【AWS認定資格対応】AWSクラウドのセキュリティを学ぶ8モジュール
トレノケートで AWS認定インストラクターをしている難波です。
今回は私もコースを担当しております Secrity Engineering on AWS をご紹介します。
AWSのセキュリティを広く網羅的に学びたい方や、AWS認定資格のうちAWS認定セキュリティ「AWS Certified Security - Specialty」のご受験をご検討されている方は、ぜひご一読ください。
なお、「AWSってそもそも何?」「AWSでは何ができるの?」「クラウドとオンプレミスとの違いは?」という方は、弊社のAWS認定インストラクターが解説の AWSとは をご確認ください。
目次[非表示]
はじめに
誕生した当初は主にインターネットビジネス向けの基盤として採用されるケースが多かったAWSクラウドですが、現在は組織や企業の業務システムや銀行の口座や振り込みの処理を行うシステム、社会インフラとしてのシステムなど様々な重要システムの基盤として採用されています。
また、ガバメントクラウドという言葉も使われるようになり、国や政府レベルのシステムも稼働しています。
このようにみなさんが日々生活をする中で、お仕事やプライベート含めてAWSクラウド基盤の上で稼働している様々なシステムを活用されているかと思います。
そこで最も重要な項目の一つとして「クラウドセキュリティ」があります。
セキュリティに不安があるクラウドシステムをみなさんは使うでしょうか?
「AWSでは、 セキュリティが最優先事項です。」
AWSは公式な場やウェブサイトで繰り返しこの言葉を明言しています。
ただし、AWSクラウドのセキュリティを高めるためにはみなさん自身がセキュリティサービスを選定したり、正しい設定を行う必要があります。
Security Engineering on AWS とは
AWSクラウドでセキュリティのアーキテクトとして、各種セキュリティサービスを組み合わせた 設計手法 と 実践的な環境構築 の技術を学びます。
システムのセキュリティを強化するためにコンピューティング、ストレージ、ネットワーキング、データベースサービスを含め、AWSが提供する主要サービスのセキュリティ機能のベストプラクティスにフォーカスします。
そのために、このコースでは 8個のモジュール と 6つのハンズオン用ラボ環境 を使ってAWSクラウドで稼働する皆さんのシステムを安全に構築し、そして 安全な稼働を続ける ための方法を学習します。
また、オートメーション、継続的なモニタリングとロギング、セキュリティインシデントへの対応のための AWS の各種サービスとツールを活用する方法についても学びます。
コース概要
- 難易度レベル:中級
- 所要時間:3日間
- 前提知識:IT セキュリティプラクティスおよびインフラストラクチャの概念に関する実務知識
受講対象者
- セキュリティエンジニア
- セキュリティアーキテクト
- クラウドアーキテクト
- クラウドオペレーター
モジュール と ラボ演習
モジュール1:セキュリティの概要
みなさんのシステムにとって 脅威 とは どんなことでしょうか?
その 脅威 の原因となるのは何でしょうか?
この判断をするには平常時の状態を把握しておく必要がありますよね。
このモジュールでは AWS責任共有モデルの セキュリティの柱 や 脅威モデリング の手法に着目して学習を進めます。
モジュール2:AWS におけるアクセスと権限付与
みなさん Identity and Access Management (IAM) は好きですか?
AWSセキュリティコースを担当していると IAM の イメージをつかむことが難しい というご相談を受けることが多いです。でも、IAMを正しく使えるようになる と みなさんの AWS業務の幅はもっと広がります。
このモジュールでは 少し時間をかけて IAM独特の用語の意味 や 認証と認可、権限の委任 などIAM機能の使い方を学習します。
ラボ1:アイデンティティ&リソースベースポリシーの利用
- IAMのアイデンティティベース と リソースベース の権限設定(ポリシー)を設定することで、AWSリソースへのアクセスコントロール方法をハンズオン演習します。
- アクセス許可の境界【IAM Permissions boundary】を使った演習で、AWSアカウントのセキュリティ管理者として、ポリシー をコントロールする操作を体験できます。
モジュール3:AWS におけるアカウント管理とプロビジョニング
みなさんの会社や組織で使用しているAWSアカウントの数はどのくらいありますか?
以前は 様々なシステムを 1つのAWSアカウントの中で構築していましたが、最近は用途に分けたAWSアカウントを複数活用する マルチアカウント戦略 が主流になっています。
このモジュールでは マルチアカウント戦略 を効率よく進めるためのサービス AWS Organizations や AWS Control Tower に関して学習します。
また、AWSアカウント と 業務アカウント の統合で活用できる AWS Directory Service や 皆さんが構築するアプリケーションのID管理サービス Amazon Cognito も学習します。
ラボ2:AWS Directory Service によるドメインユーザーアクセスの管理
- AWS Directory Service と AWSアカウント(IAM)を連携し、マネジメントコンソールのログインユーザーを一元化します。
- AWSアカウント と 業務用IDアカウント管理ツール の一元的なユーザー管理構成 を実際に構築します。
ラボ2 構成図
モジュール4:AWS におけるキーとシークレットの管理
みなさんの大切なデータを安全に保存するには 暗号化 の機能はとても重要です。
ただ AWSクラウドの中には 数えきれないくらいのデータが保存されるケースも珍しくありません。
そうなると たくさんのデータ暗号化で使用した 「鍵」の管理をどうすればよいのか? という課題がでてきます。
また、「定期的なパスワード変更」が規定されている セキュリティ要件に対応できる 自動化の仕組み も欲しくなるのではないでしょうか。
モジュール4では 鍵管理の マネージドサービス AWS Key Management Service【KMS】や 安全なシークレット情報管理のAWS Secrets Manager の学習をします。
ラボ 3: AWS KMS を使用して Secrets Manager シークレットを暗号化する
- EC2インスタンスで稼働するアプリケーションが Amazon RDS の データベースに接続するパスワード情報をSecrets Manager で 管理する環境を構築します。
- Secrets Manager に保存するパスワード情報は KMSで管理される「鍵」で暗号化します。
-
定期的に パスワード情報を自動ローテーションする Lambda関数 も Secrets Manager によって作成される動きを体験できます。
モジュール5:データセキュリティ
データを保存する時に活用する ストレージ や データベース サービスの 保存データ暗号化 や アクセス制御 の方法を学習します。
また、オペレーションミス や アプリケーション の不具合による 重要データ削除 に対応するための機能も このモジュールで解説をします。
ラボ 4: Amazon S3 のデータセキュリティ
- 現在標準となっている S3 に保存する オブジェクトデータ を暗号化するサーバーサイト暗号化方式【SSE-S3】から KMS でユーザーが管理する「鍵」での暗号化方式【SSE-KMS】への設定変更を行います。
- 災害復旧環境(Disaster Recovery)で 活用できる S3 のリージョン間 データコピーの環境も作成します。
- AWSが提供する S3 の DLP(Data Loss Prevention)サービス Amazon Macie も ラボ で使用します。
ラボ4構成図
モジュール6:インフラストラクチャとエッジの保護
AWSクラウド に構築する皆さんのシステムを保護する ネットワークセキュリティ のサービスを学習します。
仮想ネットワーク Virtual Private Cloud【VPC】 の 仮想ファイアウォール や AWS WAF を活用したアクセス制御の方法、DDoS攻撃緩和サービス の AWS Shield の解説をします。
また、セキュリティにおける重要な要素「可用性」を向上するための負荷分散サービス Elastic Load Balancing【ELB】 や DNSサービス の Route53 もこのモジュールで扱います。
ラボ 5: AWS WAF を使って悪意のあるトラフィックを軽減する
-
AWS WAF を 実際につかって、HTTPフラッド や SQLインジェクション といった 正常なアクセスにまぎれた攻撃の緩和を行います。
参照:AWS WAF のセキュリティオートメーション(AWS ソリューションライブラリ )
モジュール7:AWS でのログのモニタリングと収集
セキュリティインシデントの対応で 大切な情報源となる ログ は保存しておくだけでなく、適切に分析することで活用できるようになります。
AWSが提供する ログの保存 や 分析 で活用できる Amazon CloudWatch Logs や AWS環境の設定管理のサービス AWS Config の使い方を学習します。
AWS環境をコントロールする時のAPIコールを記録する AWS CloudTrail 、VPCを流れるパケットの情報を収集できる VPC Flow Logs や VPC Traffic Mirroring もこのモジュールで解説します。
ラボ 6: セキュリティインシデントの監視と対応
- CloudWatch agent の インストール と 設定 を行い Linuxのセキュリティログを CloudWatch Logs へ送ります
- ログ情報をメトリクスとして数値化できる メトリクスフィルター 機能でアラート設定をします。
-
CloudWatch Logs の分析機能 CloudWatch Logs Insights を使った ログデータ分析 のオペレーションを体験します。
モジュール8:脅威への対応
システムが セキュリティの侵害 を受けた時、どのように検知をして、どのように対応すればよいでしょうか?
そのようなインシデント対応で活用できる AWSセキュリティーサービス を学習します。
AWS環境から収集した情報を 機械学習で分析して、セキュリティ監査を行う Amazon GuardDuty や 検出結果の調査をサポートしてくれる Amazon Detective の活用方法をデモンストレーションをしながら解説をします。
また、実際にEC2インスタンスが セキュリティ侵害を受けた場合の フォレンジック調査 の進め方を学習します。
ラボ 7: インシデント対応
- 初めにセキュリティ侵害を受けたEC2インスタンスの調査タスクを手動で行います。
-
手動で行った 調査タスク を Amazon EventBridge と AWS Lambda を活用した自動処理環境で行い、手動と自動のタスク処理の差を確認します。
ラボ7自動処理タスク 構成図
まとめ
Security Engineering on AWS は セキュリティの専門コースですが、AWSセキュリティサービス 独特の用語 や 使い方 など 丁寧な解説をしながらコースを進めています。
本ブログを見ていただいた方ならお分かりかと思いますが、AWSの認定資格のうち専門分野であるAWS認定セキュリティー「AWS Certified Security - Specialty」にも対応しています。
本コースは 受講者さまから AWSセキュリティソリューション の具体的なユースケースに関する質問をいただくことも多く、講師が担当した案件事例の紹介や、時には失敗談も含めるなど、実施の活用をイメージしやすいコース運営を心掛けています。
みなさまと コースでご一緒できることを 心から楽しみにしております。
また、最後に弊社トレーニングのご紹介をさせてください。