427-AWS SAP AWS 「理論・実践・一問道場」Secrets Manager

type

status

date

slug

summary

理論

オリジンセキュリティ強化のためのアーキテクチャとベストプラクティス

以下は、クラウド環境でのオリジンセキュリティ強化に関連する汎用的な知識です。

1. AWS WAF（Web Application Firewall）を活用する

WAFは、特定のリクエストを検査して悪意のあるトラフィックをブロックするためのツールです。WAFでは、IP一致、文字列一致、クロスサイトスクリプティング（XSS）やSQLインジェクション攻撃の検出、Rate Limiting（リクエスト数制限）などのルールを設定できます。

Web ACL（Access Control List）を使用して、ALBやAPI Gateway、CloudFrontのようなサービスに適用できます。

カスタムヘッダー検証：AWS WAFを利用して、特定のHTTPヘッダー（例えば、ランダムな文字列を含むカスタムヘッダー）に対するルールを設定し、リクエストの正当性を確認することができます。

2. セキュリティ強化のためのランダム文字列

APIやサービスの認証のために、ランダムな文字列（例えば、シークレットキーやトークン）を使用することが一般的です。

これらのシークレットキーは、定期的にローテーションして管理することが重要です。AWSでは、Secrets ManagerやSystems Manager Parameter Storeを使ってシークレットの管理と自動ローテーションを行うことができます。

3. CloudFrontによるリクエストの検査とルーティング

CloudFrontは、コンテンツ配信ネットワーク（CDN）として機能するだけでなく、オリジンサーバー（この場合、ALB）のセキュリティ強化にも使用できます。

CloudFrontでリクエストにカスタムヘッダーを追加し、その内容をALBやバックエンドで検証する方法で、リクエストが正当なものであるかを確認できます。

4. AWS Lambda と自動化

AWS Lambdaを使用して、秘密情報の自動ローテーションや、リクエストが正しいかを検証するための処理を自動化することができます。Lambda関数をトリガーとして、指定した条件を満たさないリクエストをブロックするなどの操作を行えます。

5. DDoS防御としてのAWS Shield

AWS Shield Advancedは、分散型サービス拒否（DDoS）攻撃からの保護を提供します。これを利用することで、大規模なDDoS攻撃からリソースを守ることができますが、リクエストの内容や認証強化には、AWS WAFやカスタムヘッダーの検証が有効です。

まとめ

オリジンセキュリティの強化には、リクエストの正当性確認、IPフィルタリング、カスタムヘッダーの検証、DDoS対策を組み合わせることが重要です。AWSのサービス（CloudFront, WAF, Lambda, Secrets Managerなど）を活用して、セキュリティを一元的に管理・強化する方法が推奨されます。

実践

略

一問道場

質問 #427

ある医療企業が、いくつかのAmazon EC2インスタンスでREST APIを実行しています。EC2インスタンスはAuto Scalingグループ内で実行され、Application Load Balancer (ALB) の背後に配置されています。ALBは3つのパブリックサブネットに配置され、EC2インスタンスは3つのプライベートサブネットで実行されています。企業は、ALBを唯一のオリジンとして持つAmazon CloudFrontディストリビューションを展開しています。

オリジンのセキュリティを強化するために、ソリューションアーキテクトはどのような解決策を推奨すべきですか？

A. ランダムな文字列をAWS Secrets Managerに保存し、自動秘密管理のためのAWS Lambda関数を作成する。CloudFrontがオリジンリクエストにカスタムHTTPヘッダーとしてランダムな文字列を挿入するように設定する。AWS WAFでカスタムヘッダーに対する文字列一致ルールを含むWeb ACLルールを作成し、そのWeb ACLをALBに関連付ける。

B. AWS WAF Web ACLルールでCloudFrontサービスのIPアドレス範囲に対するIP一致条件を作成する。そのWeb ACLをALBに関連付け、ALBを3つのプライベートサブネットに移動する。

C. ランダムな文字列をAWS Systems Manager Parameter Storeに保存し、その文字列の自動ローテーションをParameter Storeで設定する。CloudFrontがオリジンリクエストにカスタムHTTPヘッダーとしてランダムな文字列を挿入するように設定する。ALBでカスタムHTTPヘッダーの値を検査し、アクセスをブロックする。

D. AWS Shield Advancedを設定し、CloudFrontサービスのIPアドレス範囲からの接続を許可するセキュリティグループポリシーを作成する。そのポリシーをAWS Shield Advancedに追加し、ALBにそのポリシーを適用する。

解説

この問題は、Amazon CloudFrontを使用したアーキテクチャのオリジンセキュリティ強化に関するものです。ALB（Application Load Balancer）へのアクセスを保護し、悪意のあるアクセスを防ぐためにどのような手法を使用するかを問うものです。

各選択肢の解説

解説：この解決策では、セキュリティの強化のためにランダムな文字列（秘密鍵のようなもの）を使います。CloudFrontがリクエストにこのカスタムヘッダーを追加し、その値をALBで検証する方法です。AWS WAFでカスタムヘッダーをチェックするルールを作成することで、不正なリクエストをフィルタリングすることができます。自動で秘密を管理・更新するため、セキュリティが向上します。

推奨される理由：この方法は、セキュリティを強化するための最も効果的なアプローチであり、認証情報やシークレットを動的に管理し、CloudFrontを経由してALBに到達するリクエストの検証を行う点で強力です。

解説：このアプローチは、CloudFrontサービスのIPアドレスからのリクエストを許可するIP一致条件をAWS WAFで設定するものです。これにより、CloudFront以外からの不正なリクエストをブロックすることができます。しかし、ALBをプライベートサブネットに移動することが必要ですが、この設定は必ずしも適切とは言えません。ALBをプライベートサブネットに移動すると、CloudFrontがALBにアクセスできなくなる可能性があるため、アーキテクチャ的に不適切です。

問題点：ALBをプライベートサブネットに移動すると、CloudFrontがALBにアクセスできない場合があり、実行できない可能性があります。

解説：この方法では、ランダムな文字列をAWS Systems Manager Parameter Storeに保存し、それをCloudFrontのリクエストに挿入して検証します。Parameter Storeで自動ローテーションを設定してシークレットを管理することは可能ですが、ALBでカスタムヘッダーの値を検査するロジックを実装する必要があり、少し複雑になります。AWS WAFを使ってWeb ACLを設定した方が簡単で効果的です。

問題点：ALB側でヘッダーの検査が手動で行われる必要があり、AWS WAFを利用する方が簡単かつ効率的です。

解説：AWS Shield AdvancedはDDoS（分散型サービス拒否攻撃）に対する保護を提供するサービスです。セキュリティグループでCloudFrontのIP範囲を許可する方法は、CloudFrontからのアクセスを制限するための一つの方法ですが、オリジンセキュリティを強化する方法としては不十分です。AWS Shieldは主にDDoS攻撃に対して有効ですが、オリジンセキュリティの強化には他の方法（例：WAFやカスタムヘッダー）がより効果的です。

問題点：Shield AdvancedはDDoS保護に特化しており、リクエストの認証や精緻なアクセス制御には不向きです。

正解：A

理由：

AWS WAFを使用したカスタムヘッダーによる認証と、秘密管理を自動化するためのLambda関数を組み合わせることで、セキュリティ強化が効率的に行えます。

CloudFrontでリクエストにカスタムヘッダーを追加し、ALBでそのヘッダーを検証することで、オリジンへの不正アクセスを防ぐことができます。