目次
公式サイトでは、以下クラウドでのセキュリティには、「7 つの設計原則」があると説いています。
この原則に則って設計していけば、クラウド基盤でのセキュリティが向上するよというものです。
AWSでシステム設計する際には、チェック事項として見直したいところです。
7つの設計原則
下記7つが設計原則になります。
- 強力なアイデンティティ基盤の実装
- トレーサビリティの実現
- 全レイヤーへのセキュリティの適用
- セキュリティのベストプラクティスの自動化
- 伝送中および保管中のデータの保護
- データに人の手を入れない
- セキュリティイベントへの備え
詳しくみていきましょう。
強力なアイデンティティ基盤の実装
最小権限の原則を実装し、役割分担を徹底させ、各 AWS リソースとの通信において適切な認証を実行します。
権限の管理を一元化し、長期的な認証情報への依存を軽減あるいは解消します。
最小権限の原則とは
IAMユーザーは自身が利用するリソースの範囲内に限って最小限の権限を与えられるべきってことですね。
トレーサビリティの実現
ご使用の環境に対して、リアルタイムで監視、アラート、監査のアクションと変更を行うことができます。
システムにログとメトリクスを統合し、自動で応答してアクションをとります。
全レイヤーへのセキュリティの適用
外部に接する単一のレイヤーを保護することだけに重点を置くのではなく、深層防御をその他のレイヤーにも適用してセキュリティをコントロールします。
すべてのレイヤー (エッジネットワーク、VPC、サブネット、ロードバランサー、すべてのインスタンス、オペレーティングシステム、アプリケーションなど) に適用します。
セキュリティのベストプラクティスの自動化
自動化されたソフトウェアベースのセキュリティメカニズムにより、スケール機能を改善して、安全に、より速く、より費用対効果の高いスケールが可能になります。
バージョン管理されているテンプレートにおいてコードとして定義および管理されるコントロールを実装するなど、セキュアなアーキテクチャを作成します。
伝送中および保管中のデータの保護
データを機密性レベルに分類し、暗号化、トークン分割、アクセスコントロールなどのメカニズムを適宜使用します。
データに人の手を入れない
データに直接アクセスしたりデータを手動で処理したりする必要を減らす、あるいは無くすメカニズムとツールを作成します。
これにより、機密性の高いデータを扱う際のデータの損失、変更、ヒューマンエラーのリスクを軽減します。
セキュリティイベントへの備え
ご所属の組織の要件に合わせたインシデント管理プロセスにより、インシデントに備えます。
インシデント対応シミュレーションを実行し、自動化されたツールを使用して、検出、調査、復旧のスピードを上げます。
その他、主な設計原則
- スケーラビリティ
- デプロイ可能なリソース
- 環境の自動化
- 疎結合化
- サーバーの代わりのマネージドサービス
- 柔軟なデータストレージオプション