type
status
date
slug
summary
tags
category
icon
password
理論
1. SSHアクセスの課題
- リスク: 直接SSHアクセスはポート22を開放する必要があり、攻撃リスクが高まる。
- 解決策: セキュリティグループでIP制限を行うか、代替アクセス方法を採用する。
2. アクセス手段の選択肢
- EC2 Instance Connect:
- WebブラウザやCLIから一時的なSSH接続が可能。
- SSHキー管理不要。
- ただし、特定のOS(Amazon Linux 2など)に依存。
- Systems Manager Session Manager:
- ポート22を閉じてもセッション管理が可能。
- IAMベースのアクセス制御でセキュリティを向上。
- コマンド履歴の監査をCloudWatch Logsに保存可能。
3. 推奨ソリューションの概要
- セキュリティと監査を両立する方法:
- SSHアクセスを廃止し、Session Managerを採用。
- CloudWatch LogsやAWS Configを使用して操作ログやリソース変更を監視。
実践
一問道場
質問 #65
あるスタートアップ企業は、最新のAmazon Linux 2 AMIを使用してプライベートサブネット内でAmazon EC2インスタンス群をホストしています。同社のエンジニアはトラブルシューティングのためにSSHアクセスに大きく依存しています。
現在のアーキテクチャには以下が含まれています:
- プライベートおよびパブリックサブネットを持つVPCとNATゲートウェイ
- オンプレミス環境との接続のためのサイト間VPN
- オンプレミス環境からの直接SSHアクセスを許可するEC2セキュリティグループ
同社は、SSHアクセスに対するセキュリティコントロールを強化し、エンジニアが実行したコマンドを監査する機能を提供する必要があります。
ソリューションアーキテクトが取るべき戦略はどれですか?
A. EC2インスタンス群にEC2 Instance Connectをインストールして設定する。インスタンスに接続されたすべてのセキュリティグループからポート22のTCPインバウンドルールを削除する。エンジニアにはEC2 Instance Connect CLIを使用してインスタンスにリモートアクセスするように指示する。
B. EC2セキュリティグループを更新し、ポート22のTCPインバウンドをエンジニアのデバイスのIPアドレスのみに許可する。すべてのEC2インスタンスにAmazon CloudWatchエージェントをインストールし、オペレーティングシステムの監査ログをCloudWatch Logsに送信する。
C. EC2セキュリティグループを更新し、ポート22のTCPインバウンドをエンジニアのデバイスのIPアドレスのみに許可する。AWS Configを有効にして、EC2セキュリティグループのリソース変更を監視する。AWS Firewall Managerを有効にし、セキュリティグループポリシーを適用してルールの変更を自動で修復する。
D. AmazonSSMManagedInstanceCoreマネージドポリシーをアタッチしたIAMロールを作成し、すべてのEC2インスタンスにアタッチする。インスタンスに接続されたすべてのセキュリティグループからポート22のTCPインバウンドルールを削除する。エンジニアにはAWS Systems Manager Session Managerプラグインをデバイスにインストールしてもらい、Systems Managerのstart-session APIコールを使用してリモートでインスタンスにアクセスするように指示する。
解説
この質問では、プライベートサブネット内のEC2インスタンスへのSSHアクセスのセキュリティを強化し、監査機能を提供する最適な方法を問われています。それぞれの選択肢を検討します。
要件のポイント
- SSHアクセスのセキュリティ強化: 不必要なアクセスを防ぎ、アクセス管理を強化する。
- 監査機能の提供: エンジニアが実行したコマンドやアクティビティを記録する。
- オンプレミスからの接続: 現在のVPN経由でのアクセスを考慮する。
選択肢の分析
A.
- 構成:
- EC2 Instance Connectを使用してSSHアクセスを管理。
- セキュリティグループからポート22のインバウンドルールを削除。
- 評価:
- 利点: ポート22のインバウンドルールを削除することで、直接的なSSH攻撃のリスクが軽減される。
- 問題点: EC2 Instance ConnectはAmazon Linux 2やUbuntuのみをサポートし、全てのOSに適用できるわけではない。また、コマンドの監査ログを記録する機能が含まれていない。
- 結論: 不適切(監査要件を満たさない)。
B.
- 構成:
- ポート22のインバウンドをエンジニアのデバイスIPアドレスに限定。
- Amazon CloudWatchエージェントで監査ログをCloudWatch Logsに送信。
- 評価:
- 利点: エンジニアごとのアクセス制限が可能。監査ログを収集できる。
- 問題点: ポート22を開けたままにするため、VPNやIP制限があってもSSH攻撃のリスクが残る。また、より安全なアクセス手段であるSession Managerと比較すると劣る。
- 結論: 部分的に適切(SSHリスクが残るため最適ではない)。
C.
- 構成:
- ポート22のインバウンドをエンジニアのデバイスIPアドレスに限定。
- AWS Configでセキュリティグループ変更を監視。
- AWS Firewall Managerでセキュリティグループポリシーを適用。
- 評価:
- 利点: セキュリティグループの変更監視と自動修復が可能。
- 問題点: ポート22を引き続き開けておくため、SSHリスクが残る。監査ログの収集が直接含まれていない。
- 結論: 部分的に適切(セキュリティの強化に不十分)。
D.
- 構成:
- IAMロールを使用して、AWS Systems Manager (SSM) の Session Manager を有効化。
- ポート22のインバウンドルールを削除。
- エンジニアには Session Manager を使用してインスタンスにアクセスさせる。
- 評価:
- 利点:
- ポート22を完全に閉じることでSSH攻撃リスクを排除。
- Session ManagerはAWS Systems Managerの機能として、エンジニアが実行したコマンドを詳細に監査・記録できる(CloudWatch LogsやS3に送信可能)。
- オンプレミスからのVPN経由のアクセスもサポート可能。
- 問題点: 追加設定(IAMロールの割り当て、Session Managerプラグインのインストール)が必要。
- 結論: 最適な解答(セキュリティと監査要件を完全に満たす)。
正解: D
Session Managerを使用することで、SSHアクセスを不要にし、エンドツーエンドでセキュリティを強化しながら、エンジニアのアクションを完全に監査できます。これが最も推奨されるアプローチです。
- 作者:みなみ
- 链接:https://tangly1024.com/資格勉強/16ad7ae8-88e2-8098-847a-c14edf918490
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
.png?table=block&id=021326af-6a29-487e-ac2f-560985ab23b3&t=021326af-6a29-487e-ac2f-560985ab23b3&width=800&cache=v2)
