AWS W-A Framework セキュリティの柱をマインドマップ化してみた

AWS Well-Architected フレームワーク セキュリティの柱をマインドマップ化してみました。

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

コンバンハ、千葉(幸)です。

AWS Well-Architected フレームワークのセキュリティの柱をマインドマップ化してみました。

マインドマップ

  • 手元でツリーの開閉、拡大・縮小ができます
  • 右上のアイコンから全画面表示ができます

このマップについて

上記のマップは以下のドキュメントのアウトラインを表したものです。

(PDF版)

ドキュメントの構成について

  • 設計原則定義が冒頭で示される
    • 設計原則はドキュメントのエッセンスを要約したもの
    • 定義は領域(分野とも訳される)と場合によってはその他の事項が示される
  • 領域のベストプラクティスが本文で記載されている
  • 各領域は複数の階層からなる
  • ドキュメントの記載の多くは AWS Well-Architected Tool の「質問」とチェック項目に対応する

マップの凡例について

  • 赤塗りつぶしは AWS Well-Architected Tool の「質問」に相当する
  • 黄色塗りつぶしは「領域」あるいはその一階層下の中項目を表す
  • グレーアウトの箇所は AWS Well-Architected Tool に該当しないことを表す

詳細は以下エントリを参照してください。

本エントリのマップでは、上記エントリのマップより一階層下げた部分まで記載しています。

補足

マップ中央の直下の階層は各「領域(分野)」としており、以下のような順番で昇順となっています。

AWS Well-Architected フレームワーク セキュリティの柱

概要を記載します。便宜上、「領域(分野)」に番号を振っています。

設計の原則

  • 強力なアイデンティティ基盤を実装する
  • トレーサビリティを実現する
  • すべてのレイヤーでセキュリティを適用する
  • セキュリティのベストプラクティスを自動化する
  • 伝送中および保管中のデータを保護する
  • データに人の手を入れない

ワークロードを安全に運用する

  • SEC 1. ワークロードを安全に運用する
    • ワークロードを安全に運用する
      • 脅威モデルを使用してリスクを特定し、優先順位をつける
      • 管理目標を特定および検証する
      • セキュリティ脅威に関する最新情報を入手する
      • セキュリティのレコメンデーションに関する更新情報を入手する
      • 新しいセキュリティサービスと機能を定期的に評価および実装する
      • パイプラインのセキュリティコントロールのテストと検証を自動化する
    • AWSアカウントの管理と分離
      • アカウントを使用してワークロードを分ける
      • AWS アカウントを保護する
      • アカウントを一元的に管理する
      • 制御を一括設定する
      • サービスとリソースを一括設定する

領域1. アイデンティティとアクセスの管理

  • SEC 2. アイデンティティ管理
    • アイデンティティ
      • 人的 ID
      • マシン ID
    • 一元化された ID プロバイダーを利用する
    • ユーザーグループと属性を活用する
    • 強力なサインインメカニズムを使用する
    • 一時的な認証情報を使用する
    • 定期的に認証情報を監査およびローテーションする
  • SEC 3. 権限管理
    • 組織のアクセス許可ガードレールを定義する
    • 最小権限のアクセスを付与する
    • パブリックおよびクロスアカウントアクセスの分析
    • リソースを安全に共有する
    • アクセス許可を継続的に削減する
    • 緊急アクセスのプロセスを確立する

領域2. 検出

  • SEC 4. 検出
    • 設定
      • サービスとアプリケーションのログ記録を設定する
      • ログ、結果、メトリクスを一元的に分析する
    • 調査
      • 実用的なセキュリティイベントを実装する
      • イベントへの応答を自動化する

領域3. インフラストラクチャの保護

  • SEC 5. ネットワークの保護
    • ネットワークレイヤーを作成する
    • すべてのレイヤーでトラフィックを制御する
    • 検査と保護を実装する
    • ネットワーク保護を自動化する
  • SEC 6. コンピューティングの保護
    • 脆弱性管理を実行する
    • 攻撃対象領域を縮小する
    • ユーザーがリモートからアクションを実行できるようにする
    • マネージドサービスを活用する
    • ソフトウェアの整合性を検証する
    • コンピューティング保護を自動化する

領域4. データ保護

  • SEC 7. データ分類
    • ワークロード内のデータを特定する
    • データ保護コントロールを定義する
    • データのライフサイクル管理を定義する
    • 識別および分類を自動化する
  • SEC 8. 保管中のデータの保護
    • 安全なキー管理を実装する
    • 保管中に暗号化を適用する
    • アクセスコントロールを適用する
    • 暗号化キーの使用を監査する
    • 人をデータから遠ざけるメカニズムを使用する
    • 保管時のデータの保護を自動化する
  • SEC 9. 伝送中のデータの保護
    • 安全な鍵および証明書管理を実装する
    • 伝送中に暗号化を適用する
    • ネットワーク通信を認証する
    • 意図しないデータアクセスの検出を自動化する

領域5. インシデントへの対応

  • クラウドレスポンスの設計目標
    • 対応目標の確立
    • ドキュメントプラン
    • クラウドを使用して応答する
    • 持っているものと必要なものを知る
    • 再デプロイメカニズムを使用する
    • 可能な場合は自動化する
    • スケーラブルなソリューションを選択する
    • プロセスを学び、改善する
  • 教育
  • SEC 10. インシデントへの対応
    • 準備
      • 重要な人員と外部リソースを特定する
      • インシデント管理計画を作成する
      • アクセスを事前プロビジョニングする
      • ツールを事前デプロイする
      • フォレンジック機能を備える
    • シミュレーション
      • ゲームデーを実施する
    • イテレーション
      • 封じ込めと復旧機能を自動化する

参考