4. 4設計原則
• Implement a strong identity foundation(強固な認証基盤)
• Enable traceability(トレーサビリティの担保)
• Apply security at all layers(全てのレイヤーの保護)
• Automate security best practices(自動化)
• Protect data in transit and at rest(保存・転送時のデータ保護)
• Keep people away from data(人からデータを遠ざける)
• Prepare for security events(セキュリティイベントに備える)
8. 8認証・認可
SEC 1: How do you manage credentials and authentication?
(認証情報と認証をどのように管理していますか?)
SEC 2: How do you control human access?
(人によるアクセスをどのように制御していますか?)
SEC 3: How do you control programmatic access?
(プログラムによるアクセスをどのように制御していますか?)
11. 11Automated IAM User Cleanup
Level 200: Automated IAM User Cleanup
https://github.com/awslabs/aws-well-architected-labs/tree/master/Security/200_Automated_IAM_User_Cleanup
15. 15Switch Role
Switch Roleとは
• マネージメントコンソールにログインした
ユーザーがIAM Roleの権限に切り替えるこ
と
• 切り替え元のIAM User / AWSカウントを
信頼しているRoleに切り替えることが可能
Switching to a Role (Console)
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html
17. 17発見的統制
SEC 4: How do you detect and investigate security events?
(セキュリティイベントの検知と調査をどのように行っていますか?)
SEC 5: How do you defend against emerging security threats?
(新たに発生するセキュリティ上の脅威にどのように対応していますか?)
29. 29インフラストラクチャの保護
SEC 6: How do you protect your networks?
(ネットワークをどのように保護していますか?)
SEC 7: How do you protect your compute resources?
(コンピューティングリソースをどのように保護していますか?)
34. 34ENSURE NO SECURITY GROUPS ALLOW INGRESS FROM 0.0.0.0/0 TO SSH (TCP:22)
ENSURE NO SECURITY GROUPS ALLOW INGRESS FROM 0.0.0.0/0 TO SSH (TCP:22)
https://gsl.dome9.com/D9.AWS.NET.01.html
38. 38データの保護
SEC 8: How do you classify your data?
(データをどのように分類していますか?)
SEC 9: How do you protect your data at rest?
(保存しているデータをどのように保護していますか?)
SEC 10: How do you protect your data in transit?
(転送しているデータをどのように保護していますか?)
52. 52設計原則(再掲)
• Implement a strong identity foundation(強固な認証基盤)
• Enable traceability(トレーサビリティの担保)
• Apply security at all layers(全てのレイヤーの保護)
• Automate security best practices(自動化)
• Protect data in transit and at rest(保存・転送時のデータ保護)
• Keep people away from data(人からデータを遠ざける)
• Prepare for security events(セキュリティイベントに備える)