11月26日、Sysdigが「26のAWSセキュリティベストプラクティス」と題した記事を公開した。この記事では、AWS環境で採用すべき主要なセキュリティベストプラクティスについて詳しく紹介されている。

以下に、その内容を簡潔にまとめて紹介する。

AWSセキュリティの基本

記事の冒頭では、AWSのセキュリティを強化するための基本的な概念が説明されている。特に「AWS共有責任モデル」に焦点を当てており、AWSが提供するインフラのセキュリティ管理と、顧客が自身のデータやアプリケーションを守る責任の分担が明確にされている。

26のAWSセキュリティベストプラクティス

Sysdigの記事は、主要なAWSサービスに対応した26のセキュリティベストプラクティスをリスト形式で紹介している。以下はその概要である。

AWS Identity and Access Management (IAM)

1. IAMポリシーで完全な管理権限（"*"）を許可しない。詳細。
2. IAMユーザーに直接ポリシーを付与しない。詳細で詳細確認。
3. IAMユーザーのアクセスキーは90日以内にローテーションする。詳細。
4. IAMルートユーザーのアクセスキーを削除する。詳細。
5. IAMユーザーに対してMFA（多要素認証）を有効にする。詳細。
6. ルートユーザーにはハードウェアMFAを有効にする。詳細。
7. IAMユーザーのパスワードポリシーを強化する。詳細。
8. 未使用のIAMユーザー資格情報を削除する。詳細。

Amazon S3

1. S3の公開アクセスブロックを有効化する。詳細。
2. S3バケットでサーバーサイド暗号化を有効にする。詳細。
3. バケットレベルでS3の公開アクセスブロックを設定する。詳細。

AWS CloudTrail

1. CloudTrailをマルチリージョントレイルで有効化する。詳細。
2. CloudTrailログファイルの暗号化を有効にする。詳細。
3. CloudTrailログファイル検証を有効にする。詳細。

AWS Config

1. AWS Configを有効にする。詳細。

Amazon EC2

1. アタッチされたEBSボリュームを暗号化する。詳細。
2. すべてのVPCでVPCフローログを有効にする。詳細。
3. デフォルトのセキュリティグループでのトラフィック許可を制限する。詳細。
4. EBSデフォルト暗号化を有効にする。詳細。

その他のサービス

1. AWS Database Migration Serviceでは、レプリケーションインスタンスをパブリックにしないこと。詳細
2. Amazon EBSスナップショットをパブリックにしないこと。詳細
3. Amazon OpenSearch Serviceでデータの暗号化を有効にすること。詳細
4. SageMakerノートブックインスタンスで直接インターネットアクセスを無効にすること。詳細
5. Lambda関数でサポートされるランタイムを使用すること。詳細
6. AWS KMSキーの削除を慎重に行うこと。詳細
7. Amazon GuardDutyを有効化すること。詳細

詳細な手順と推奨ツール

記事では、各ベストプラクティスを実践するための具体的な手順とコマンド例が多数紹介されている。また、オープンソースツールとして「Cloud Custodian」や「Falco」を利用することの利点についても解説されている。

詳細は26 AWS Security Best Practices to Adopt in Productionを参照していただきたい。