インバウンドとアウトバウンドのネットワークパケットを分析することで悪意のあるアクティビティを検出します。NIDSはネットワーク上のあらゆる侵入を検知・アラートできますが、ネットワーク侵入防止システム(NIPS)はTransmission Control Protocol(TCP)接続を終了したり、ファイアウォールに命令して疑わしいネットワークアクティビティをブロックしたりすることで攻撃を防ぐことができます。Amazonのデータ保護ポリシーでは、NIDSシステムとNIPSシステムをネットワークデバイスとエンドポイントデバイスにインストールすることを推奨しています。NIPSを適切に実装すれば、脅威を事前に検知し、従来のセキュリティコントロールでは検知できない強力なネットワーク攻撃を阻止できます。
Amazon GuardDutyは、VPCフローログからのトラフィックデータを使用して脅威の動作を検出するクラウドネイティブのNIDSサービスです。VPCのフローログ記録を有効にする必要があります。これらのログでは、VPCを通過するトラフィックのタイプに対する完全に把握できます。フローログ記録は、問題のあるトラフィックを検出し、貴重な洞察を得るときに役立ちます。またアクセスおよびセキュリティの問題を解決するときにも役立ちます。たとえば、フローログは過度に許容するセキュリティグループがあるかどうかを調べる場合に役立ちます。Amazon GuardDutyは、脅威に対応して軽減するために、メールやショートメッセージサービス(SMS)メッセージで疑いのある侵害について担当者に通知するように設定できます。
このようなツールはAmazonだけに限定されるものではありません。他のクラウドプロバイダーのソリューションや、SnortやWazuhなどのオープンソースソリューションも環境の保護に役立ちます。
結論
このホワイトペーパーでは、ネットワークとアプリケーションの保護の重要性について説明しています。これをガイドラインとして利用してネットワーク保護を強化してください。ただし、これらのツールやコントロールだけに限定する必要はありません。上記のサービスのほとんどはAmazonサービスですが、自社の要件に合った類似のツールをご自由に使用してください。
通知
Amazonの出品者と開発者は、本書に記載されている情報を独自に評価する責任があります。この文書:(a) は情報提供のみを目的としており、(b) 予告なしに変更される可能性のある現在の慣行を表しており、(c) Amazon.com Services LLC (Amazon) およびその関連会社、サプライヤー、またはライセンサーからいかなる約束や保証も生じません。Amazon Services API の製品またはサービスは、明示的か黙示的かを問わず、いかなる種類の保証、表明、または条件もなく、「現状のまま」提供されます。この文書は Amazon と当事者との間のいかなる契約の一部でもなく、またそれを変更するものでもありません。
© 2022 Amazon.com Services LLC or its affiliates. 無断転載を禁じます。
Updated 23 days ago