コンテンツ分野 4: ネットワークセキュリティ、コンプライアンス、ガバナンス

アプリケーションアーキテクチャに基づくさまざまな脅威モデル

一般的なセキュリティ上の脅威

さまざまなアプリケーションフローを保護する仕組み

セキュリティとコンプライアンスの要件を満たす AWS ネットワークアーキテクチャ

AWS へのインバウンドトラフィックフローの保護 (AWS WAF、AWS Shield、Network Firewall など)

AWS からのアウトバウンドトラフィックフローの保護 (Network Firewall、プロキシ、Gateway Load Balancer など)

単一のアカウント内または複数のアカウントでの VPC 間トラフィックの保護 (セキュリティグループ、ネットワーク ACL、VPC エンドポイントポリシーなど)

セキュリティとコンプライアンスの要件を満たす AWS ネットワークアーキテクチャの実装 (信頼できないネットワーク、境界 VPC、3 層アーキテクチャなど)

特定のネットワークアーキテクチャに対する脅威モデルの開発と適切な緩和戦略の特定

初期要件へのコンプライアンスのテスト (フェイルオーバーテスト、レジリエンスなど)

AWS を使用したセキュリティインシデントのレポートとアラートの自動化

AWS で利用可能なネットワークのモニタリングおよびログ記録サービス (CloudWatch、AWS CloudTrail、VPC トラフィックミラーリング、VPC フローログ、Transit Gateway Network Manager など)

アラートの仕組み (CloudWatch アラームなど)

さまざまな AWS サービスでのログ作成 (VPC フローログ、ロードバランサーアクセスログ、CloudFront アクセスログなど)

ログ配信の仕組み (Amazon Kinesis、Route 53、CloudWatch など)

ネットワークセキュリティ構成を監査する仕組み (セキュリティグループ、AWS Firewall Manager、AWS Trusted Advisor など)

VPC フローログの作成と分析 (フローログのベースフィールドと拡張フィールドを含む)

ネットワークトラフィックミラーリングの作成と分析 (VPC トラフィックミラーリングの使用など)

CloudWatch を使用して自動化されたアラームの実装

CloudWatch を使用してカスタマイズされたメトリクスの実装

単一または複数の AWS ログソース間での情報の関連付けと分析

ログ配信ソリューションの実装

単一または複数の AWS ネットワークサービスとアカウント間でのネットワーク監査戦略の実装 (Firewall Manager、セキュリティグループ、ネットワーク ACL など)

AWS で利用可能なネットワーク暗号化オプション

Direct Connect 経由の VPN 接続

転送中のデータの暗号化方法 (IPsec など)

AWS 責任共有モデルの下でのネットワーク暗号化

DNS 通信のセキュリティメソッド (DNSSEC など)

アプリケーションのコンプライアンス要件を満たすためのネットワーク暗号化方式の実装 (IPsec、TLS など)

転送中のデータを保護するための暗号化ソリューションの実装 (CloudFront、Application Load Balancer と Network Load Balancer、Direct Connect 経由の VPN、AWS マネージドデータベース、Amazon S3、Amazon EC2 上のカスタムソリューション、Transit Gateway など)

認証局を使用した証明書管理ソリューションの実装 [ACM、AWS Certificate Manager Private Certificate Authority (ACM PCA) など]

セキュアな DNS 通信の実装