Security

【ステートレス】
（Network access control list）
サブネットごとのファイヤーウォール。
ネットワークACLルールは低い値から高い値にかけて評価され、一致する許可/拒否ルールが設定されるとすぐに実行される。

セキュリティグループ

【ステートフル】
1つ以上のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能する。
どのトラフィックEC2インスタンスへ、またはインスタンスから許可されるかを指定する。
・インスタンス間のトラフィックを制御するためには、セキュリティグループを利用することが適切。
・セキュリティグループは EC2 等のインスタンスのトラフィックを制御する。

WAF

【Web】
(Web Application Firewall)
可用性、セキュリティ侵害など、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーション。
SQLインジェクションやウェブエクスプロイトなどに有効。

①Firewall Manager

【Organizations専用】
Organizations配下で管理されている、アカウント内のアプリケーション全体のファイアウォールルール（AWS Network Firewall）を一元的に設定・管理。
アカウントと Amazon VPC 間のトラフィックを 1 か所から制御できる。

Shield

【DDoS攻撃対策】
AWS で実行しているアプリケーションをDDoS攻撃から保護するマネージド型サービス。

①Shield Advanced

【高度なDDos対策】
アプリケーションレイヤー（L7層）に対するDDoS攻撃から保護する。

Guard Duty

【セキュリティ状況チェック】
AWS環境やAWSアカウントに対する攻撃などのセキュリティ状況を、「AWSアカウント」と「ワークロード」を継続的にモニタリングおよび通知する。
機械学習で分析されたログから攻撃と思われる状況を検知し、可視化と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービス。

Security Hub

【セキュリティアラート管理】
セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを1つのダッシュボードにまとめ、すべての AWS アカウントで全体的なセキュリティの体制を把握できる。
複数のサービスにまたがって届く膨大な数のアラートをひとつひとつ確認して処理する手間を減らすことが期待できる。

Inspector

【インスタンス脆弱性診断】
自動化されたセキュリティ評価サービス。
AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させる。
・EC2インスタンス/ECRのコンテナイメージ/Lambda関数の脆弱性を行うサービス。
・AWSのEC2インスタンスにおいて脆弱性診断を自動で行ってくれるサービス。

Macie

【機密データの検出や保護】
監視対象となる（暗号化されていない）S3バケットに保管された個人識別情報などの機密サービスを機械学習とパターンマッチングを適用し、自動的に発見しする。
通知や発見したデータセキュリティリスクに対する自動保護を可能にする。

Detective

【調査プロセス簡素化】
調査プロセスを簡素化し、セキュリティチームがより迅速かつ効果的な調査を実施できるようにする。
・事前に構築されたデータの集計、要約、コンテキストによって、起こりうるセキュリティ問題の性質と範囲を迅速に分析および判断するのに役立つ。

Policy Generator

【ポリシー作成簡素化】
SQS,S3,SNS,IAMのポリシードキュメントを作成するプロセスを簡素化するサービス。

Artifact

【コンプライアンスレポート】
AWSが提供するコンプライアンスレポートと契約書類のサービス。
・監査を行う際に、AWS Artifactから該当のレポートをダウンロードして監査人に提供できる。
・Payment Card Industry Data Security Standard (PCI DSS) 準拠に関する情報が含まれている。

Service Organization Control

※略称：SOC
オペレーションとコンプライアンスをサポートするよう確立された AWS 統制を、ユーザーおよびユーザーの監査人が容易に把握できるようにする目的がある。独立した第三者（ユーザーおよびユーザー監査人）が、AWS社に対して、
重要な準拠統制および目標をAWSがどのように達成したかを評価する審査報告書。

Summary & List

No responses yet

コメントを残すコメントをキャンセル

最近の投稿

最近のコメント

ネットワークACL	【ステートレス】（Network access control list）サブネットごとのファイヤーウォール。ネットワークACLルールは低い値から高い値にかけて評価され、一致する許可/拒否ルールが設定されるとすぐに実行される。
セキュリティグループ	【ステートフル】 1つ以上のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能する。どのトラフィックEC2インスタンスへ、またはインスタンスから許可されるかを指定する。・インスタンス間のトラフィックを制御するためには、セキュリティグループを利用することが適切。・セキュリティグループは EC2 等のインスタンスのトラフィックを制御する。
WAF	【Web】 (Web Application Firewall) 可用性、セキュリティ侵害など、ウェブの脆弱性を利用した一般的な攻撃やボットから、ウェブアプリケーション。 SQLインジェクションやウェブエクスプロイトなどに有効。
①Firewall Manager	【Organizations専用】 Organizations配下で管理されている、アカウント内のアプリケーション全体のファイアウォールルール（AWS Network Firewall）を一元的に設定・管理。アカウントと Amazon VPC 間のトラフィックを 1 か所から制御できる。
Shield	【DDoS攻撃対策】 AWS で実行しているアプリケーションをDDoS攻撃から保護するマネージド型サービス。
①Shield Advanced	【高度なDDos対策】アプリケーションレイヤー（L7層）に対するDDoS攻撃から保護する。
Guard Duty	【セキュリティ状況チェック】 AWS環境やAWSアカウントに対する攻撃などのセキュリティ状況を、「AWSアカウント」と「ワークロード」を継続的にモニタリングおよび通知する。機械学習で分析されたログから攻撃と思われる状況を検知し、可視化と修復のための詳細なセキュリティ検出結果を提供する脅威検出サービス。
Security Hub	【セキュリティアラート管理】セキュリティのベストプラクティスのチェックを自動化し、セキュリティアラートを1つのダッシュボードにまとめ、すべての AWS アカウントで全体的なセキュリティの体制を把握できる。複数のサービスにまたがって届く膨大な数のアラートをひとつひとつ確認して処理する手間を減らすことが期待できる。
Inspector	【インスタンス脆弱性診断】自動化されたセキュリティ評価サービス。 AWS にデプロイしたアプリケーションのセキュリティとコンプライアンスを向上させる。・EC2インスタンス/ECRのコンテナイメージ/Lambda関数の脆弱性を行うサービス。・AWSのEC2インスタンスにおいて脆弱性診断を自動で行ってくれるサービス。
Macie	【機密データの検出や保護】監視対象となる（暗号化されていない）S3バケットに保管された個人識別情報などの機密サービスを機械学習とパターンマッチングを適用し、自動的に発見しする。通知や発見したデータセキュリティリスクに対する自動保護を可能にする。
Detective	【調査プロセス簡素化】調査プロセスを簡素化し、セキュリティチームがより迅速かつ効果的な調査を実施できるようにする。・事前に構築されたデータの集計、要約、コンテキストによって、起こりうるセキュリティ問題の性質と範囲を迅速に分析および判断するのに役立つ。
Policy Generator	【ポリシー作成簡素化】 SQS,S3,SNS,IAMのポリシードキュメントを作成するプロセスを簡素化するサービス。
Artifact	【コンプライアンスレポート】 AWSが提供するコンプライアンスレポートと契約書類のサービス。・監査を行う際に、AWS Artifactから該当のレポートをダウンロードして監査人に提供できる。・Payment Card Industry Data Security Standard (PCI DSS) 準拠に関する情報が含まれている。
Service Organization Control	※略称：SOC オペレーションとコンプライアンスをサポートするよう確立された AWS 統制を、ユーザーおよびユーザーの監査人が容易に把握できるようにする目的がある。独立した第三者（ユーザーおよびユーザー監査人）が、AWS社に対して、重要な準拠統制および目標をAWSがどのように達成したかを評価する審査報告書。