【事前知識】

• IPS (Intrusion Prevention System)
  トラフィック保護。
  不正侵入防止システム。

• IDS（Intrusion Detection System）
  ネットワークやサーバーを監視し、不正なアクセスを検知して管理者に通知する役割を担うシステム。
  インスタンスまたはリバースプロキシ層に IDS/IPS エージェントを実装することで解決できる。

ネットワークACL
【ステートレス】

サブネットごとのファイヤーウォール。
ネットワークACLルールは低い値から高い値にかけて評価され、一致する許可/拒否ルールが設定されるとすぐに実行される。

※最も低いルール番号から順番に評価されていく

セキュリティグループ
【ステートフル】

1つ以上のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能する。
どのトラフィックEC2インスタンスへ、またはインスタンスから許可されるかを指定する。

・インスタンス間のトラフィックを制御するためには、セキュリティグループを利用することが適切。

・セキュリティグループは EC2 等のインスタンスのトラフィックを制御する。

★ステートフルの解釈
応答トラフィック。インバウンドを定義したらアウトバウンドも定義されるという認識。

【デフォルト（初期設定）】

・インバウンド：
同じセキュリティグループからの全トラフィックを許可する。

・アウトバンド：
全アドレスからのすべてのトラフィックを許可する。

FireWall系サービス

WAF
【Web】

(Web Application Firewall)

可用性、セキュリティ侵害など、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーション。
SQLインジェクションやウェブエクスプロイトなどに有効。

【WAFで保護できるリソースタイプ】
以下に転送されるHTTPおよびHTTPSリクエストをモニタリング可能。
また、コンテンツへのアクセスを制御可能にする。
・CloudFrontディストリビューション
・API Gateway REST API
・ALB
・APP Sync
・Cognito　ユーザープール

※CloudFront、ALBと緊密に統合されている。

〇設定部

• Web ACL
  【保護対象選択】
  AWS WAFを利用を始める際に最初に作成することになるリソース。
  Web Aclに関連付けされたAWSサービスが保護対象となり、Web Aclの配下に作成したルールやルールグループが保護対象リソースのアクセス制御の評価基準となる。
  保護されたリソースが応答するすべての HTTP(S) ウェブリクエストをきめ細かく制御できる。
  
  【下記リソースを保護】
  ・CloudFront
  ・API Gateway
  ・ALB
  ・AppSync
  ・Cognito
  ・App Runner
  ・Verified Access

• レートベースルール
  【DDoS対策】
  送信元IPアドレスごとにリクエストの数を追跡し、リクエストの数が制限を超えた時、条件に合致するトラフィックをブロックする。
  
  ●Referer制限
  直前に開いていたサイトに応じてアクセスを制限する。

Firewall Manager
【Organizations専用】

Organizations配下で管理されている、アカウント内のアプリケーション全体のファイアウォールルール（AWS Network Firewall）を一元的に設定・管理。
アカウントと Amazon VPC 間のトラフィックを 1 か所から制御できる。

• オートメーションソリューション
  Organizations の全てのアカウントとリソースで　ファイアウォールルールを一元的に設定、管理、監査できる。

【一元的自動デプロイ】

一元的に設定したルールのセットへの変更が、アカウントと VPC に自動的にデプロイされる。これにより、セキュリティ管理者は組織内に新しいアカウントと VPC が作成された場合でも、組織全体で一元的に義務付けられたファイアウォールルールを一貫して適用できる。

• AWS Network Firewall【VPC】
  VPC 全体に Network Firewall セキュリティをデプロイ。
  （Internet Gatewayの手前に設置されているイメージ）
  
  インターネットやVPC間とのネットワークトラフィックをきめ細かく制御するファイアウォールルールを定義。
  
  【AWS Firewall Manager と連携】
  Network Firewall ルールに基づいてポリシーを構築し、それらのポリシーを仮想プライベートクラウド (VPC) とアカウント全体に一元的に適用できる。

Shield
【DDoS攻撃対策】

AWS で実行しているアプリケーションをDDoS攻撃から保護するマネージド型サービス。

• AWS Shield Standard
  【無料DDos対策】
  すべてのAWSユーザーが自動的に利用できるサービス。
  インフラストラクチャ（L3、4）を標的とするDDoS攻撃から保護する。受信するトラフィックをモニタリングし、異常を検出する。

• AWS Shield Advanced
  【高度なDDos対策】
  アプリケーションレイヤー（L7層）に対するDDoS攻撃から保護する。

Guard Duty
【セキュリティ状況チェック】

AWS環境やAWSアカウントに対する攻撃などのセキュリティ状況を、「AWSアカウント」と「ワークロード」を継続的にモニタリングおよび通知する。

機械学習で分析されたログから攻撃と思われる状況を検知し、可視化と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービス。

※AWS上で有効化するだけで使用可能。

Security Hub
【セキュリティアラート管理】

セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを1つのダッシュボードにまとめ、すべての AWS アカウントで全体的なセキュリティの体制を把握できる。

複数のサービスにまたがって届く膨大な数のアラートをひとつひとつ確認して処理する手間を減らすことが期待できる。
（GuardDuty、Inspector、Macieなど画面にそれぞれ遷移しなくてよい）
AWS サービスのイベントは、ほぼリアルタイムで、保証に基づいて EventBridge に配信される。

・CIS Benchmarksをサポートしている

※CIS Benchmarksとは
セキュリティ担当者がサイバーセキュリティ防御を実装および管理するのに役立つ。
世界的に認められたコンセンサス主導の一連のベストプラクティス。

[参考]

Inspector
【インスタンス脆弱性診断】

自動化されたセキュリティ評価サービス。
AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させる。

・EC2インスタンス/ECRのコンテナイメージ/Lambda関数の脆弱性を行うサービス。

・AWSのEC2インスタンスにおいて脆弱性診断を自動で行ってくれるサービス。

• 評価テンプレート
  【評価定義】
  評価の実行を定義するために作成するもの。
  評価ターゲットを評価するためのルールパッケージ、評価実行期間、評価の実行状態と結果に関する通知の送信先である、SNSトピック、評価の実行によって生成された結果を割り当てることができる。

Macie（メイシ―）
【機密データの検出や保護】

監視対象となる（暗号化されていない）S3バケットに保管された個人識別情報などの機密サービスを機械学習とパターンマッチングを適用し、自動的に発見しする。

通知や発見したデータセキュリティリスクに対する自動保護を可能にする。

Detective
【調査プロセス簡素化】

調査プロセスを簡素化し、セキュリティチームがより迅速かつ効果的な調査を実施できるようにする。

・事前に構築されたデータの集計、要約、コンテキストによって、起こりうるセキュリティ問題の性質と範囲を迅速に分析および判断するのに役立つ。

Policy Generator
【ポリシー作成簡素化】

SQS,S3,SNS,IAMのポリシードキュメントを作成するプロセスを簡素化するサービス。

監査対応に向けたサービス

【AWSアカウントのアーキテクチャとアーティファクトを調査】

一般的に読み取り専用アクセスを必要とする。
そのため、読み取り専用アクセスをもつIAMユーザーを作成する。

Artifact
【コンプライアンスレポート】

AWSが提供するコンプライアンスレポートと契約書類のサービス。

・監査を行う際に、AWS Artifactから該当のレポートをダウンロードして監査人に提供できる。

・Payment Card Industry Data Security Standard (PCI DSS) 準拠に関する情報が含まれている。

Service Organization Control
【第三者報告書】

※略称：SOC
オペレーションとコンプライアンスをサポートするよう確立された AWS 統制を、ユーザーおよびユーザーの監査人が容易に把握できるようにする目的がある。

独立した第三者（ユーザーおよびユーザー監査人）が、AWS社に対して、

・重要な準拠統制および目標をAWSがどのように達成したか

を評価する審査報告書。

以下、4 種類の AWS SOC レポートがある。

• AWS SOC 1 レポート
• AWS SOC 2: セキュリティおよび可用性レポート
• AWS SOC 2: 機密性レポート
• AWS SOC 3: セキュリティおよび可用性レポート

【監査に備えてのベストプラクティス】

• IT運用管理の証拠収集

• 第三者（サードパーティー）の監査済みAWSコンプライアンスレポート（報告書と証明書）

• 侵入テスト実行