Classmethod-developers.io-2016-d4-45min-aws-security
•
4 likes•1,356 views
DevelopersIO 2016 D4 セッションのスライドです。
Recommended
Recommended
More Related Content
Featured
Featured (20)
Classmethod-developers.io-2016-d4-45min-aws-security
- 2. ⾃⼰紹介 梶 浩幸(かじ ひろゆき) Twitter ID:@cocacola917 AWSコンサルティング部 札幌オフィス勤務 2014年8⽉JOIN ネットワーク屋出⾝ 好きなAWSサービス • VPC 2
- 3. コカコーラ⼤好き 3
- 4. はじめに • AWSを利⽤して1年以上の⽅ • AWSを利⽤して1年未満の⽅ • AWSをこれから利⽤予定の⽅ 4
- 5. 今⽇は何を話すの? • AWSセキュリティ関連資料の・・・ • ⽤途 • 概要やポイント • 和訳との差異 をご紹介 5
- 6. 今回ご紹介するAWSのセキュリティ資料 https://aws.amazon.com/jp/security/ 代表的なもの(2016年2⽉14⽇現在) 6 英語名 和名 和訳有無や最新 版 AWS Cloud Security Best Practices セキュリティベストプラクティス 和訳差異無し 2013/11 AWS Cloud Security Whitepaper(Overview of Security Processes) セキュリティプロセスの概要 US 2015/8 和訳 2014/11 AWS Risk and Compliance Whitepaper リスクとコンプライアンス US 2016/1 和訳 2015/8 Introduction to Auditing the Use of AWS AWSの使⽤に際してのセキュリティ 監査チェックリスト US 2015/10 和訳 2013/6
- 7. 7
- 12. 共有責任モデル(責任分担モデル) 12 • ファシリティ • 物理セキュリティ • コンピュータインフラ • ストレージインフラ • ネットワークインフラ • 仮想レイヤー • OS • アプリケーション • セキュリティグループ • ファイヤーウォール • ネットワーク設定 • アカウント管理 ドキュメント内では、責任分担モデルで記載 利⽤者
- 13. 13 AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security
- 14. 14 AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security スコープ外!
- 16. インフラストラクチャサービス 16 AWS セキュリティのベストプラクティス(⽇本語)より https://aws.amazon.com/jp/security/security-resources/
- 18. 抽象化されたサービス 18 AWS セキュリティのベストプラクティス(⽇本語)より https://aws.amazon.com/jp/security/security-resources/
- 19. AWS アカウントと IAM ユーザー、 グループ、およびロールの管理 19
- 20. AWSアカウント • 新しいシステム構築するときの質問 • AWSアカウントを別に作成? • 既存のアカウントに追加? 20
- 21. AWSアカウント • 単⼀のAWSアカウント • セキュリティ⼀元管理 • 複数のAWSアカウント • 独⽴した複数の部⾨ • 複数のプロジェクト • 本番⽤、開発⽤、テスト⽤など • 利⽤費⽤を明確に把握したい(→私が追記) 21
- 22. IAMユーザ・グループ・アカウント • IAM(AWS Identity and Access Management) は、AWSユーザーに対し て AWSのリソースへのアクセスできる範 囲やアクセス⽅法を安全に制御するための サービス 22
- 24. MFA 多要素認証(Multi-Factor Authentication) • パスワード + デバイス • パスワード + 指紋 など • know + have/are の組み • 2要素認証が⼀般的 • Google 認証システム • Authy(マルチデバイスでおすすめ) 24
- 25. Amazon EC2 の IAM ロール • アプリケーションからAWSリソースにアクセスするに はAWS認証情報を持ってAPIリクエストする必要がある • サンプル:AWS SDK for Ruby 25 AWS.config({ :access_key_id => 'ACCESS_KEY_ID', :secret_access_key => 'SECRET_ACCESS_KEY', :region => 'us-west-2', }) プログラム IAMユーザで利⽤ 認証情報をEC2 内に持たせる。 保管やローテー ションの検討が 必要 プログラム IAM ロールで利⽤ IAMロールによ る権限はテンポ ラリ。ローテー ションも⾃動
- 26. Amazon EC2 の IAM ロール • IAM roleをEC2に割り当てることでローカ ルにセキュリティ情報を持たなくて良い 26 プログラム IAM ロールで利⽤ IAMロールによ る権限はテンポ ラリ。ローテー ションも⾃動
- 27. Amazon EC2 の IAM ロール • 注意 • IAM roleはEC2 Launch時にしか割り当 てられない。 • Launchしたあとには割り当て不可 • 割り当てさえしておけば、後からroleが 持つ権限の内容を変更可能。 27
- 28. AWSアカウントのアクティビティの履歴の保持 • AWS CloudTrailはAWSアカウント で利⽤されたAPI Callを記録し、 S3上にログを保存するサービス • AWSのリソースにどのような操作 が加えられたか記録に残す機能の ため、必ず有効化 • 特別な問題がない限り全リージョ ンで有効化 28
- 29. Switch Role 29
- 30. Amazon EC2インスタンスへのOSレベルのアクセ スの管理 • EC2キーペア • ログイン時の認証 30
- 32. OSとアプリケーションのセキュリティによる保護 • AMI公開時の注意点 • マルウェアからの防衛 • パッチ管理 • 侵害と迷惑⾏為の軽減 32
- 33. インフラストラクチャの保護 • VPCの利⽤ • セキュリティゾーンニングとネットワーク セグメントテーションの使⽤ • ネットワークセキュリティの強化 • テストセキュリティ • DoS、DDoS攻撃に対する緩和及び⽅法 33
- 35. 35
- 36. セキュリティプロセスの概要 36
- 39. 概要 以下の3つに分けて説明 • AWS グローバルインフラストラクチャの セキュリティ • AWSアカウントのセキュリティ機能 • AWSサービス固有のセキュリティ 39
- 40. 例えば「物理的および環境のセキュリティ」 • Amazonのデータセンター • 場所の秘匿性 • 周囲の厳重なセキュリティ(ビデオ監視 カメラ、侵⼊検出システム) • 物理アクセスの厳密なコントロール • 2要素認証を2回以上で管理者がアクセス 40
- 41. 例えば「Amazon RDSのセキュリティ」 • アクセスコントロール • ネットワーク隔離 • 暗号化 • ⾃動バックアップとスナップショット • レプリケーション • ⾃動パッチ適⽤ • イベント通知 41
- 42. 和訳との差異 セキュリティプロセス(2016年2⽉14 ⽇現在) • Changes since last version (Nov 2014): • Updated compliance programs • Updated shared security responsibility model • Updated AWS Account security features • Reorganized services into categories • Updated several services with new features: CloudWatch, CloudTrail, CloudFront, EBS, ElastiCache, Redshift,Route 53, S3, Trusted Advisor, and WorkSpaces • Added Cognito Security • Added Mobile Analytics Security • Added WorkDocs Security 42
- 43. 43
- 44. リスクとコンプライアンス 44
- 46. コンプライアンス 46 AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security 46
- 48. 調査例 48 質問 対応状況 返品された、損傷を受けた、または陳腐化した在庫については、必ず 消去、消磁、シュレッド、または物理的破壊を施してから廃棄し (例: DVD ならシュレッド、ハードドライブなら破壊)、資産管理台 帳に除却した事実を反映していますか?
- 50. 和訳との差異 リスクとコンプライアンス (2016年2⽉14⽇現在) • January 2016 • Added GxP Compliance Program • Twelfth region added (Asia Pacific - Seoul) • December 2015 • Updates to certifications and third-party attestations summaries • Added ISO 27017 certification • Added ISO 27018 certification • Eleventh region added (China - Beijing) • November 2015 • Update to CSA v3.0.1 50
- 51. 51
- 53. チェックドキュメント 53
- 56. 例 56
- 57. 和訳との差異 AWSの使⽤に際してのセキュリティ 監査チェックリスト(2016年2⽉14⽇現在) • バージョンヒストリーが無い。差異がわか らず。 • 時間が⾜りず、未確認です。 • バージョンヒストリーをつけて欲し い・・・ 57
- 58. 58
- 59. 共有責任の統制モデル 59
- 60. 60 AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security AWSの部分は準拠済み
- 61. 61 AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security
- 62. 62 AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security ユーザはAWSがカバーしていない部 分を準拠させれば良い
- 63. • 継承統制 • ハイブリッド統制 • 共有統制 • ユーザ固有の統制 63
- 64. 継承統制 • AWSから完全に継承される • AWSが準拠していればユーザも準拠した ものとみなされる • 例えば、物理的や環境⾯など 64
- 65. ハイブリッド統制 • AWSが部分的な実装を提供 • AWSが⼀部に責任を持ち、残りはユーザ が責任を持つ必要がある • 例えば、アクセスコントロールなど 65
- 66. 共有統制 • AWSが特定のレイヤの実装を提供 • あるレイヤはAWSが、あるレイヤはユー ザが責任を持つ • 例えば、パッチの適⽤、構成管理など 66
- 67. 67 AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security
- 68. 68 AWS Global Infrastructure Edge Location Region Availability Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security ユーザはAWSがカバーしていない部 分を準拠させれば良い
- 69. 69
- 70. 70
- 71. 71
- 72. おすすめ資料 • まず概要を知りたい⼈は、こちらもオスス メです。 • AWS 初⼼者向けWebinar 「利⽤者が実施するAWS上でのセキュリティ対策」 http://aws.typepad.com/sajp/2015/12/aws-security-for-users-material.html 72
- 73. まとめ • 必ず出てくる「共有責任モデル」 • 各和訳のドキュメントで差分知った上で確 認すれば良い • 共有責任の統制モデル 73
- 75. QA 75