既存のクラウドプロジェクトのセキュリティ状態を初めて評価する
このページのトピック
関連ユーザ
| ユーザの役割 | アクセス可能 |
|---|---|
| テクニカルチームメンバー |  |
| DevOpsチームメンバー | |
| セキュリティアナリスト | |
| セキュリティエンジニア | |
| コンプライアンスマネージャ | |
| プロジェクトマネージャ | |
| セキュリティチーム管理 | |
| コンサルタント | |
例
- 私は最近、既存のクラウドプロジェクトを担当するようになりました。このプロジェクトが安全でベストプラクティスに準拠していることを確認したいと考えています。
- AWSプロジェクトの規模が大きくなり、手動でのセキュリティ体制の確保が困難になったため、よりスケーラブルなソリューションを求めています。
Cloud Conformity ソリューション
開始する前に
アカウント または アカウントグループ を優先して、実稼働アカウントなどを評価します。 {: .note }
パート1-現在のセキュリティ状況を評価するレポートの作成
手順1:セキュリティ状態を評価するアカウントまたはアカウントのグループを選択し、 All checks レポートを生成します。
手順2:「All Checks」レポートを、失敗したチェックでフィルタします。
手順3:失敗したチェックをさらにフィルタしてレポートを作成し、組織の優先度に基づいて結果を絞り込みます。たとえば、 Well-Architected Framework カテゴリ、リソースタグ、リソースタイトル、および失敗したチェックのリスクレベルや重大度でフィルタできます。
たとえば、次のフィルタを適用すると、基本的なセキュリティレポートが作成され、複数のFailureを一度に検出するよりも、集中して修正する方が簡単です。
- カテゴリ>セキュリティ
- タグ>「public」
- Standards and Frameworks > AWS Well-Architected Framework
オプション: generate and downloadPDFまたはCSV失敗チェックレポートを生成してダウンロードし、関係者と共有します。
パート2-レポートに基づいた修復計画の作成
手順1:レポートを分析して、さまざまなルールのFailureを解決するためのチームメンバーの作業量と可用性を見積もります。
手順2:優先順位を付けるために、Failureを複数のグループに分けます。
たとえば、Failureをグループ化する場合は、最も作業量の少ないルール、最も重要度の高いルール、および特定のサービスまたはカテゴリに基づいてルールを優先させることができます。これにより、優先順位に基づいてFailureを分離して解決できます。
影響の大きいサービス、EC2、RDS、S3、IAM、VPC、およびロードバランサを優先して、他の Extreme またはVery High失敗チェックを続行することをお勧めします。
Example remediation scenario:
- The first security scan for an AWS project resulted in 23,732 checks.
- Based on our organization's priority and risk acceptance policy, we want to resolve security issues first that pose a high risk to our security posture.
- We applied the following filters to generate a report on security risks :
- AWS Well-Architected Framework Category - 'Security'
- AWS Service - 'S3'
- The risk level of the failed checks - 'Extreme' and 'Very high'
- Applying filters displayed results for the 20 Security failed checks that needed immediate attention being at Extreme and High Risk.
- Enabling S3 bucket default encryption resolved 13 of the 20 failed checks and completely resolved the Extreme level findings.
- We used an incremental approach by rotating remediation focus between services. This will help improve the organization's compliance score shortly as we focus on resolving the highest severity failures first.
手順3:フィルタを使用して、Failureのグループごとにレポートを生成し、チームメンバーと共有します。各メンバーは、レポートの一部として送信されたルールのFailureごとに 修復手順 に従うことができます。
オプション:定期レポートを作成して、関係者に最新の取り組みや進捗状況を通知できます。
通信チャネル(例: Slack、 Jira、 SMS、および Microsoft Teams )を使用して、組織内の関連するチームメンバーにFailureを通知します。