PCI DSS on AWSのまとめ(要件1)
PCI DSS v4.0 on AWS Compliance Guideで挙げられているAWSサービスとその活用例をまとめます。
この記事では、要件1の「ネットワークセキュリティコントロールの導入と維持」について扱います。
他の要件についての記事
要件1 ネットワークセキュリティコントロールの導入と維持
要件2 すべてのシステムコンポーネントにセキュアな設定を適用する
要件3 保存されたアカウントデータの保護
要件4 オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
要件5 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
要件6 安全なシステムおよびソフトウェアの開発と維持
要件7 システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲によって制限する
要件8 ユーザーの識別とシステムコンポーネントへのアクセスの認証要件9 カード会 員データへの物理アクセスを制限する
要件9 カード会 員データへの物理アクセスを制限する
要件10 システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
要件11 システムおよび ネットワークのセキュリティを定期的にテストする
要件12 組織の方針とプログラムによって情報セキュリティをサポートする
AWSサービス活用例
1.2 ネットワークセキュリティコントロール(NSC)が設定され、維持されている
- Firewall ManagerでAWSアカウント内のSGを一元管理する
- 特定のタグを付与したEC2インスタンスを作成した際に自動で設定したSGをアタッチする
- Firewall Managerで作成したSGを、Firewall Managerを介さずに変更した場合に元の設定に戻す
- 特定のリソースに対してFirewall ManagerでアタッチしたSG以外がアタッチされた場合、そのSGをデタッチする
1.3 カード会員データ環境への、およびカード会員データ環境からのネットワークアクセスが制限されている
- SGで特定のIPアドレス範囲からのHTTPS通信(インバウンド)を許可する
- NACLで特定のIPアドレス(通信が必要な外接システム等)との通信(イン/アウトバウンド)を許可し、それ以外を全て拒否する
1.4 信頼できるネットワークと信頼できないネットワークの接続が制御されている
- VPCによって不正なアドレスや偽装されたアドレスを持つパケットがVPCに入らないようにする
- マッピングサービスという機能で明示的に設定せずともVPCが裏側でやってくれているらしい
関連サービス
AWS Firewall Manager
AWS Organizations内にあるアカウントとアプリケーション全体で一元的にファイアウォールルールを設定および管理できるようにするセキュリティ管理サービス。
セキュリティポリシーを設定することで、アカウント全体のリソースにポリシーを適用したり、新規作成されるリソースに対してポリシーを適用することができる。
Security Groups(SG)
VPCについての通信(イン/アウトバウンド)を制御する仮想ファイアウォール。
特定のインスタンスに対して、許可する通信をホワイトリスト形式で設定する。許可設定はIPとプロトコルの組み合わせで行う。
ステートフルであるため、明示的に指定しなくてもリターントラフィックは許可される。
参考: Amazon VPC のインフラストラクチャセキュリティ - Amazon Virtual Private Cloud
Network Access Control List(NACL)
VPCについての通信(イン/アウトバウンド)を制御する仮想ファイアウォール。
特定のサブネットに対して、許可/拒否する通信をブラックリスト形式で設定する。
ステートレスであるため、リターントラフィックも分けて設定可能(e.g. あるアウトバウンド通信は許可するが、戻りのインバウンドトラフィックを拒否するという設定が可能)
Discussion