概要
AWS Firewall Manager のオートメーションを使用すると、AWS Organizations のすべてのアカウントとリソースでファイアウォールルールを自動化された方法で一元的に設定、管理、監査できます。この AWS ソリューションを使用することで、組織全体で一貫したセキュリティ体制を維持できます。
このソリューションは、AWS WAF 用のアプリケーションレベルのファイアウォールの設定、未使用で過度に許容的な Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループの監査、不正ドメインのクエリをブロックする DNS ファイアウォールの設定を行うための事前設定されたルールを提供します。
このソリューションはオプションで、AWS Shield Advanced との統合により、ファイアウォールのセキュリティルールの迅速なベースラインを作成し、分散型サービス拒否 (DDoS) 攻撃から保護するのに役立てることができます。また、この機能を使用して、プロアクティブなイベント応答とヘルスベースの検出を自動化することもできます。
注: 組織で既に Firewall Manager を使用している場合、このソリューションを使用できます。ただし、Firewall Manager の管理者アカウントにこのソリューションをインストールする必要があります。Firewall Manager をまだ設定していない場合は、手順について「実装ガイド」を参照してください。
メリット
AWS Firewall Manager を使用して、マルチアカウント AWS 環境で AWS WAF、DNS およびセキュリティグループのルールを簡単に設定および監査します。
このソリューションを活用して、Firewall Manager を使用するために必要な前提条件をインストールすることで、特定のセキュリティのニーズに集中する時間を増やすことができます。
AWS Shield Advanced サブスクリプションを活用して、AWS Organizations のアカウント全体に DDoS 保護をデプロイし、ヘルスチェックを設定して、Shield Response Team によるプロアクティブなイベント対応を有効にします。
技術的な詳細
このアーキテクチャは、実装ガイドと関連する AWS CloudFormation テンプレートを使用して自動的にデプロイできます。
このソリューションには、プライマリスタックと、Shield Advanced 機能を備えたオプションのスタックを示す 2 つのアーキテクチャが含まれています。ソリューションのスタックのすべてをデフォルトのパラメータでデプロイすると、AWS アカウントに次のコンポーネントがデプロイされます。
-
プライマリスタック
-
Shield Advanced のオートメーションを備えたオプションスタック
-
プライマリスタック
-
拡大イメージを見る
ステップ 1: ポリシーマネージャー
AWS Systems Manager の機能である パラメータストアには、次の 3 つのパラメータが含まれています: /FMS/OUs、/FMS/Regions、/FMS/Tags。Systems Manager を使用して、これらのパラメータを更新します。
ステップ 2
Amazon EventBridge ルールは、イベントパターンを使用して、System Manager パラメータ更新イベントをキャプチャします。ステップ 3
EventBridge ルールは、AWS Lambda 関数を呼び出します。ステップ 4
Lambda 関数は、ユーザー指定の OU 全体で事前定義された AWS Firewall Manager セキュリティポリシーのセットをインストールします。さらに、AWS Shield のサブスクリプションをご利用の場合、このソリューションは Advanced ポリシーをデプロイして DDoS 攻撃から保護します。
ステップ 5
PolicyManager Lambda 関数は、Amazon Simple Storage Service (Amazon S3) バケットからポリシーマニフェストファイルを取得し、マニフェストファイルを使用して Firewall Manager セキュリティポリシーを作成します。ステップ 6: コンプライアンスレポートジェネレーター
Lambda は、ポリシーメタデータを Amazon DynamoDB テーブルに保存します。ステップ 7
時間ベースの EventBridge ルールは、Compliance Generator Lambda 関数を呼び出します。ステップ 8
Compliance Generator Lambda は、各リージョンの Firewall Manager ポリシーを取得し、Amazon SNS トピックでポリシー ID のリストを公開します。ステップ 9
Amazon SNS トピックは、ペイロード {PolicyId: string, Region: string} を使用して Compliance Generator Lambda 関数を呼び出します。ステップ 10
ComplianceGenerator Lambda 関数は、ポリシーごとにコンプライアンスレポートを生成し、レポートを CSV 形式で S3 バケットにアップロードします。ステップ 1: ポリシーマネージャー
AWS Systems Manager の機能である パラメータストアには、次の 3 つのパラメータが含まれています: /FMS/OUs、/FMS/Regions、/FMS/Tags。Systems Manager を使用して、これらのパラメータを更新します。
ステップ 2
Amazon EventBridge ルールは、イベントパターンを使用して、System Manager パラメータ更新イベントをキャプチャします。ステップ 3
EventBridge ルールは、AWS Lambda 関数を呼び出します。ステップ 4
Lambda 関数は、ユーザー指定の OU 全体で事前定義された AWS Firewall Manager セキュリティポリシーのセットをインストールします。さらに、AWS Shield のサブスクリプションをご利用の場合、このソリューションは Advanced ポリシーをデプロイして DDoS 攻撃から保護します。
ステップ 5
PolicyManager Lambda 関数は、Amazon Simple Storage Service (Amazon S3) バケットからポリシーマニフェストファイルを取得し、マニフェストファイルを使用して Firewall Manager セキュリティポリシーを作成します。ステップ 6: コンプライアンスレポートジェネレーター
Lambda は、ポリシーメタデータを Amazon DynamoDB テーブルに保存します。ステップ 7
時間ベースの EventBridge ルールは、Compliance Generator Lambda 関数を呼び出します。ステップ 8
Compliance Generator Lambda は、各リージョンの Firewall Manager ポリシーを取得し、Amazon SNS トピックでポリシー ID のリストを公開します。ステップ 9
Amazon SNS トピックは、ペイロード {PolicyId: string, Region: string} を使用して Compliance Generator Lambda 関数を呼び出します。ステップ 10
ComplianceGenerator Lambda 関数は、ポリシーごとにコンプライアンスレポートを生成し、レポートを CSV 形式で S3 バケットにアップロードします。 -
Shield Advanced のオートメーションを備えたオプションスタック
-
拡大イメージを見る
ステップ 1: ポリシーマネージャー
(オプション) aws-fms-automations テンプレートによって作成された Parameter Store パラメータを、必要な値に更新します。作成されるパラメータには、/FMS/OUs、/FMS/Regions、および /FMS/Tags が含まれます。
ステップ 2
EventBridge ルールは、イベントパターンを使用して、System Manager パラメータ更新および S3 アップロードイベントをキャプチャします。
ステップ 3
EventBridge ルールは、Lambda 関数を呼び出します。
ステップ 4
Lambda 関数は、ユーザー指定の OU 全体で事前定義された Firewall Manager セキュリティポリシーのセットをインストールします。さらに、Shield のサブスクリプションをご利用の場合、このソリューションは Advanced ポリシーをデプロイして DDoS 攻撃から保護します。ステップ 5
PolicyManager Lambda 関数は、S3 バケットからポリシーマニフェストファイルを取得し、マニフェストファイルを使用して Firewall Manager セキュリティポリシーを作成します。
ステップ 6: 自動ヘルスベース検出
組織の AWS Config ルールは、AWS 組織全体の既存の Shield Advanced 保護をキャプチャします。これらの Shield Advanced 保護は、このソリューションによってデプロイされた Firewall Manager セキュリティポリシーを通じて自動的に作成することも、Shield コンソールを使用して手動で作成することもできます。
ステップ 7
組織の Config ルールによってキャプチャされた Shield Advanced 保護は、評価のために ConfigRuleEval Lambda 関数に送信されます。この Lambda 関数は、保護に Amazon Route 53 ヘルスチェックが関連付けられているかどうかを判断します。
ステップ 8
Shield Advanced 保護に関連付けられている Route 53 ヘルスチェックがない場合、ソリューションは、保護のためにヘルスチェックを作成するようにリクエストするメッセージを Amazon SQS キューに発行します。ステップ 9
ConfigRuleRemediate Lambda 関数は、Amazon SQS キューからメッセージを読み取ります。ステップ 10
ConfigRuleRemediate Lambda 関数は、Shield Advanced 保護が保護するリソースのタイプに基づいて、計算された Route 53 ヘルスチェックを作成します。ステップ 11
ConfigRuleRemediate Lambda 関数は、ステップ 10 で作成された Route 53 ヘルスチェックを、評価対象の Shield Advanced 保護に関連付けます。
ステップ 1: ポリシーマネージャー
(オプション) aws-fms-automations テンプレートによって作成された Parameter Store パラメータを、必要な値に更新します。作成されるパラメータには、/FMS/OUs、/FMS/Regions、および /FMS/Tags が含まれます。
ステップ 2
EventBridge ルールは、イベントパターンを使用して、System Manager パラメータ更新および S3 アップロードイベントをキャプチャします。
ステップ 3
EventBridge ルールは、Lambda 関数を呼び出します。
ステップ 4
Lambda 関数は、ユーザー指定の OU 全体で事前定義された Firewall Manager セキュリティポリシーのセットをインストールします。さらに、Shield のサブスクリプションをご利用の場合、このソリューションは Advanced ポリシーをデプロイして DDoS 攻撃から保護します。ステップ 5
PolicyManager Lambda 関数は、S3 バケットからポリシーマニフェストファイルを取得し、マニフェストファイルを使用して Firewall Manager セキュリティポリシーを作成します。
ステップ 6: 自動ヘルスベース検出
組織の AWS Config ルールは、AWS 組織全体の既存の Shield Advanced 保護をキャプチャします。これらの Shield Advanced 保護は、このソリューションによってデプロイされた Firewall Manager セキュリティポリシーを通じて自動的に作成することも、Shield コンソールを使用して手動で作成することもできます。
ステップ 7
組織の Config ルールによってキャプチャされた Shield Advanced 保護は、評価のために ConfigRuleEval Lambda 関数に送信されます。この Lambda 関数は、保護に Amazon Route 53 ヘルスチェックが関連付けられているかどうかを判断します。
ステップ 8
Shield Advanced 保護に関連付けられている Route 53 ヘルスチェックがない場合、ソリューションは、保護のためにヘルスチェックを作成するようにリクエストするメッセージを Amazon SQS キューに発行します。ステップ 9
ConfigRuleRemediate Lambda 関数は、Amazon SQS キューからメッセージを読み取ります。ステップ 10
ConfigRuleRemediate Lambda 関数は、Shield Advanced 保護が保護するリソースのタイプに基づいて、計算された Route 53 ヘルスチェックを作成します。ステップ 11
ConfigRuleRemediate Lambda 関数は、ステップ 10 で作成された Route 53 ヘルスチェックを、評価対象の Shield Advanced 保護に関連付けます。
関連コンテンツ
このコースでは、AWS のセキュリティテクノロジー、ユースケース、メリット、およびサービスの概要について説明します。インフラストラクチャ保護セクションでは、トラフィックフィルタリング用の AWS WAF について説明します。
このコースでは、複数の AWS アカウントをポリシーベースで管理できるサービスである AWS Organizations をご紹介いたします。主な機能と用語について説明し、サービスへのアクセスと使用方法を確認し、デモンストレーションを提供します。
この試験は AWS プラットフォームのセキュリティ強化における技術的専門知識の試験です。熟練したセキュリティ担当者が対象です。