SECURITY549

SEC549 PC設定詳細

ノートパソコンのハードウェア要件、ソフトウェア要件

• ワイヤレスネットワーク（802.11 規格）が必要です。教室では有線のインターネットアクセスはできません。

sec549 ホストOSの必須要件

• ホストのオペレーティングシステムは、Windows 10、Windows 11、または macOS 10.15.x 以降の最新バージョンである必要があります。
  
• 授業前にホスト OS を完全にアップデートし、正しいドライバとパッチがインストールされていることを確認してください。
  
• Linuxホストはバリエーションが多いため、教室ではサポートしていません。Linux をホストとして使用する場合、コース教材および/または VM と連動するように設定する責任は各自にあります。

コース教材には「セットアップ手順」文書が含まれており、ライブクラスのイベントへ参加する前、またはオンラインクラスを開始する前に行うべき重要な手順が詳細に記載されています。これらの手順を完了するには、30分以上かかる場合があります。

本コースで学べること

DESIGN IT RIGHT FROM THE START

クラウドにおける脅威のメンタルモデルがないまま、アーキテクトはオンプレミスの世界で意図された設計パターンをクラウドシステムに強引に適用しようとし、クラウドの採用と近代化のスピードを妨げている。さらに悪いことに、クラウドにおける信頼の境界を識別できないために、アイデンティティやネットワークプレーンでのセキュリティ管理が欠落し、セキュリティの成果が上がらないという結果になる。SEC549では、クラウドセキュリティアーキテクチャを紹介します。このコースでは、クラウドの明確なメンタルモデルと利用可能な制御を習得し、分散された境界と見慣れない信頼境界を持つこの新しい、大きく異なる世界に脅威モデルを移行できるようにします。
そのためこのコースでは、セキュリティ・オペレーション・センターがクラウド上のインシデントを監視、検出、対応、回復できるようにするアーキテクチャについて深く掘り下げます。このエンタープライズ・クラウド・セキュリティ・アーキテクチャ・コースでは、クラウド・テレメトリの堅牢なロギングと、エッジで収集されたイベントと洞察の一元化によって、ビジネス目標を効果的にサポートする方法を学びます。このコースでは、アーキテクトがクラウド環境で適切なロギングが設定されていることを確認し、可用性を考慮した設計の必要性を強調したリカバリ戦略を策定できるようにします。
SEC549は、架空の企業のクラウド移行の旅と、その過程で遭遇する課題を中心に構成されている。クラウド・セキュリティ・アーキテクトを目指す学生は、一元化されたアイデンティティ・プランを段階的に導入し、クラウドでホストされるアプリケーションを有効にするためのセキュアなパターンを設計することが課題となる。分散型リソースへのアクセスを保護するための補完的なメカニズムとして、ネットワーク層とID層の両方の制御を詳しく取り上げる。特にクラウドの台頭と複数のクラウド・サービス・プロバイダーの採用により、断片化されたアイデンティティとその危険性についての議論を通して、アイデンティティを一元化することの重要性がこのコースの中核をなすものであることが示されます。受講生は、段階的なID統合を設計する際に使用される基本的な概念を学ぶことで、自信を持って同様の課題に取り組むことができるようになります。

「このコースはお勧めできる。このコースはセキュアな設計の多くの核心的な側面を突いています。さらに、クラウドセキュリティアーキテクチャと戦略の欠如、安全でない設計は、Cloud Security AllianceやOWASPのような組織によってトップリスクとして強調されています。クラウドセキュリティアーキテクチャのトピックは、一般的にもっと注目され、フォーカスされる必要がある。」

- Greg Lewis, SAP

業務に役立つポイント

• 黎明期のクラウド技術とその急速な普及がもたらすリスクの軽減
• 段階的なアプローチを計画することで、クラウド移行のリスクを低減する。
• 一元化により、アイデンティティの乱立や技術的負債を防ぐことができます。
• ハイレベルなガードレールを作ることでビジネスの成長を可能にする
• コストのかかるアンチパターンの定着を防ぐ
• 既存のアクセスパターンを改善することで、組織をゼロ・トラスト体制に移行させる。
• 効果的な条件付きアクセスポリシーを設計し、ビジネス主導のポリシー例外にガードレールを設置する方法を学ぶ。

習得できるスキル

• セキュアなエンタープライズ・クラウド・セキュリティ・アーキテクチャ・パターンによるビジネスの実現
• 建築パターンと現実のインフラを結びつける
• セキュアでスケーラブルなID基盤をクラウドで構築
• 組織の従業員IDを一元化し、スプロール化を防ぐ
• ハブ・アンド・スポーク・パターンを用いたマイクロセグメント・ネットワークの構築
• 縦および横方向のトラフィックを検査するための集中型ネットワーク・ファイアウォールの設定
• ネットワーク・ベースとアイデンティティ・ベースの両方のコントロールを組み込む方法を学ぶ
• クラウドホスティングされたデータリポジトリのデータ境界を作成する機能
• 組織全体で鍵管理サービス（KMS）リソースを一元化し、共有する。
• セキュリティ・オペレーションがクラウドで対応できるようにする
• サービス・モデル（IaaS、PaaS、SaaS）で利用可能なテレメトリーとロギングを理解する。
• ブレイクグラスアカウントを活用したリカバリープロセスの設計
• 段階的なクラウド移行に戦略的に取り組む
• 条件付きアクセス・ポリシーを導入して、リソースへのアクセスを保護し、アイデンティティ境界を強化する。

ラボの内容

SEC549の実習部分はユニークで、特にクラウドのためのアーキテクトを目指す学生に適している。各ラボは、アーキテクチャ図として提示されたアンチパターンを観察し、修正することで実施される。各ダイアグラムの「正しい」バージョンは、AWSのライブインフラストラクチャとして実装され、学生が構成を検討できるようになっている。このコースでは、受講生はエンタープライズスケールのAWS組織にアクセスすることができ、ラボやコースを通して議論されるすべての詳細を観察することができます。
コースの各セクションでは、3つの主要なクラウドすべてについてセキュリティ設計の考慮事項を議論していますが、AWSでの作業に重点を置いており、ラボはAWSの概念に基づいて構成されています。

• クラウドの脅威モデル
• ユーザーアカウントのプロビジョニングの一元化
• 効果的な階層を作るためのアカウントの構造化
• IAMユーザーからロールへのアクセス移行

セクション2

• 脅威モデリング ゼロトラスト・アクセス
• レガシー・アプリケーションへの最新認証の統合
• クロスクラウド認証の拡張
• 共有データセットのアクセス制御
• 条件付きアクセス・ポリシー設計

セクション3

• ネットワーク・セキュリティ・コントロールの一元化
• トランジット・ゲートウェイの構築
• ネットワーク・ファイアウォールのポリシー
• VPCプライベート・ネットワーク・アクセス

セクション4

• クラウドネイティブ・ストレージへのアクセス管理
• データレイク・アクセス・コントロールとガバナンス
• ビッグデータ・ガバナンスのためのアーキテクチャー
• データの回復力鍵管理とバックアップ戦略

セクション5

• クラウド・ネイティブ・イベントの一元化
• クラウド・テレメトリーを外部SIEMにエクスポートする
• ネットワーク層検疫のアーキテクチャ

「今日のラボは3つとも、コンセプトを定着させるのに役立った。特に "See It In Action "の部分が役に立った。」- Oritse Uku
「この本、教材、ラボは、クラウドアーキテクチャの構築と理解に関して、非常にインタラクティブな学習体験を可能にする。」- Nevan Beal, Raymond James
「アーキテクチャー・ダイアグラムがそれぞれに盛り込まれているのがとても良かった」- Greg Lewis, SAP
「演習は思考を刺激し、良い議論を植え付ける」- Soe San Win, Robert Bosch, LLC

シラバスの概要

• セクション1：クラウドにおけるIAM、3つの主要クラウドプロバイダーそれぞれの上位レベルのリソースコンテナ、企業規模のクラウド資産でガードレールを実施するための制限的ポリシーの使用方法について説明する基礎的なセクション。
• セクション2：ゼロ・トラストに重点を置き、クラウド・リソースへのアクセスを承認し、不正アクセスを防止するガードレールを構築するZT戦略を採用するために、クラウド・サービスをどのように利用するかについて説明する。
• セクション3：クラウドネットワークリソースをアットスケールで管理するには、アーキテクトがクラウドネイティブなネットワーク制御を理解する必要があります。ネットワーク設定の一元化、マイクロセグメンテーションの実施、トラフィック・インスペクション・アプライアンスの設定、アカウント間でのネットワーク・サービスの共有方法について学びます。
• セクション4：クラウド上のデータを保護するには、セキュリティチームはクラウドネイティブのデータ保護機能を検討する必要がある。クラウド・ネイティブ・ストレージとビッグデータ・サービスに保存されたデータを保護し、管理する方法を学ぶ。
• セクション5：このセクションでは、SOCの能力を向上させ、従来の手法をクラウドホスティング環境に適応させ、組織がワークロードをクラウドに移行する際にも堅牢な検知と対応を継続できるようにする方法に焦点を当てる。

追加の無料コンテンツ

• GCPにおける特権のエスカレーション - Transitive Path (動画)
• It's Like Chipotle - GCP PaaSサービスの概要 (動画)
• クラウド・キルチェーンを断ち切る (動画)
• 高度に規制された環境における最新のクラウドシステム導入の教訓 (動画)
• Prodの左のセキュリティ問題を修正する (チートシート)
• Azureにおけるマルウェアの検出とロックダウン - Brandon Evans著
• マルチクラウド・セキュリティのためのトップ5の考慮事項 - Brandon Evans著

受講者へ提供するもの

• 印刷教材と電子教材
• Draw.ioのアーキテクチャ図は、参照アーキテクチャとして使用できる安全なパターンを表しています。
• SEC549クラウドラボ環境へのアクセス

本コースの次にお勧めするコース

現在の職務や将来の計画に応じて、これらのコースのいずれかを受講することは、クラウド・セキュリティの旅における次のステップとして最適です：

クラウド・セキュリティ・アーキテクト：

• SEC510パブリッククラウドのセキュリティ：AWS、Azure、GCP
• SEC540: クラウドセキュリティとDevSecOpsオートメーション

クラウドセキュリティエンジニア：

• SEC540: クラウドセキュリティとDevSecOpsオートメーション
• SEC510パブリッククラウドのセキュリティ：AWS、Azure、GCP

クラウド・セキュリティ・マネージャー：

• MGT520クラウドセキュリティの設計と実装をリードする
• MGT516脆弱性管理プログラムの構築と指導

以下はSEC549の前提条件となるコースまたは同等の経験である：

• SANS SEC488：Cloud Security Essentials、または3大クラウド（AWS、Azure、GCP）のいずれかを使用した実務経験
• AWSマネジメントコンソールに精通している

SEC549への準備

SEC549を受講する学生は、クラウドにおけるIDアクセス管理（IAM）のパターンを学ぶ機会があります。ロールベースのアクセス制御、属性ベースのアクセス制御、権限管理などのIAMの概念に基本的に精通していることが役に立ちますが、必須ではありません。
さらに、ネットワーク層におけるデプロイメントの安全性を確保するためのクラウドネイティブツールについても掘り下げていきます。ファイアウォール、ネットワーク・アクセス・コントロール・リスト、IPアドレッシングなど、ネットワークの概念についての基本的な理解があれば役に立ちますが、必須ではありません。

「クラウドによって、私たちの境界はますます分散化され、多くの場合、IDベースの管理のみが実施されるようになりました。クラウドでは、セーフガードは解除され、エラーの余地はほとんどありません。
この厳しい現実を前にしても、私はまだ楽観的だ。クラウドへの移行は、私たちの最も革新的な技術を可能にし、セキュリティ部門が進化し成熟する機会を与えてくれます。
正しい基本原則を身につければ、業界として、オンプレミスでは不可能なほどの可用性と機密性を備えた、より安全な未来を築くことができます。
歴史が教えてくれたように、クラウド・ネイティブでゼロ・トラストの新しい世界への移行は紆余曲折が予想されますが、その旅の道しるべとなるお手伝いができることを大変嬉しく思います。」
- Kat Traxler & Eric Johnson