Submit Search
Upload
Classmethod-developers.io-2016-d4-45min-aws-security
•
4 likes
•
1,356 views
Hiroyuki Kaji
Follow
DevelopersIO 2016 D4 セッションのスライドです。
Read less
Read more
Engineering
Report
Share
Report
Share
1 of 75
Download now
Download to read offline
Recommended
今さら聞けないマイナンバー
今さら聞けないマイナンバー
UEHARA, Tetsutaro
Classmethod aws-study-vpc-20160114
Classmethod aws-study-vpc-20160114
Hiroyuki Kaji
Cm re growth-reinvent-app304-kaji
Cm re growth-reinvent-app304-kaji
Hiroyuki Kaji
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
Recommended
今さら聞けないマイナンバー
今さら聞けないマイナンバー
UEHARA, Tetsutaro
Classmethod aws-study-vpc-20160114
Classmethod aws-study-vpc-20160114
Hiroyuki Kaji
Cm re growth-reinvent-app304-kaji
Cm re growth-reinvent-app304-kaji
Hiroyuki Kaji
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
Marius Sescu
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
Expeed Software
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
Pixeldarts
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
ThinkNow
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
marketingartwork
Skeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
Introduction to Data Science
Introduction to Data Science
Christy Abraham Joy
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
The six step guide to practical project management
The six step guide to practical project management
MindGenius
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
ChatGPT webinar slides
ChatGPT webinar slides
Alireza Esmikhani
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Project for Public Spaces & National Center for Biking and Walking
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
DevGAMM Conference
More Related Content
Featured
Skeleton Culture Code
Skeleton Culture Code
Skeleton Technologies
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Neil Kimberley
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
contently
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Albert Qian
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Kurio // The Social Media Age(ncy)
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
Search Engine Journal
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
SpeakerHub
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Tessa Mero
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Lily Ray
How to have difficult conversations
How to have difficult conversations
Rajiv Jayarajah, MAppComm, ACC
Introduction to Data Science
Introduction to Data Science
Christy Abraham Joy
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
Vit Horky
The six step guide to practical project management
The six step guide to practical project management
MindGenius
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
RachelPearson36
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Applitools
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
GetSmarter
ChatGPT webinar slides
ChatGPT webinar slides
Alireza Esmikhani
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Project for Public Spaces & National Center for Biking and Walking
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
DevGAMM Conference
Featured
(20)
Skeleton Culture Code
Skeleton Culture Code
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
Getting into the tech field. what next
Getting into the tech field. what next
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
How to have difficult conversations
How to have difficult conversations
Introduction to Data Science
Introduction to Data Science
Time Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
The six step guide to practical project management
The six step guide to practical project management
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
Unlocking the Power of ChatGPT and AI in Testing - A Real-World Look, present...
12 Ways to Increase Your Influence at Work
12 Ways to Increase Your Influence at Work
ChatGPT webinar slides
ChatGPT webinar slides
More than Just Lines on a Map: Best Practices for U.S Bike Routes
More than Just Lines on a Map: Best Practices for U.S Bike Routes
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Ride the Storm: Navigating Through Unstable Periods / Katerina Rudko (Belka G...
Classmethod-developers.io-2016-d4-45min-aws-security
1.
45分で学ぶAWSのセキュリティ DevelopersIO 2016 1 2016/2/21 クラスメソッド
Kaji
2.
⾃⼰紹介 梶 浩幸(かじ ひろゆき) Twitter
ID:@cocacola917 AWSコンサルティング部 札幌オフィス勤務 2014年8⽉JOIN ネットワーク屋出⾝ 好きなAWSサービス • VPC 2
3.
コカコーラ⼤好き 3
4.
はじめに • AWSを利⽤して1年以上の⽅ • AWSを利⽤して1年未満の⽅ •
AWSをこれから利⽤予定の⽅ 4
5.
今⽇は何を話すの? • AWSセキュリティ関連資料の・・・ • ⽤途 •
概要やポイント • 和訳との差異 をご紹介 5
6.
今回ご紹介するAWSのセキュリティ資料 https://aws.amazon.com/jp/security/ 代表的なもの(2016年2⽉14⽇現在) 6 英語名 和名 和訳有無や最新 版 AWS
Cloud Security Best Practices セキュリティベストプラクティス 和訳差異無し 2013/11 AWS Cloud Security Whitepaper(Overview of Security Processes) セキュリティプロセスの概要 US 2015/8 和訳 2014/11 AWS Risk and Compliance Whitepaper リスクとコンプライアンス US 2016/1 和訳 2015/8 Introduction to Auditing the Use of AWS AWSの使⽤に際してのセキュリティ 監査チェックリスト US 2015/10 和訳 2013/6
7.
7
8.
セキュリティベストプラクティス 8
9.
⽤途 • AWSを設計・設定する上で必要なセキュ リティに関する内容が記載されている • 今回はポイントを絞ってご紹介 9
10.
共有責任モデル(責任分担モデル) 10
11.
保護対象の確認 11 セキュリティポリシーを検討 「何を保護するのか」、「その理由は何か」 その保護に関する責任・体制「誰がその責任を負うのか」
12.
共有責任モデル(責任分担モデル) 12 • ファシリティ • 物理セキュリティ •
コンピュータインフラ • ストレージインフラ • ネットワークインフラ • 仮想レイヤー • OS • アプリケーション • セキュリティグループ • ファイヤーウォール • ネットワーク設定 • アカウント管理 ドキュメント内では、責任分担モデルで記載 利⽤者
13.
13 AWS Global Infrastructure Edge Location Region Availability
Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security
14.
14 AWS Global Infrastructure Edge Location Region Availability
Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security スコープ外!
15.
Q.先ほどの共有責任モデル はAWSサービス全部同じ? 15
16.
インフラストラクチャサービス 16 AWS セキュリティのベストプラクティス(⽇本語)より https://aws.amazon.com/jp/security/security-resources/
17.
コンテナサービス 17 AWS セキュリティのベストプラクティス(⽇本語)より https://aws.amazon.com/jp/security/security-resources/
18.
抽象化されたサービス 18 AWS セキュリティのベストプラクティス(⽇本語)より https://aws.amazon.com/jp/security/security-resources/
19.
AWS アカウントと IAM
ユーザー、 グループ、およびロールの管理 19
20.
AWSアカウント • 新しいシステム構築するときの質問 • AWSアカウントを別に作成? •
既存のアカウントに追加? 20
21.
AWSアカウント • 単⼀のAWSアカウント • セキュリティ⼀元管理 •
複数のAWSアカウント • 独⽴した複数の部⾨ • 複数のプロジェクト • 本番⽤、開発⽤、テスト⽤など • 利⽤費⽤を明確に把握したい(→私が追記) 21
22.
IAMユーザ・グループ・アカウント • IAM(AWS Identity
and Access Management) は、AWSユーザーに対し て AWSのリソースへのアクセスできる範 囲やアクセス⽅法を安全に制御するための サービス 22
23.
IAMのベストプラクティス 1.AWSアカウント(ルート)のアクセスキーはロックする 2.個々のIAMユーザを作成する 3.IAMユーザへのアクセス権を割り当てるため、グループを使う 4.最⼩限の特権を認める 5.ユーザのための強度の⾼いパスワードを設定する 6.特権ユーザに対しては、MFAを有効にする 7.EC2で作動するアプリケーションについてロールを使⽤する 8.認証情報を共有するのではなく、ロールを使って委任する 9.認証情報を定期的にローテーションする 10.不要の認証の削除 11.追加セキュリティに対するポリシー条件を使⽤する 12.AWSアカウントのアクティビティの履歴の保持 23 OSのアカウント管理と考え⽅が近い。⼤きく異なるポイント3つをご紹介 http://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html
24.
MFA 多要素認証(Multi-Factor Authentication) • パスワード
+ デバイス • パスワード + 指紋 など • know + have/are の組み • 2要素認証が⼀般的 • Google 認証システム • Authy(マルチデバイスでおすすめ) 24
25.
Amazon EC2 の
IAM ロール • アプリケーションからAWSリソースにアクセスするに はAWS認証情報を持ってAPIリクエストする必要がある • サンプル:AWS SDK for Ruby 25 AWS.config({ :access_key_id => 'ACCESS_KEY_ID', :secret_access_key => 'SECRET_ACCESS_KEY', :region => 'us-west-2', }) プログラム IAMユーザで利⽤ 認証情報をEC2 内に持たせる。 保管やローテー ションの検討が 必要 プログラム IAM ロールで利⽤ IAMロールによ る権限はテンポ ラリ。ローテー ションも⾃動
26.
Amazon EC2 の
IAM ロール • IAM roleをEC2に割り当てることでローカ ルにセキュリティ情報を持たなくて良い 26 プログラム IAM ロールで利⽤ IAMロールによ る権限はテンポ ラリ。ローテー ションも⾃動
27.
Amazon EC2 の
IAM ロール • 注意 • IAM roleはEC2 Launch時にしか割り当 てられない。 • Launchしたあとには割り当て不可 • 割り当てさえしておけば、後からroleが 持つ権限の内容を変更可能。 27
28.
AWSアカウントのアクティビティの履歴の保持 • AWS CloudTrailはAWSアカウント で利⽤されたAPI
Callを記録し、 S3上にログを保存するサービス • AWSのリソースにどのような操作 が加えられたか記録に残す機能の ため、必ず有効化 • 特別な問題がない限り全リージョ ンで有効化 28
29.
Switch Role 29
30.
Amazon EC2インスタンスへのOSレベルのアクセ スの管理 • EC2キーペア •
ログイン時の認証 30
31.
データの保護 • リソース単位でのユーザ制限 • 各サービスのデータ保護⽅法 31
32.
OSとアプリケーションのセキュリティによる保護 • AMI公開時の注意点 • マルウェアからの防衛 •
パッチ管理 • 侵害と迷惑⾏為の軽減 32
33.
インフラストラクチャの保護 • VPCの利⽤ • セキュリティゾーンニングとネットワーク セグメントテーションの使⽤ •
ネットワークセキュリティの強化 • テストセキュリティ • DoS、DDoS攻撃に対する緩和及び⽅法 33
34.
セキュリティモニタリング、アラート、監査証跡、 およびインシデント対応の管理 • 変更管理ログの使⽤ • 重要なトランザクションのログの管理 •
障害のログ記録 34
35.
35
36.
セキュリティプロセスの概要 36
37.
⽤途 • AWSが、セキュリティ(データの機密 性、完全性、可⽤性)をどのように⽀援し てくれるのか?を確認できます。 37
38.
概要 • AWSの各サービスのセキュリティ機能が 説明されている。 • 利⽤中、これから利⽤予定のサービスにつ いてセキュリティ機能を把握したい場合に 有効 38
39.
概要 以下の3つに分けて説明 • AWS グローバルインフラストラクチャの セキュリティ •
AWSアカウントのセキュリティ機能 • AWSサービス固有のセキュリティ 39
40.
例えば「物理的および環境のセキュリティ」 • Amazonのデータセンター • 場所の秘匿性 •
周囲の厳重なセキュリティ(ビデオ監視 カメラ、侵⼊検出システム) • 物理アクセスの厳密なコントロール • 2要素認証を2回以上で管理者がアクセス 40
41.
例えば「Amazon RDSのセキュリティ」 • アクセスコントロール •
ネットワーク隔離 • 暗号化 • ⾃動バックアップとスナップショット • レプリケーション • ⾃動パッチ適⽤ • イベント通知 41
42.
和訳との差異 セキュリティプロセス(2016年2⽉14 ⽇現在) • Changes
since last version (Nov 2014): • Updated compliance programs • Updated shared security responsibility model • Updated AWS Account security features • Reorganized services into categories • Updated several services with new features: CloudWatch, CloudTrail, CloudFront, EBS, ElastiCache, Redshift,Route 53, S3, Trusted Advisor, and WorkSpaces • Added Cognito Security • Added Mobile Analytics Security • Added WorkDocs Security 42
43.
43
44.
リスクとコンプライアンス 44
45.
概要 • リスク管理と規格の適合について記載 45 https://aws.amazon.com/jp/compliance/pci-data-privacy- protection-hipaa-soc-fedramp-faqs/
46.
コンプライアンス 46 AWS Global Infrastructure Edge Location Region Availability
Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security 46
47.
⽤途 ある⽇突然現れる調査票 連携会社や、お客様から調査票が送付されて 「コレってどうなっている?」って聞かれた ことがある⽅? 47
48.
調査例 48 質問 対応状況 返品された、損傷を受けた、または陳腐化した在庫については、必ず 消去、消磁、シュレッド、または物理的破壊を施してから廃棄し (例: DVD
ならシュレッド、ハードドライブなら破壊)、資産管理台 帳に除却した事実を反映していますか?
49.
AWSの対応が書いてある 49 AWS_Risk_Compliance_Whitepaper_Aug_2015.pdf 101ページ
50.
和訳との差異 リスクとコンプライアンス (2016年2⽉14⽇現在) • January
2016 • Added GxP Compliance Program • Twelfth region added (Asia Pacific - Seoul) • December 2015 • Updates to certifications and third-party attestations summaries • Added ISO 27017 certification • Added ISO 27018 certification • Eleventh region added (China - Beijing) • November 2015 • Update to CSA v3.0.1 50
51.
51
52.
AWSの使⽤に際しての セキュリティ監査チェックリスト 52
53.
チェックドキュメント 53
54.
⽤途 • セキュリティベストプラクティスで対応した 内容を、リストを照らし合わせてチェックで きる。 • 内部セキュリティ、リスク、およびコンプラ イアンスを担当するチーム、あるいはAWS の使⽤にあたって各種の評価をするお客様の 外部監査担当者が使うドキュメント 54
55.
概要 • 監査⼈の調査するポイントが書いてある。 • システム構築者(監査受ける側)は対応す べき内容を把握できる。 55
56.
例 56
57.
和訳との差異 AWSの使⽤に際してのセキュリティ 監査チェックリスト(2016年2⽉14⽇現在) • バージョンヒストリーが無い。差異がわか らず。 •
時間が⾜りず、未確認です。 • バージョンヒストリーをつけて欲し い・・・ 57
58.
58
59.
共有責任の統制モデル 59
60.
60 AWS Global Infrastructure Edge Location Region Availability
Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security AWSの部分は準拠済み
61.
61 AWS Global Infrastructure Edge Location Region Availability
Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security
62.
62 AWS Global Infrastructure Edge Location Region Availability
Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security ユーザはAWSがカバーしていない部 分を準拠させれば良い
63.
• 継承統制 • ハイブリッド統制 •
共有統制 • ユーザ固有の統制 63
64.
継承統制 • AWSから完全に継承される • AWSが準拠していればユーザも準拠した ものとみなされる •
例えば、物理的や環境⾯など 64
65.
ハイブリッド統制 • AWSが部分的な実装を提供 • AWSが⼀部に責任を持ち、残りはユーザ が責任を持つ必要がある •
例えば、アクセスコントロールなど 65
66.
共有統制 • AWSが特定のレイヤの実装を提供 • あるレイヤはAWSが、あるレイヤはユー ザが責任を持つ •
例えば、パッチの適⽤、構成管理など 66
67.
67 AWS Global Infrastructure Edge Location Region Availability
Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security
68.
68 AWS Global Infrastructure Edge Location Region Availability
Zone AWS Foundation Services Compute Storage Database Networking Network Security Customer Applications & Content https://d0.awsstatic.com/whitepapers/Security/Intro_to_AWS_Security.pdf Inventory & Config Access Control Data Security Network Security Customer Applications & Content Inventory & Config Access Control Data Security ユーザはAWSがカバーしていない部 分を準拠させれば良い
69.
69
70.
70
71.
71
72.
おすすめ資料 • まず概要を知りたい⼈は、こちらもオスス メです。 • AWS
初⼼者向けWebinar 「利⽤者が実施するAWS上でのセキュリティ対策」 http://aws.typepad.com/sajp/2015/12/aws-security-for-users-material.html 72
73.
まとめ • 必ず出てくる「共有責任モデル」 • 各和訳のドキュメントで差分知った上で確 認すれば良い •
共有責任の統制モデル 73
74.
ご静聴ありがとうございました 74
75.
QA 75
Download now