fbpx

AWS環境向けのゼロトラストアクセスと相互接続

企業がAmazonウェブサービス(AWS)などのクラウドコンピューティングプラットフォームを採用し、データと重要なワークロードをオンラインで移行するにつれて、強力なITセキュリティ基盤を確保しながら、クラウドセキュリティに対処する構造を作成するために必要な手順があります。AWSは、プログラムを開発して組織のクラウド導入の取り組みの触媒として機能するように機能が成熟するように、セキュリティの実装では反復的な開発を可能にする必要があると考えています。

前書き

AWSは、組織がビジネス目標、リスク管理へのアプローチ、およびクラウドによって提示される機会のレベルを検討することにより、クラウドのセキュリティ戦略を最初に定義することを推奨します。これには、セキュリティ、プライバシー、コンプライアンス、リスク管理機能の開発と実装のためのセキュリティプログラムの提供、および時間とともに継続的に成熟して向上する堅牢なセキュリティ運用機能が含まれます。AWSはまた、運用の厳格さと新機能の構築を組み合わせることで、絶え間ない反復により継続的なセキュリティの改善がもたらされると考えています。

ゼロトラストセキュリティモデルは、運用上の厳格性と新しいセキュリティ機能を組み合わせて、資格情報の盗難、ネットワークベースの攻撃、機密データへの不正アクセスから組織を保護するための1つのアプローチです。AWSでゼロトラストセキュリティを導入することにより、ITマネージャーはネットワークを完全に視覚化し、リソースを制御して、クラウドリソースへの最小限の権限と安全なアクセスを確保しながら、AWSとオンプレミスのアプリケーションおよびサービス全体のネットワークアクセスのすべての側面を制御できます。

Amazonウェブサービス共有セキュリティモデル

Amazonは、コンピューティング、ストレージ、ネットワーキング、データベースサービスの保護を含むAWSインフラストラクチャのセキュリティを提供します。つまり、Amazonは、ソフトウェア、ハードウェア、およびAWSサービスをホストする物理的施設のセキュリティに責任があります。

ただし、コンピューターシステムとデータをクラウドに移行する場合、セキュリティの責任はAWSとお客様の間で共有されます。AWSは、クラウドをサポートする基盤となるインフラストラクチャの保護のみを担当しますが、顧客は、クラウドに配置したり、クラウドに接続したりするすべてのリソースを担当します。

お客様の管理下にありながら、認証とユーザーアクセス制御による独自のセキュリティを必要とする管理されていないAWSサービスの例には、Amazon EC2、Amazon VPC、Amazon S3 などのAWS Infrastructure as a Service(IaaS)リソースが含まれます。さらに、AWSネットワークモニタリングツールは、異常または無許可のアクティビティと条件、サーバーとネットワークの使用、ポートスキャンアクティビティ、アプリケーションの使用、および不正な侵入の試みを検出できますが、入力と出力の通信ポイントでのみです。

AWSネットワークセキュリティ

AWSネットワークインフラストラクチャは注意深く監視および管理されており、IT管​​理者は各ワークロードに適したセキュリティと復元力のレベルを選択できるため、地理的に分散した、フォールトトレラントなIT アーキテクチャをクラウドリソースに利用できます。

AWSネイティブネットワークファイアウォール(別名セキュリティグループ)とサードパーティの次世代ファイアウォール(NGFW)は、ネットワークの外部境界とネットワーク内の主要な内部境界での通信を監視および制御します。これらの集合的な「ファイアウォール」は、ルールベースのアクセス制御リスト(ACL)と構成を使用して、情報システムサービスを保護します。

ACLまたはトラフィックフローポリシーは、AWSネットワーク全体のトラフィックフローを管理および実施するために、各管理対象インターフェイスにデプロイされます。Amazon Information Securityによって承認されたACLポリシーは、AWSのACL Manageツールを使用して自動的にデプロイされ、管理対象インターフェイスが最新のACLを実施するようにします。

Secure Sockets Layer(SSL)を使用してHTTPまたはHTTPS経由でAWSアクセスポイントに接続することは可能ですが、ネットワークセキュリティの追加のレイヤーが必要なお客様は、Amazon Virtual Private Cloud(VPC)を作成してAWSクラウド内にプライベートサブネットを提供できます。AWS VPCは、ITマネージャーにIPsec仮想プライベートネットワーク(VPN)を使用して、Amazon VPCと顧客のデータセンター間に暗号化されたトンネルを提供する機能を提供します。

Amazon Virtual Private Cloud (Amazon VPC)のセキュリティ

各Amazon VPCは、クラウド内の別個の分離されたネットワークであり、各Amazon VPC内のネットワークトラフィックは他のすべてのAmazon VPCから分離されています。新しいVPCをデプロイする場合、ITマネージャーは各VPCのIPアドレス範囲を選択し、オプションでインターネットゲートウェイ、仮想プライベートゲートウェイ、またはその両方を作成して接続して外部を確立します。

標準のAmazon EC2インスタンスには、Amazon EC2アドレス空間でランダムなパブリックIPアドレスが割り当てられます。さらにセキュリティを強化するために、Amazon VPCを使用すると、ITマネージャーはAWSクラウドの一部を分離して、選択した範囲のプライベートIPアドレスを持つAmazon EC2インスタンスを起動できます。

Amazon VPCサブネットを作成して、インスタンスとサブネットに出入りするIPトラフィックのフローを制御するIPアドレス範囲に基づいて、類似のインスタンスをグループ化することもできます。AWSは、以下を含むさまざまなレベルのパブリックアクセスを提供する構成を持つVPCアーキテクチャテンプレートも提供しています。

単一のパブリックサブネットのみのVPC

インスタンスは、直接インターネットにアクセスできるAWSのプライベートで隔離されたセクションで実行されます。ネットワークACLとセキュリティグループは、インスタンスの受信および送信ネットワークトラフィックを厳密に制御するために使用されます。

パブリックおよびプライベートサブネットVPC

パブリックサブネットは、インターネットからアドレス指定できないプライベートサブネットと組み合わされます。プライベートサブネットインスタンスは、ネットワークアドレス変換(NAT)を使用して、パブリックサブネット経由でインターネットへの送信接続を確立します。

パブリックおよびプライベートサブネットとハードウェアVPNアクセスを備えたVPC

VPCとデータセンター間のIPsec VPN接続は、Amazon VPCのパブリックサブネットインスタンスにインターネットへの直接アクセスを提供しながら、顧客のデータセンターをクラウドに拡張します。この構成により、顧客は企業のデータセンターにVPNアプライアンスを追加できます。

プライベートサブネットのみとハードウェアVPNアクセスを備えたVPC

インスタンスは、インスタンスがインターネットからアドレス指定できないプライベートサブネットを持つAWSのプライベートな分離セクションで実行され、プライベートサブネットをIPsec VPNトンネルを介して企業のデータセンターに接続します。2つのVPC は、2つのVPC内のインスタンスが同じネットワーク内にあるかのように通信できるプライベートIPアドレスを使用して接続できます。VPCピアリング接続は、VPC間、または単一リージョン内の別のAWSアカウントのVPCで作成できます。セキュリティ機能には、セキュリティグループ、ネットワークACL、ルーティングテーブル、および外部ゲートウェイが含まれます。

接続ポリシーを一元管理できずに多くのAmazon VPC間でポイントツーポイント接続を管理すると、運用コストが高くなる可能性があります。AWS Transit Gatewayサービスを使用すると、お客様はVPCとオンプレミスネットワークを単一のゲートウェイに接続し、複数のアカウントとAmazon VPC間でネットワークを拡張できます。

AWS Transit Gateway5を使用すると、中央ゲートウェイから各Amazon VPC、オンプレミスデータセンター、またはネットワーク上のリモートオフィスへのネットワークを作成および管理するために必要な接続は1つだけです。Transit Gateway はハブのように機能し、接続されているすべてのネットワーク全体のトラフィックルーティングを制御します。トランジットゲートウェイに接続されている新しいVPCは、トランジットゲートウェイに接続されている他のすべてのネットワークで自動的に使用できるようになります。

AWSのゼロトラストセキュリティ

ゼロトラスト・セキュリティは、安全なAWSクラウドネットワークアクセスを簡素化し、AWS共有セキュリティ要件を満たすだけでなくそれを超える強化されたセキュリティ機能を提供します。ゼロトラストITセキュリティモデルは、マルウェア標的型攻撃、機密データの不正な持ち出しから組織を保護するために必要な可視性、制御、脅威検査機能を提供します。

AWSにゼロトラストネットワークセキュリティアプローチを導入することにより、ITマネージャーはネットワークとリソースを完全に視覚化して、クラウドリソースへの最小限の特権と安全なアクセスを確保しながら、AWSとオンプレミスのアプリケーションとサービス全体のネットワークアクセスのあらゆる側面を制御できます。

ゼロトラストなNaaSのセキュリティモデルの主要なコンポーネントは、ソフトウェア定義境界(SDP)です。Software-Defined Perimeters は、基盤となるネットワークインフラストラクチャに関係なく、ユーザーとそのデバイスからアプリケーションとサービスへの安全なアクセスを可能にし、従業員の特定のグループのみがAWS VPCへの安全でシームレスなアクセスを確保できるようにすることで、「決して信頼せず、常に検証する」というゼロトラストの原則を活用します。

Cloud Security Alliance(CSA)は、ユーザーとユーザーがアクセスするリソースのみの間に1対1のネットワーク接続を動的に作成するネットワークセキュリティモデルに関して、ソフトウェア定義の境界を定義します。コンポーネントは、ユーザーのID、検証などがネットワークリソースへのアクセス許可する前に、そのデバイス、および役割を含んでいます。

ネットワークアクセスへの認証と承認に基づくこのネットワークセキュリティモデルは、米国国防総省コミュニティによってしばらく使用されており、「知る必要がある」アクセスとして知られています。セキュリティモデルでは、すべてのサーバーまたはクラウドリソースをリモートアクセスゲートウェイの背後に隠し、ユーザーが認証を受けて承認されたサービスを利用できるようになる前にアクセスを取得する必要があります。Software-Defined Perimetersの背後にある革新は、デバイス認証、IDベースのアクセス、動的にプロビジョニングされた接続の統合です。

Software-Defined Perimetersは、高度にスケーラブルでカスタマイズ可能なクラウドベースのネットワークハブを提供し、レガシーネットワークアプライアンスやオープンソースVPNの理想的な代替手段となります。最も重要なことは、SDPは、攻撃者からアプリとリソースを隠すマネージドネットワークサービスソリューション、およびAWSとユーザーのデバイスとアプリの間の暗号化された接続を必要に応じて提供することです。

AWSのためのゼロトラストソリューション

AWSとそのパートナーは、可視性、監査性、制御性、俊敏性に関する組織のセキュリティ目標の達成に役立つ多くのツールと機能を提供しています。ゼロトラストなNaaSのセキュリティの高度なソリューションは、シンプルでコスト効率の高いアクセス制御と、中小企業から大企業までの組織に完全なネットワークリソースの可視性を提供します。

Amazon Advanced Technology Partnerとして、ソリューションは安全で準拠しており、AWS Well-Architectedフレームワークに準拠し、セキュリティ、高可用性、サポート、AWSのコスト、およびAWSでの自動化のベストプラクティスを実装しています。このソリューションは、管理されていないAWSサービスを安全に使用する責任がある場合に、完全なネットワークセキュリティソリューションを提供します。ネットワーク構築機能により、マルチリージョンで、AWSおよびオンプレミス環境に相互接続され、速度が最適化された、柔軟でカスタマイズされたネットワークの展開も可能になります。

すべてのデータが制御された、AWSクラウド環境からとAWSクラウド環境への両方のキーを使用して完全に暗号化されたセキュアシェル(SSH)とリモートデスクトップ(RDP)を介して組織の重要なWebアプリケーションに完全に保護され、エージェントレスでアクセスできるAWSリソースへのネットワークとアプリケーションアクセスの両方にゼロトラストセキュリティを提供します。

IDとアプリケーションアクセスのセキュリティを強化するために、すべてのユーザーに対する最小特権アクセスと組み込みの2要素認証、IdP統合を備えています。さらに、Azure ADとActive Directory LDAP)、およびAWS Transit Gateway との相互接続を備えています。

サービスとしてのゼロトラストネットワークは、AWSのコアセキュリティサービスを超えて独自のセキュリティを提供する必要がある状況で、管理されていないAWSサービスを安全に使用できるようにします。高度なセキュリティ機能には、費用対効果の高いコンプライアンス、セグメント化されたリソースアクセス、実用的なインテリジェンス、シンプルなクラウド移行、安全なリモートアクセス、ユーザーとネットワーク間(従業員がオフィスで、リモートで、または外出先で作業しているかどうか)のエンドツーエンドの暗号化が含まれます。

現代の分散型労働力のための安全なネットワーク、クラウド、およびアプリケーションアクセスを簡素化するように設計されたサービスとしてのゼロトラストネットワークです。従来のネットワークセキュリティテクノロジーとは異なり、ゼロトラストおよびSoftware-Defined Perimeterモデルを組み込んだ受賞歴のあるSaaSソリューションは、優れたネットワーク可視性、シームレスなオンボーディング、および主要なクラウドプロバイダーとの自動統合を提供します。

従業員がオフィスの内外を問わず、統一されたネットワークセキュリティを保証します。中堅企業からフォーチュン500までの幅広いビジネスに対応し、世界の主要なインテグレーター、マネージドサービスプロバイダー、チャネルリセラーとのパートナーシップを確立しています。

SNSでもご購読できます。

コメントを残す

*