Amazon Web Services ブログ
AWS Shield の新機能、悪用される前にネットワークセキュリティの問題を発見 (プレビュー)
6 月 17 日、AWS Shield ネットワークセキュリティディレクター (プレビュー) を発表できることを嬉しく思います。これは、SQL インジェクションや分散型サービス拒否 (DDoS) イベントなどの脅威に関連する設定上の問題の特定を簡素化し、修正を提案する機能です。この機能は、ネットワークリソース、接続、設定を識別して分析します。これらを AWS のベストプラクティスと比較して、保護が必要なリソースを浮き彫りにしたネットワークトポロジを作成します。
今日の組織は、強固なネットワークセキュリティ体制を維持する上で重大な課題に直面しています。セキュリティチームは、環境内のすべてのリソースを効率的に検出し、これらのリソースがどのように相互接続されているかを把握し、どのセキュリティサービスが現在設定されているかを特定するのに苦労することがよくあります。さらに、リソースが AWS のベストプラクティスに照らしてどの程度適切に設定されているかを判断するには、かなりの専門知識と努力が必要であることがわかっています。多くのチームが、自社のアプリケーションを一般的な脅威や新たな脅威から保護するのに最適なネットワークセキュリティサービスとルールセットを特定するのが難しいと感じています。
AWS Shield ネットワークセキュリティディレクターは、3 つの主要機能を通じてこれらの課題に対処します。まず、包括的な分析を実行して、AWS アカウント全体のリソースを検出し、リソース間の接続を識別し、現在どのネットワークセキュリティサービスと設定が実施されているかを判断します。次に、AWS ネットワークセキュリティのベストプラクティスと脅威インテリジェンスに基づいて、重大度レベル別にリソースに優先順位を付けます。最後に、リソースを保護するための AWS WAF、Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループ、Amazon VPC ネットワークアクセスコントロールリスト (ACL) など、適切な AWS セキュリティサービスを実装するためのステップバイステップの手順など、具体的な修復に関する推奨事項を提供します。
このサービスは、インターネットからの脅威からアプリケーションを保護したり、ポート、プロトコル、またはIP アドレス範囲に基づいてリソースへの人間のアクセスを制御したりするなど、重要なネットワークセキュリティユースケースをサポートします。ネットワーク分析を行って資産を発見し、保護が必要なリソースを特定するための時間のかかる手動プロセスを排除する分析を行います。このサービスでは、ネットワークコンテキストと AWS ベストプラクティスの遵守に基づいてセキュリティ検出結果に重大度を割り当てることにより、リソースの優先順位付けを行い、最も重要なことに集中できるようにします。さらに、どのサービスと設定がそれぞれのセキュリティギャップに対処するかについての具体的なガイダンスとともに、実行可能な推奨事項も提供します。また、AWS マネジメントコンソールやチャットアプリケーションの Amazon Q Developer 内の AWS Shield ネットワークセキュリティディレクターから、自然言語で回答を得ることもできます。
AWS Shield ネットワークセキュリティディレクターの使用を開始する
AWS Shield ネットワークセキュリティディレクターを使用するには、AWS リソースのネットワーク分析を開始する必要があります。AWS WAF & Shield コンソールに移動し、ナビゲーションペインの [AWS Shield ネットワークセキュリティディレクター] で [使用を開始] を選択します。[使用を開始] を選択すると、設定ページが表示されます。このページでは、最初のネットワーク分析の実行方法を選択できます。つまり、すべてのサポート対象リージョンの検出結果を評価することも、現在のリージョンのみを評価することもできます。[ネットワーク解析を開始] を選択します。
分析が完了すると、ダッシュボードページには、重大度レベル別のリソースタイプの内訳と、そのリソースに関連するネットワークセキュリティ検出結果の最も一般的なカテゴリが表示されます。リソースはタイプと重大度レベル (重要、高、中、低、参考) ごとに分類されているため、早急な対応が必要な領域を簡単に特定できます。
次に、「リソース」セクションを調べて、アセットの分布を把握し、環境内の重大度レベルでフィルタリングします。[リソース概要] を使用して特定の重大度レベルを確認できます。これにより、関連する重大度レベルのフィルターを含む [ネットワークセキュリティディレクター] の下の [リソース] にリダイレクトされます。重大度が「中」のリソースを選択します。
特定のリソースを選択すると、そのリソースが他のリソースや関連する検出結果とどのように接続されているかを示すネットワークトポロジマップが表示されます。この可視化は、セキュリティ設定の潜在的な影響を理解し、露出されたパスを特定するのに役立ちます。「すべてのポートで無制限のインバウンドアクセス(0.0.0.0/0)を許可する」などの詳細な検出結果を重大度評価とともに確認します。
次に、[ネットワークセキュリティディレクター] の [検出結果] に移動すると、一般的な設定の問題が表示されます。検出結果ごとに、詳細な情報と推奨される修復手順を受け取ります。このサービスでは、検出結果の重大度(高、中、低)を評価して、対応の優先順位付けに役立てています。「CloudFront オリジンは CloudFront 保護なしでもインターネットにアクセスできる」といった重大度が重要な検出結果や、「すべてのポートで無制限のインバウンドアクセス (0.0.0.0/0) を許可する」といった重大度の高い検出結果が最初に表示され、次に重大度が中および低の問題が続きます。
AWS マネジメントコンソールとチャットアプリケーションの Amazon Q Developer 内の AWS Shield ネットワークセキュリティディレクターを使用して、ネットワークセキュリティ設定を自然言語で分析できます。例えば、「CloudFront ディストリビューションにネットワークセキュリティの問題はありますか?」や「ボットやスクレイパーに対して脆弱なリソースはありますか?」と尋ねることができます。 この統合により、セキュリティチームは広範なドキュメントを参照しなくても、セキュリティ体制を迅速に把握し、ベストプラクティスの実装に関するガイダンスを得ることができます。
この機能を調べるために、「私が抱えている最も重要なネットワークセキュリティの問題は何か」と尋ねます。「Amazon Q で探索」セクションにあります。Amazon Q はネットワークセキュリティ設定を分析し、AWS 環境のセキュリティ評価に基づいて応答を生成します。
このようにネットワークセキュリティを包括的に把握することで、新たな脅威に対する防御を強化するためのデータ主導型の意志決定が可能になります。
プレビューをお試しください
AWS Shield ネットワークセキュリティディレクターは、米国東部 (バージニア北部) および欧州 (ストックホルム) リージョンでご利用いただけます。Amazon Q Developer によるネットワークセキュリティ設定の分析機能は、米国東部 (バージニア北部) でプレビュー段階にあります。ネットワークセキュリティの強化を開始するには、AWS Shield ネットワークセキュリティディレクターコンソールにアクセスして、最初のネットワークセキュリティ分析を開始してください。
詳細については、AWS Shield 製品ページをご覧ください。
原文はこちらです。