目次

0.はじめに(AWSセキュリティセット)

はじめに

マルチアカウント構成のセキュリティ基準を設けることで、セキュリティ統制を図る目的で記載している。
セキュリティ統制の適用については、抜け漏れ防止や設定ミスが起こらないようコード化を取り入れている。

資材(CloudFormationテンプレート)

https://pg.mnztech.work/dokuwiki/_media/cloudformation.zip

管理方針

・管理アカウント:SCPなど、管理アカウントでしか実施できない項目のみ管理する
・委任先アカウント:管理アカウントから委任を受け、セキュリティ関連のサービス/証跡を一元管理する
・メンバアカウント:上記2種のアカウントに管理されるアカウント、システム要件のリソースを配置する

設定概要

サービス名 設定概要 備考
IAM 強力なパスワードポリシーを設定 パスワードの最小文字数は 14 文字です
1 文字以上のアルファベット大文字 (A~Z) を必要とする
1 文字以上のアルファベット小文字 (a~z) を必要とする
少なくとも 1 つの数字が必要
少なくとも 1 つの英数字以外の文字が必要
パスワードは 90 日で有効期限が切れます
ユーザーにパスワードの変更を許可する
EBS 全リージョンでデフォルト暗号化を有効
デフォルトVPC 全リージョンで削除
S3(アカウント/バケット) アカウント/バケット単位でパブリックアクセスの禁止
AWS IAMAccessanalyzer 全リージョンで有効化
AWS SecurityHub 全リージョンで有効化 AWSの基本的なセキュリティのベストプラクティス標準のみ有効化
Amazon Detective 全リージョンで有効化
Amazon GuardDuty 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 専用のS3ログバケットを作成/アクセスログを取得
AWS Config 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 専用のS3ログバケットを作成/アクセスログを取得
AWS CloudTrail 全リージョンで有効化し、「ログは委任された管理アカウント」のメインリージョンに集約 専用のS3ログバケットを作成/アクセスログを取得
Amazon EventBridge 特定のイベントを「ログは委任された管理アカウント」に集約しSNSからメール連携
AWS ManagKeyement Service 必要に応じて、CMKを作成/暗号化
Amazon Athena/Glue アクセスログ解析用のS3バケット/データベース/テーブルを作成
AWS Macie - 業務要件にて必要に応じて対応する方針とする。

記事一覧

参考サイト