責任共有モデル
お客様で担保
利用者や要件によって様々な物が構築されるのでユーザー自身が勉強して設定する必要があります。
- 客のデータ
- プラットフォーム、アプリケーション、IDとアクセス管理
- クライアント側データ暗号化、データ整合性認証
- サーバー側暗号化(ファイルシステムやデータ)
- ネットワークトラフィック保護(暗号化、整合性、アイデンティティ)
AWS側で担保
インフラに近い部分なので誰がやってもそんなに変わらないためAWS側のベストプラクティスで担保してくれます。規模の経済もかかります。
- ソフトウェア
- コンピュート
- ストレージ
- データベース
- ネットワーキング
- ハードウェア/AWSグローバルインフラストラクチャー
- リージョン
- アベイラビリティゾーン
- エッジロケーション
客が扱う必要があるセキュリティ関連サービス
客がセキュリティを担保するためにAWSが用意している様々なサービスがあります。
アイデンティティ(ID管理/認証/認可)
ID管理/認証
SSO
複数のAWSアカウントやビジネスアプリへのシングルサインオンを実現
Directory Service
マネージド型Microsoft Active Directory、複数のIDとパスワードを管理できる。
Cognito
カスタムアプリ(我々が作ったアプリ)やAWS APIの認証・認可を提供、Credentialsも発行する。
Cloud Directory
様々なユースケースに対応するディレクトリ機能を提供
認可
IAM
権限管理を扱うサービスで、セキュリティにおいて最も重要なサービスです。
Secrets Manager
パスワードのライフサイクル管理
リソース管理
Organizations
複数のAWSアカウントのリソースをポリシーで制御
Resource Access Manager
複数のAWSアカウントへのリソース共有を制御
発見的コントロール
Security Hub
GuardDuty
CloudTrail
操作ログを残せます。監査証跡ログを残したりするために使います。
Config
CloudWatch
VPC Flow Logs
基盤セキュリティ(インフラ保護)
Systems Manager
Shield
WAF
Inspector
脆弱性管理、自動化されたセキュリティ評価サービス
VPC
データ保護
KMS
暗号鍵を管理するためのサービス
CloudHSM
Macle
AWS Certificate Manager(ACM)
簡単にSSL/TLS証明書を作成、管理、配置できるサービス
Server-Side Encryption
インシデントレスポンス(訂正的統制)
Config Rules
Lambda
この記事へのコメントはありません。