Aws:SecurityManagement:Introduction
0.はじめに(AWSセキュリティセット)
はじめに
マルチアカウント構成のセキュリティ基準を設けることで、セキュリティ統制を図る目的で記載している。
セキュリティ統制の適用については、抜け漏れ防止や設定ミスが起こらないようコード化を取り入れている。
資材(CloudFormationテンプレート)
管理方針
・管理アカウント:SCPなど、管理アカウントでしか実施できない項目のみ管理する
・委任先アカウント:管理アカウントから委任を受け、セキュリティ関連のサービス/証跡を一元管理する
・メンバアカウント:上記2種のアカウントに管理されるアカウント、システム要件のリソースを配置する
設定概要
| サービス名 | 設定概要 | 備考 |
|---|---|---|
| IAM | 強力なパスワードポリシーを設定 | パスワードの最小文字数は 14 文字です |
| 1 文字以上のアルファベット大文字 (A~Z) を必要とする | ||
| 1 文字以上のアルファベット小文字 (a~z) を必要とする | ||
| 少なくとも 1 つの数字が必要 | ||
| 少なくとも 1 つの英数字以外の文字が必要 | ||
| パスワードは 90 日で有効期限が切れます | ||
| ユーザーにパスワードの変更を許可する | ||
| EBS | 全リージョンでデフォルト暗号化を有効 | |
| デフォルトVPC | 全リージョンで削除 | |
| S3(アカウント/バケット) | アカウント/バケット単位でパブリックアクセスの禁止 | |
| AWS IAMAccessanalyzer | 全リージョンで有効化 | |
| AWS SecurityHub | 全リージョンで有効化 | AWSの基本的なセキュリティのベストプラクティス標準のみ有効化 |
| Amazon Detective | 全リージョンで有効化 | |
| Amazon GuardDuty | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 |
| AWS Config | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 |
| AWS CloudTrail | 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 | 専用のS3ログバケットを作成/アクセスログを取得 |
| Amazon EventBridge | 特定のイベントを「ログは委任された管理アカウント」に集約しSNSからメール連携 | |
| AWS ManagKeyement Service | 必要に応じて、CMKを作成/暗号化 | |
| Amazon Athena/Glue | アクセスログ解析用のS3バケット/データベース/テーブルを作成 | |
| AWS Macie | - | 業務要件にて必要に応じて対応する方針とする。 |
記事一覧
参考サイト
Aws/SecurityManagement/Introduction.txt · 最終更新: 2022/12/30 by admin
コメント