リファレンスデプロイ

AWS での UK-OFFICIAL の標準化されたアーキテクチャ

UK-OFFICIAL ワークロードの NCSC や CIS をサポートするクラウドアーキテクチャ

デプロイガイドを表示する
セキュリティコントロールマトリックスを表示する

このクイックスタートでは、イギリス公式(UK-OFFICIAL)として分類されたワークロードをサポートする、標準アマゾン ウェブ サービス (AWS) のクラウド環境をセットアップします。このデータ分類は、公共部門の組織がリスクを管理し、情報アセットを処理する際のセキュリティを確保するのに役立つガイダンスと管理に関連付けられています。

クイックスタートで構築される AWS 環境は、UK-OFFICIAL の範囲に該当する以下のガイドラインに準拠しています。

クイックスタートのテンプレートを使用することで、自動的に AWS リソースを設定し、Linux ベースの多層ウェブアプリケーションをデプロイできます。セキュリティコントロールマトリクス(Microsoft Excel のスプレッドシート)には、クイックスタートのコンポーネントが、NCSC と CIS のセキュリティ要件にどのように対応しているかが示されています。

このクイックスタートは、セキュリティに重点を置いたアーキテクチャソリューションを提供する、一連の AWS コンプライアンスサービスの 1 つです。マネージドサービスプロバイダー (MSP)、クラウドプロビジョニングチーム、デベロッパー、インテグレーター、情報セキュリティチームが、厳格なセキュリティ、コンプライアンス、リスク管理規制に対応するのに役立ちます。このカテゴリでの、他のデプロイについては、クイックスタートカタログをご覧ください。

このクイックスタートは AWS によって開発されました。

  •  構築目標

  • このクイックスタートでは、次に示すコンポーネントと機能をデプロイします。

    • Amazon Virtual Private Cloud (VPC) としては、個々にマルチアベイラビリティゾーン(Multi-AZ)アーキテクチャが備わる以下のものをデプロイします。
      • 共有サービスをサポートするためにプライベートサブネットを使用する、アプリケーションワークロード用の実稼働 VPC。
      • 共有サービス(例、Active Directory)をサポートするためにプライベートサブネットを使用する、共有サービス VPC。
      • 公共およびプライベートの、分離された通信チャネルを使用する、制御されたインターネットアクセスのための、インターネット VPC。
      • AWS のサービスへの直接アクセスを可能にするための、プライベートサブネットを使用する、エンドポイント VPC。
    • VPC 間の通信と、仮想ネットワーク(VPN)のターミネーション用の、AWS Transit Gateway。
    • インターネット VPC とエンドポイント VPC 間での、VPC 間トラフィックのための、ピアリング接続。
    • ログ記録とコンプライアンスのための、外部リクエストを処理するための、アウトバウンドプロキシ。
    • Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、ロードバランサー、およびエンドポイント用の、標準 Amazon VPC セキュリティグループ(表示されていません)。
    • Auto Scaling と Elastic Load Balancing を使用し、編集やお客様のアプリケーションを使ったブートストラップも可能な、 LAMP(Linux Apache MySQL PHP、表示されていません)アプリケーション。
    • セキュリティイベントとコンプライアンスの、キャプチャリングおよび分析用の、Amazon GuardDuty。
    • AWS Config ルール、Amazon CloudWatch、AWS CloudTrail を使用した、ログ記録、モニタリング、アラート機能。
    • カスタム IAM ポリシー、関連するグループ、ロール、インスタンスプロファイルが設定された、基本的な AWS Identity and Access Management (IAM) 設定。
    • 監査コンプライアンス用の AWS Security Hub。
    • VPC 全体で、共有サービスやエンドポイントのために、共有プライベートドメインネームシステム(DNS)を管理するためのリゾルバーとして、Amazon Route 53。
    • 実稼働 VPC インスタンスへの管理アクセスのためのセッションマネージャー用途して、AWS Systems Manager。
    • エンドポイントに関する Secure Sockets Layer (SSL) 認証を保存およびデプロイし、転送中の暗号化を許可するための、AWS Certificate Manager (ACM)。
  •  デプロイ方法

  • このクイックスタートをデプロイする前に、サービスの制限と SSH キーペアをチェックして AWS アカウントが正しくセットアップされていることを確認し、AWS Config をセットアップしておくことが必要です。これらの準備の完了後、デプロイガイドの手順に従ってクイックスタートリファレンス環境を構築できます。デプロイプロセスには、以下の手順が含まれます。

    1. https://aws.amazon.com に自分の AWS アカウントでサインインします。
    2. クイックスタートを起動します。デプロイにはおよそ 30 分かかります。
    3. クイックスタートで構築された WordPress サイトに接続してデプロイをテストします。

    クイックスタートはモジュール式で、カスタマイズ可能です。ネストされた AWS CloudFormation テンプレートが含まれ、IAM、ログ記録、本番用 VPC、管理用 VPC、AWS Config ルール、NAT、ウェブアプリケーションに関するリソースのデプロイと設定が自動化されます。アーキテクチャ全体をデプロイすることもできますし、一部リソースのカスタマイズや省略も可能です。

    Amazon は、本ソリューションで AWS と協力した AWS パートナーとユーザーデプロイ情報を共有する場合があります。  

    詳細についてデプロイメントガイドを表示する
  •  コストとライセンス

  • このクイックスタート実行中に AWS のサービスにかかる費用は、お客様のご負担となります。クイックスタートを使用しても追加コストは発生しません。

    このクイックスタートの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれています。インスタンスタイプなどの設定の一部は、デプロイにかかるコストに影響します。料金の見積もりについては、ご利用になる AWS の各サービスの料金ページをご参照ください。料金は変更する場合があります。

    ヒント: クイックスタートをデプロイした後に、AWS Cost and Usage Report を有効化し、ご使用のアカウントでの、Amazon Simple Storage Service (Amazon S3) バケットに関する、請求メトリクスを取得してください。各月の使用量に基づいてコストを見積もり、月末にデータを集計します。レポートの詳細については、AWS Cost and Usage Report とは?を参照してください。