2018/05/26 「クラウド座談会 in 久留米 featuring JAWS-UG佐賀」 で発表したLT資料です

1. AWSの
セキュリティ関連サービス
についてザっと整理してみた
青柳 英明
2018/05/26
クラウド座談会 in 久留米 featuring JAWS-UG 佐賀

2. 自己紹介
青柳 英明
職業： 福岡市内でインフラSEやってます（オンプレOnly）
経歴： アプリケーション開発 … 3年
インフラエンジニア … 17年
AWS歴：
JAWS-UG歴：
… 約2年

3. JAWS-UG福岡
コアメンバーをやってます！
・ 2～3ヶ月に1回 開催
・ 「ちょっと濃い目」 「乾杯から始まる」 をテーマに楽しくやってます
勉強会募集ページ (Doorkeeper)
https://jaws-ug-kyushu.doorkeeper.jp/
JAWS-UG九州勉強会レポート (ASCII.jp)
http://ascii.jp/elem/000/001/423/1423351/
※ これは JAWS-UG福岡 のCMです

4. コアメンバーをやってます！
・ 「C#」 「.NET」 関連のコミュニティ
・ 1～2ヶ月に1回 開催 (勉強会、もくもく会)
・ .NET Framework／Core の開発手法、Visual Studio の活用法、
Azure や Microsoft Cognitive Services との連係、・・・などなど
幅広いテーマを取り扱っています
勉強会募集ページ (Connpass)： https://fukuten.connpass.com
※ これは Fukuoka.NET (ふくてん) のCMです

5. AWS の
セキュリティ関連のサービス
いつの間にか
こんなに増えてる・・・

6. ID・認証
IAM
AWSリソースへのアクセスを管理するAWSの中核的なサービス
・ マネジメントコンソールへログインする際のアカウント/パスワード
・ CLIやSDKを使用する時のアクセスキー
・ ユーザー/グループ単位でリソースに対するアクセス権を細かく制御
・ AWSサービス間のアクセス制御(例：EC2→S3) (IAMロール①)
・ アカウントを跨いだアクセス制御 (IAMロール②)
Cognito
アプリケーションにユーザ管理・認証の機能を組み込む際に利用
・ ユーザー名/パスワードによる認証
・ ソーシャルIDプロバイダ(Facebook、Google等)と連係した認証
・ SAML連係による認証

7. ID・認証
Directory
Service
いわゆるディレクトリサービス
・ Microsoft Active Directory
・ Simple AD (Sambaベース、AD互換)
・ Amazon Cloud Directory (AWS独自、クラウドネイティブ)
・ オンプレADとの連係
Organizations
複数のAWSアカウントを集中管理
・ 請求の一括化
・ 特定サービスの利用可否を制御
・ シングルサインオンの提供 (AWS Single Sign-On)

8. データ保護・暗号化
KMS
マネージドな暗号鍵管理インフラストラクチャ(KMI)
・ 暗号鍵へのアクセス制御、複数の暗号鍵のローテーションなどを管理
・ 各種データストア(S3、EBS、RDS、・・・)の暗号化で使用
・ アプリケーションで使用する暗号鍵としても利用可能
CloudHSM
ハードウェアセキュリティモジュール(鍵を保管する物理アプライアンス)を
クラウドで提供
・ KMSとの違い、使い分け
・ 法令や規制に準拠した高度な鍵管理が求められる場合
・ 性能面の優位性

9. データ保護・暗号化
Macie
機密データの保護
・ データストアに含まれる機密データを機械学習を使用して自動識別
・ 個人情報、医療情報、パスワードやアクセスキー
Certificate
Manager
SSL/TLS証明書の発行、更新、および管理
・ CloudFront、ELB、API Gatewayで利用可能 (EC2は不可)
・ 無償で利用可能だが、発行できるのはDV証明書に限られる
Secrets
Manager
シークレット(セキュア情報)の管理
・ パスワード、データベースやAPIの認証情報、など
・ アプリケーションにシークレットを直接埋め込まず、外出しして一元管理

10. データ保護・暗号化
Crypt Tools
アプリケーションから利用できる暗号化/複合化ライブラリおよびツール
・ AWS Encryption SDK
・ Amazon DynamoDB Encryption Client

11. 脅威/脆弱性の検出・防御
WAF
マネージドなWebアプリケーションファイアウォール
・ CloudFrontまたはALBの前段に配置
・ Webアプリケーション層の攻撃を防御 (SQLインジェクション、XSS等)
Firewall
Manager
AWS WAFの集中管理
・ AWS Organizationsを設定時に利用可能
Shield
DDoS攻撃からの防御
・ Shield Standard … CloudFront、Route 53のみ (無償で標準装備)
・Shield Advanced … EC2、ELBにも適用 (追加料金)

12. 脅威/脆弱性の検出・防御
GuardDuty
ネットワークを対象としたセキュリティモニタリング
・ CloudTrail、VPCフローログ、DNSログを監視
・ ブラックリストおよび機械学習により不正アクティビティを検出
Inspector
EC2のセキュリティ(脆弱性)評価
・ EC2にエージェントをインストールして利用
・ EC2のネットワーク、ファイルシステム、プロセスを監視

13. コンプライアンス対応
Artifact
監査で必要となるドキュメント(アーティファクト)の生成・取得
・ AWS ISO 認定
・ Payment Card Industry (PCI)
・ Service Organization Control (SOC) レポート、など

14. セキュリティカテゴリ以外のサービスでも・・・

15. セキュリティカテゴリ以外でセキュリティに関連するサービス
Trusted
Advisor
ベストプラクティスに基いた評価と推奨事項の提示
・ コスト最適化、パフォーマンス、セキュリティ、耐障害性、サービス制限
・ ただし、全項目の評価を行えるのは「ビジネスサポート」契約以上
Security
Group
(VPCの一機能)
EC2に出入りするネットワークパケットを制限するファイアウォール規則
・ ステートフル動作 (戻りパケットは自動的に認識)
Network
ACL
(VPCの一機能)
ネットワークセグメント単位で設定するファイアウォール規則
・ ステートレス動作 (戻りパケットも明示的に指定が必要)

16. セキュリティカテゴリ以外でセキュリティに関連するサービス
CloudWatch
ログ管理サービス
・ セキュリティ観点のログフィルタリング
・ セキュリティ問題検知時の通知やアクションの定義を行う際にも利用
CloudTrail
リソースに対する操作を記録
・ 不正な操作、意図的ではないがセキュリティ的に問題のある操作を検知
・ 操作のエビデンス (セキュリティ問題が発覚した際に分析)
Config
AWSリソースの構成・設定を追跡
・ ルールを定義し、ルールに準拠しない構成・設定を検出
・ 設定変更の履歴を記録 (セキュリティ問題が発覚した際に分析)

17. セキュリティカテゴリ以外でセキュリティに関連するサービス
Systems
Manager
AWSリソースの俯瞰的可視化、運用自動化
・ Systems Manager Patch Manager
… EC2のパッチ適用を管理
・ Systems Manager 設定コンプライアンス
… EC2の構成・設定が仕様規約に準拠しているか監視

18. もっと詳しく知るには・・・
・ AWS クラウドサービス活用資料集 (Black Belt)
https://aws.amazon.com/jp/aws-jp-introduction/
・ AWS ドキュメント
https://aws.amazon.com/jp/documentation/
・ AWS ホワイトペーパー
https://aws.amazon.com/jp/whitepapers/
・ (いろんな人が書いている)ブログ ・ Qiita ・ 実際に触ってみる