クラウド上にサイバーレジリエンスを構築

VPCは、サブネットごとにるIPアドレスの範囲を定義して異なるサブネットに分割することができ、リソースを論理的に分離することを実現します。サブネット内およびサブネット間の通信を、個別に制御できます。地理的にまとまっているサブネットをさらに小さくした区分にすることで、さらに独立することができ、個別の拡張要件も満たせるようになります。サブネットをプライベートとパブリックに分けることによって、攻撃対象領域を減らすことができます。さらに、サブネットをアクセス制限付きのレイヤーに分けることで、より徹底したセキュリティの構築が可能です。

サブネットは、プライベートとパブリックのいずれも、コンピューティングインフラ間の論理的分離は可能ですが、論理的分離自体にセキュリティ機能はありません。防衛のメカニズムは、ファイアウォールのようなもので、セキュリティグループとネットワークのアクセスコントロールリスト（ACL）を実施することで、装置間のさまざまな通信手段や通信の流れの方向を定義できます。通信のルールは、最小限の原則に基づいて実装されます。

コンピューティングインフラが作成されると、サブネットと一緒にセキュリティーグループに割り当てられます。セキュリティグループは、そのグループのコンピューティングリソースのインバウンド（入力）およびアウトバンド（出力）トラフィックを制御するファイアウォールルールを定義します。必要に応じて、複数のセキュリティグループを定義することができます。最小限ののアクセスに制限したデフォルトのセキュリティグループを作成することもできます。

ネットワークのACLは付加的なセキュリティメカニズムとして機能し、サブネットレベルでファイアウォールのように保護します。サブネットでの論理的隔離、サブネット間のアクセスコントロール、インスタンスレベルでの制限、これらを組み合わせることで、高いレベルのセキュリティ耐性を実現できます。

フローログはVPCでの通信をほぼリアルタイムで記録することを可能にします。フローログデータは、VPC、サブネット、または個々のインターフェースレベルでも生成できます。Amazon CloudWatch LogsやGoogle BigQueryといった他のクラウドリソースにこのデータを取り込むすることで、継続的なモニタリングや発生した事後分析が可能になります。フローログはリアルタイム処理もバッチ処理も可能です。結果から得られた洞察は、セキュリティグループやネットワークのACLルールの微調整するために活用できます。

Amazonの一般的なログ監視サービスであるCloudWatchを活用することで、ユーザーは、必要なダッシュボードを備えたセキュリティオペレーションセンターを構築できます。最近リリースされたCloudWatchの異常検出は、監視中ログで異常なアクティビティが検出された場合にアラートを発します。侵入検知システムといった、ネットワークセキュリティの監視専用ツールも、フローログによってアクティブ・ディフェンスを行います。

DDoS（分散型サービス妨害）攻撃に対しても、アクティブ・ディフェンスを講じる必要があります。Google Cloud Armorのウェブアプリケーション、ファイアウォール機能は、クロスサイトスクリプティング（XSS）やSQLインジェクション（SQLi）といった一般的な攻撃をチェックします。Amazon WAFは、ウェブアプリケーションファイアウォールの作成をサポートし、AWS Shieldは、DDoS攻撃から守ります。課題は、特定ののニーズに適したサービスをすることです。