type
status
date
slug
summary
tags
category
icon
password
书籍
理論
1. AWS OrganizationsとAWS Control Tower
- AWS Organizations: 複数のAWSアカウントを一元管理するためのサービスです。複数アカウントを組織的に管理することで、ポリシーの適用や請求の統一、リソースの整理が可能になります。
- AWS Control Tower: AWS Organizationsと連携し、ベストプラクティスに基づいたセキュリティポリシー(ガードレール)やコンプライアンス規則を自動的に適用するサービスです。新しいアカウントが作成されるたびに、暗号化などのセキュリティ要件を強制できます。
2. EBSボリュームの暗号化
- Amazon EBS(Elastic Block Store)は、EC2インスタンスにアタッチされるブロックストレージです。デフォルトでは、EBSボリュームは暗号化されていませんが、セキュリティ要件に応じて暗号化を強制する必要があります。
- EBSボリュームの暗号化: Amazon EBSボリュームは作成時に暗号化することができます。また、既存のボリュームに対してもスナップショットを使用して暗号化できます。
3. セキュリティとコンプライアンス
- AWSでのセキュリティ管理は、暗号化やIAM(Identity and Access Management)のポリシー適用、監査などを通じて行います。AWS Control Towerを利用することで、セキュリティポリシーをアカウント全体で一貫して管理でき、コンプライアンスに対応した運用が可能になります。
- スナップショットによる暗号化: 暗号化されていないEBSボリュームを暗号化する最も一般的な方法は、スナップショットを作成し、そのスナップショットから新たな暗号化されたボリュームを作成することです。
4. 自動化と運用負荷の軽減
- AWS ConfigやAmazon EventBridgeを利用して、特定のリソース(例えば、暗号化されていないEBSボリューム)が作成されるたびに自動的に通知を受けたり、修正を行ったりすることができます。
- AWS CloudTrailは、APIコールやリソースの変更を監視するサービスで、セキュリティインシデントの早期発見に役立ちます。
まとめ
AWS環境において、暗号化されたEBSボリュームを使用することは、セキュリティとコンプライアンスを維持するために不可欠です。AWS OrganizationsとAWS Control Towerを使用すれば、複数のAWSアカウントに対してセキュリティポリシーを一元管理し、暗号化を必須とする運用を自動化できます。さらに、スナップショットを利用して既存の未暗号化ボリュームを暗号化し、セキュリティ要件を満たすことができます。
実践
略
一問道場
問題 #370
ある企業には複数のAWSアカウントがあります。この企業は最近行ったセキュリティ監査で、Amazon EC2インスタンスにアタッチされている多くの暗号化されていないAmazon Elastic Block Store(Amazon EBS)ボリュームが存在することが判明しました。
ソリューションアーキテクトは、暗号化されていないボリュームを暗号化し、今後暗号化されていないボリュームを自動的に検出できるようにする必要があります。さらに、企業はコンプライアンスとセキュリティに重点を置いて複数のAWSアカウントを集中管理したいと考えています。
ソリューションアーキテクトは、これらの要件を満たすためにどの組み合わせの手順を踏むべきでしょうか?(2つ選んでください。)
A. AWS Organizationsで組織を作成し、AWS Control Towerを設定して、強く推奨されるコントロール(ガードレール)をオンにします。すべてのアカウントを組織に参加させ、AWSアカウントを組織単位(OU)に分類します。
B. AWS CLIを使用して、すべてのAWSアカウントで暗号化されていないボリュームをリストします。スクリプトを実行して、暗号化されていないボリュームをそのまま暗号化します。
C. 各暗号化されていないボリュームのスナップショットを作成し、スナップショットから新しい暗号化されたボリュームを作成します。既存のボリュームを切り離し、暗号化されたボリュームに置き換えます。
D. AWS Organizationsで組織を作成し、AWS Control Towerを設定して、必須のコントロール(ガードレール)をオンにします。すべてのアカウントを組織に参加させ、AWSアカウントを組織単位(OU)に分類します。
E. AWS CloudTrailをオンにし、Amazon EventBridgeルールを設定して、暗号化されていないボリュームを自動的に検出して暗号化します。
解説
正しい選択肢: A と C
A. AWS OrganizationsとAWS Control Towerを使用する
このステップは、複数のAWSアカウントを一元管理し、セキュリティやコンプライアンスのガードレール(制約)を強制するための重要な方法です。AWS Control Towerを利用することで、セキュリティポリシーを統一的に適用でき、暗号化されていないEBSボリュームに関する管理を一元化できます。
- AWS Organizationsでアカウントを整理し、AWS Control Towerを設定することで、各アカウントのセキュリティ要件(例えば、暗号化を必須とするポリシー)を一貫して適用できます。
- これにより、新しい暗号化規則をアカウント全体で強制することが可能になり、将来新しいEBSボリュームが暗号化されないことを防げます。
C. スナップショットを作成して暗号化されたボリュームを作成する
暗号化されていないボリュームを検出し、それを暗号化する方法として、このステップは実用的です。具体的なプロセスは以下の通りです:
- 暗号化されていないEBSボリュームのスナップショットを作成
- スナップショットから新しい暗号化されたボリュームを作成
- 既存のボリュームを切り離し、新しい暗号化されたボリュームに差し替える
これにより、既存の暗号化されていないEBSボリュームを暗号化することができるため、セキュリティの要件を満たすことができます。
結論
- A は、AWSアカウントの一元管理と、ポリシー適用の強制を実現します。
- C は、手動で暗号化されていないEBSボリュームを暗号化する方法として実行可能です。
この組み合わせにより、企業全体でセキュリティポリシーを一貫して強制し、現在および将来のEBSボリュームの暗号化を実現できるため、最小の運用負荷で要件を満たすことができます。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/178d7ae8-88e2-80e0-a950-cafe32798f3f
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
