More Related Content Similar to Security Night #1 AWSのセキュリティアプローチとTLS (20) Security Night #1 AWSのセキュリティアプローチとTLS1. 2016/05/11 Security Night #1
AWSのセキュリティアプローチとTLS
アマゾン ウェブ サービス ジャパン株式会社
スタートアップソリューションアーキテクト
塚田 朗弘
セキュリティソリューションアーキテクト
桐山 隼人
6. 6
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理
お客様のアプリケーション・コンテンツお客様自身で
クラウドを
コントロール可能
AWSが
クラウドの
セキュリティを
担当
データ
セキュリティ
アクセス
コントロール
AWS責任共有モデル
Security “IN” the Cloud
Security “OF” the Cloud
6
7. 7
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理
お客様のアプリケーション・コンテンツお客様自身で
クラウドを
コントロール可能
AWSが
クラウドの
セキュリティを
担当
データ
セキュリティ
アクセス
コントロール
AWS責任共有モデル
Security “IN” the Cloud
Security “OF” the Cloud
7
9. 9
セキュリティは大丈夫? (物理セキュリティ)
• Amazonは数年間にわたり、大規模なデータセンターを
構築
• 重要な特性:
– 場所の秘匿性
– 周囲の厳重なセキュリティ
– 物理アクセスの厳密なコントロール
– 2要素認証を2回以上で管理者がアクセス
• 完全管理された、必要性に基づくアクセス
• 全てのアクセスは記録され、監査対象となる
• 職務の分離
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701
9
10. 10
セキュリティは大丈夫? (ネットワーク)
• Distributed Denial of Service (DDoS)対策:
• 効果的かつ標準的な緩和対策を実施
• 中間者攻撃対策:
• 全エンドポイントは暗号化通信によって保護
• 起動時に新しいEC2ホストキーを生成
• IPなりすまし対策:
• ホストOSレベルで全て遮断
• 許可されていないポートスキャニング対策:
• AWSサービス利用規約違反に該当
• 検出され、停止され、ブロックされる
• インバウンドのポートはデフォルトでブロックされているため、
事実上無効
• パケットの盗聴対策:
• プロミスキャスモードは不許可
• ハイパーバイザ―レベルで防御
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701
10
11. 11
セキュリティは大丈夫?(論理的セキュリティ)
• ハイパーバイザー(ホストOS)
• AWS管理者の拠点ホストからの個別のログイン
• 全てのアクセスはロギングされ、監査されます
• ゲストOS(EC2インスタンス)
• お客様による完全なコントロール
• お客様が生成したいキーペアを使用
• Firewall機能の標準提供
• AWS標準機能としてInbound/Outboundに対する
Firewall
• AWSのお客様の権限、責任で設定
AWSコンプライアンス http://aws.amazon.com/jp/compliance/
AWSのセキュリティとコンプライアンス http://www.slideshare.net/AmazonWebServicesJapan/aws-23722701
11
14. 14
AWS 基本サービス
コンピュート ストレージ データベース ネットワーク
AWS
グローバル
インフラストラクチャ リージョン
アベイラビリティ
ゾーン エッジ
ロケーション
ネットワーク
サーバー
セキュリティ
インベントリ
・構成管理
お客様のアプリケーション・コンテンツお客様自身で
クラウドを
コントロール可能
AWSが
クラウドの
セキュリティを
担当
データ
セキュリティ
アクセス
コントロール
AWS責任共有モデル
Security “IN” the Cloud
Security “OF” the Cloud
14
23. 23
AWSサービスを使用する際にAWSが提供する証明書
Amazon Elastic Load Balancing
• 2016年5月現在、以下のリージョンで利用可能*
• Asia Pacific (Tokyo), Asia Pacific (Seoul), Asia Pacific (Singapore), Asia Pacific (Sydney), US East (N.Virginia),
US West (N. California), US West (Oregon), EU (Ireland), EU (Frankfurt), South America (Sao Paulo)
Amazon CloudFront
• 全てのリージョンで利用可能
証明書のマネージドサービス
SSL/TLS 証明書の購入、アップロード、更新の自動化
ドメイン認証のみ(2016年5月時点)
AWS Certificate Manager (ACM)
* AWS Certificate Manager now available in more regions (May 16,2016)
https://aws.amazon.com/jp/about-aws/whats-new/2016/05/aws-certificate-manager-now-available-in-more-regions/
28. 28
Amazon Elastic Load Balancing (ELB)
• 特徴 (http://aws.amazon.com/jp/elasticloadbalancing/)
– クラウド内の複数のAmazon EC2インスタン
スに負荷分散
– 複数のアベイラビリティゾーンに跨って、高
レベルの耐障害性を実現
– ELB自体が自動的にキャパシティを増減
– L4(TCP,SSL/TLS),L7(HTTP,HTTPS)サポート
• 価格体系 (http://aws.amazon.com/jp/elasticloadbalancing/pricing/)
– ELBの起動時間
– ELBのデータ転送量
クラウドネットワークのロードバランサー
アベイラビリティ ゾーン a
ユーザー
アベイラビリティ ゾーン b
ELB
EC2 EC2
myLB-xxx.elb.amazonaws.com
29. 29
Amazon CloudFront
• 特徴 (http://aws.amazon.com/jp/cloudfront/)
– 簡単にサイトの高速化が実現できると共に、
サーバの負荷も軽減
– 様々な規模のアクセスを処理することが可能
– 世界53箇所のエッジロケーション
• 価格体系 (http://aws.amazon.com/jp/cloudfront/pricing/)
– データ転送量(OUT)
– HTTP/HTTPSリクエスト数
– (利用する場合)SSL/TLS独自証明書 or ACM
マネージドCDN(Contents Delivery Network)サービス
クライアント
レスポンス向上 負荷軽減
Amazon
CloudFront
キャッシュ
配信 オフロード
Webサーバ
30. 30
Amazon API Gateway
• 特徴 (http://aws.amazon.com/jp/lambda/)
– OS、キャパシティ等インフラの管理不要
– バックエンドとしてLambda、既存Webシス
テムを利用可能(SSL/TLSで通信暗号化)
– スロットリング/キャッシュ
• 価格体系 (http://aws.amazon.com/jp/lambda/pricing/)
– 呼び出し回数とキャッシュ容量
– 100万回の呼び出しにつき$3.5
– キャッシュ容量に応じて$0.02/時〜$3.8/時
Web APIの作成・保護・運用と公開を簡単に
Mobile Apps
Websites
Services
API
Gateway
AWS Lambda
functions
AWS
API Gateway
Cache
Endpoints on
Amazon EC2 /
Amazon Elastic
Beanstalk
Any other publicly
accessible endpoint
Amazon
CloudWatch
Monitoring