Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
クラウドセキュリティFAQ
セキュリティ対策を分解して考える
2017年2月2日
AWS事業部 阿部 洸樹
自己紹介
• AWS事業部
• 阿部 洸樹
• アーキテクトグループ(設計/構築)
• セキュリティチーム
• AWS資格5冠
2
本セッションでお伝えすること 3
• セキュリティ対策は難しい
• 対策を分解して考える事が大切
• よく行う対策
4
セキュリティ対策は
難しい
はじめに
5
3つの理由
1 2 3
完璧なセキュリティ対策は存在しない
セキュリティ対策が難しい理由
6
3つの理由
1 2 3
いい感じの対策が望ましい
セキュリティ対策が難しい理由
3つの理由
1 2 3
セキュリティという言葉は便利に使われている
7セキュリティ対策が難しい理由
8
セキュリティ対策を
分解して考える
セキュリティ対策で大切なこと
セキュリティ対策分解図
セキュリティ対策
AWS ユーザ
担当者
9
責任共有モデル
AWSの担当 = クラウドのセキュリティ
ユーザーの担当 = クラウド内のセキュリティ
ハードディスクの廃棄
データセンターのセキュリティ
適切なAWS設定(ネットワーク、アカウント)
OS、アプリケーション
10
https:...
11
AWSの担当箇所は任せよう
セキュリティ対策を担当者で分解
セキュリティ対策分解図
ユーザ
必須 オプション
要件
12
人のセキュリティ対策
必須
• 出かける前に戸締りをする
• 遅い時間帯の外出は避ける
• 治安の悪い場所には近づかない
13
人のセキュリティ対策
オプション
• 警備サービスに加入する
• 番犬を飼う
家や家にいる人を守る
人を守る
• ボディガードを雇う
14
15
必須の対策 +
(要件に応じて)オプション
セキュリティ対策を要件で分解
16
Amazon EC2の
セキュリティ対策を分解
Amazon EC2
セキュリティ対策分解図
ユーザ
必須 オプション
オンプレと同じ
AWS固有か否か
AWS固有
17
EC2の必須セキュリティ対策
オンプレミスと同様
• 最新のOSを使う
• 最新のアプリケーションを使う
脆弱性をついた攻撃を軽減
アクセス制限
• 悪意のある人がアクセス出来ないようにする
18
EC2 アクセス制限の基本
SecurityGroup
• インスタンス単位
• Inbound/Outbound
• Permit
• ステートフル
NACL
Security Group
EC2
19
EC2 アクセス制限の基本
SecurityGroup NACL
HTTP 0.0.0.0/0
SSH 自拠点のIPアドレス
Inbound Outbound
ALL 0.0.0.0/0
最低限の許可
基本はALL許可
要件に応じて制御
20
VPC Subnet VPC Subnet
EC2 アクセス制限の基本
NACLSecurityGroup
• サブネット単位
• Inbound/Outbound
• Permit/Deny
• 番号順にルール適用
• ステートレス
21
EC2 アクセス制限の基本
NACLSecurityGroup
ALL Deny BlockしたいIP
ALL Permit 0.0.0.0/0
OutboundInbound
ALL Permit 0.0.0.0/0
デフォルトは許可
IP指...
EC2の必須セキュリティ対策
AWS固有の対策
23
http://dev.classmethod.jp/cloud/aws/ec2-sec/
セキュリティ対策分解図
ユーザ
必須 オプション
AWSサービス
手段
AWSパートナー
24
オプション
AWSサービス
パートナー
• 気楽に試せる
25
• AWSでは出来ないこと
• EC2にインストール
• AWS Marketplace
• 外部SaaS
26
AWSサービス
オプション
AWS API記録
AWS CloudTrail
• 有効化を強くオススメ
• AWSで実行されたAPIを記録
• 弊社では全アカウントで有効
27
http://www.slideshare.net/AmazonWebServicesJapa...
AWS構成管理
AWS Config
• 有効化をオススメ
• AWSの構成記録
• AWSリソースの作成/変更を記録
• タイムラインで可視化
28
http://dev.classmethod.jp/cloud/aws/aws-config-
DDoS対策
AWS Shield
• ELB、CloudFront、Route53に自動適用
• L3/L4 DDoS攻撃に対する保護
• DDoS レスポンスチームへのアクセス(Advanced)
29
WAF(Web Application Firewall)
AWS WAF
• WAF機能
• 用意されているシグネチャが少ない
30
プラットフォーム診断
AWS Inspector
• プラットフォーム診断
• エージェント型
• CVE(OSやミドルウェアの脆弱性)
• CIS(OSやミドルウェアの設定)
31
http://www.slideshare.net/Amaz...
32
パートナーが提供する
製品/サービス
セキュリティ対策 – オプション
リモートメンテナンス
SSL-VPN
• メンテナンス拠点のIPを絞れないとき
• ユーザーごとに接続出来るインスタンスを絞る
33
マルウェア対策
Anti-Virus
• マルウェア対策
• バーチャルアプライアンス型
• ホスト型
34
WAF
• SaaS型(Imperva Incapsula)
• バーチャルアプライアンス型(F5 BIG-IPなど)
• ホスト型(Trend Micro Deep Securityなど)
WAF
35
http://dev.classmet...
36
セキュリティ製品を選ぶ前に
ポイント
セキュリティ製品を選ぶ前に
何を何から守りたいのかを明確化
2つのポイント
1 2
37
セキュリティ製品を選ぶ前に
2つのポイント
1 2
副作用(運用の手間、誤検知など)の確認
38
39
まとめ
まとめ
まとめ(セキュリティ対策分解図)
ユーザ
要件
AWSサービス
AWSパートナー
手段
AWS固有
オンプレと同じ
オプション必須
固有
AWS
40
まとめ(3行)
分解して考える
必須の対策を行う
要件に応じて追加の対策
クラスメソッドにご相談下さい
41
Upcoming SlideShare
Loading in …5
×

クラウドセキュリティFAQ セキュリティ対策を分解して考える

2,266 views

Published on

2017/2/2(木)「F5とAWSで構築するセキュアなエンタープライズアプリケーションセミナー」

Published in: Technology
  • Login to see the comments

  • Be the first to like this

クラウドセキュリティFAQ セキュリティ対策を分解して考える

  1. 1. クラウドセキュリティFAQ セキュリティ対策を分解して考える 2017年2月2日 AWS事業部 阿部 洸樹
  2. 2. 自己紹介 • AWS事業部 • 阿部 洸樹 • アーキテクトグループ(設計/構築) • セキュリティチーム • AWS資格5冠 2
  3. 3. 本セッションでお伝えすること 3 • セキュリティ対策は難しい • 対策を分解して考える事が大切 • よく行う対策
  4. 4. 4 セキュリティ対策は 難しい はじめに
  5. 5. 5 3つの理由 1 2 3 完璧なセキュリティ対策は存在しない セキュリティ対策が難しい理由
  6. 6. 6 3つの理由 1 2 3 いい感じの対策が望ましい セキュリティ対策が難しい理由
  7. 7. 3つの理由 1 2 3 セキュリティという言葉は便利に使われている 7セキュリティ対策が難しい理由
  8. 8. 8 セキュリティ対策を 分解して考える セキュリティ対策で大切なこと
  9. 9. セキュリティ対策分解図 セキュリティ対策 AWS ユーザ 担当者 9
  10. 10. 責任共有モデル AWSの担当 = クラウドのセキュリティ ユーザーの担当 = クラウド内のセキュリティ ハードディスクの廃棄 データセンターのセキュリティ 適切なAWS設定(ネットワーク、アカウント) OS、アプリケーション 10 https://aws.amazon.com/jp/compliance/shared-responsibility-model/
  11. 11. 11 AWSの担当箇所は任せよう セキュリティ対策を担当者で分解
  12. 12. セキュリティ対策分解図 ユーザ 必須 オプション 要件 12
  13. 13. 人のセキュリティ対策 必須 • 出かける前に戸締りをする • 遅い時間帯の外出は避ける • 治安の悪い場所には近づかない 13
  14. 14. 人のセキュリティ対策 オプション • 警備サービスに加入する • 番犬を飼う 家や家にいる人を守る 人を守る • ボディガードを雇う 14
  15. 15. 15 必須の対策 + (要件に応じて)オプション セキュリティ対策を要件で分解
  16. 16. 16 Amazon EC2の セキュリティ対策を分解 Amazon EC2
  17. 17. セキュリティ対策分解図 ユーザ 必須 オプション オンプレと同じ AWS固有か否か AWS固有 17
  18. 18. EC2の必須セキュリティ対策 オンプレミスと同様 • 最新のOSを使う • 最新のアプリケーションを使う 脆弱性をついた攻撃を軽減 アクセス制限 • 悪意のある人がアクセス出来ないようにする 18
  19. 19. EC2 アクセス制限の基本 SecurityGroup • インスタンス単位 • Inbound/Outbound • Permit • ステートフル NACL Security Group EC2 19
  20. 20. EC2 アクセス制限の基本 SecurityGroup NACL HTTP 0.0.0.0/0 SSH 自拠点のIPアドレス Inbound Outbound ALL 0.0.0.0/0 最低限の許可 基本はALL許可 要件に応じて制御 20
  21. 21. VPC Subnet VPC Subnet EC2 アクセス制限の基本 NACLSecurityGroup • サブネット単位 • Inbound/Outbound • Permit/Deny • 番号順にルール適用 • ステートレス 21
  22. 22. EC2 アクセス制限の基本 NACLSecurityGroup ALL Deny BlockしたいIP ALL Permit 0.0.0.0/0 OutboundInbound ALL Permit 0.0.0.0/0 デフォルトは許可 IP指定でブロック 基本はALL許可 要件に応じて制御 22
  23. 23. EC2の必須セキュリティ対策 AWS固有の対策 23 http://dev.classmethod.jp/cloud/aws/ec2-sec/
  24. 24. セキュリティ対策分解図 ユーザ 必須 オプション AWSサービス 手段 AWSパートナー 24
  25. 25. オプション AWSサービス パートナー • 気楽に試せる 25 • AWSでは出来ないこと • EC2にインストール • AWS Marketplace • 外部SaaS
  26. 26. 26 AWSサービス オプション
  27. 27. AWS API記録 AWS CloudTrail • 有効化を強くオススメ • AWSで実行されたAPIを記録 • 弊社では全アカウントで有効 27 http://www.slideshare.net/AmazonWebServicesJapan/aws-black-belt-online- seminar-2016-aws-cloudtrail-aws-config
  28. 28. AWS構成管理 AWS Config • 有効化をオススメ • AWSの構成記録 • AWSリソースの作成/変更を記録 • タイムラインで可視化 28 http://dev.classmethod.jp/cloud/aws/aws-config-
  29. 29. DDoS対策 AWS Shield • ELB、CloudFront、Route53に自動適用 • L3/L4 DDoS攻撃に対する保護 • DDoS レスポンスチームへのアクセス(Advanced) 29
  30. 30. WAF(Web Application Firewall) AWS WAF • WAF機能 • 用意されているシグネチャが少ない 30
  31. 31. プラットフォーム診断 AWS Inspector • プラットフォーム診断 • エージェント型 • CVE(OSやミドルウェアの脆弱性) • CIS(OSやミドルウェアの設定) 31 http://www.slideshare.net/AmazonWebServicesJapa n/aws-black-belt-online-seminar-amazon-inspector
  32. 32. 32 パートナーが提供する 製品/サービス セキュリティ対策 – オプション
  33. 33. リモートメンテナンス SSL-VPN • メンテナンス拠点のIPを絞れないとき • ユーザーごとに接続出来るインスタンスを絞る 33
  34. 34. マルウェア対策 Anti-Virus • マルウェア対策 • バーチャルアプライアンス型 • ホスト型 34
  35. 35. WAF • SaaS型(Imperva Incapsula) • バーチャルアプライアンス型(F5 BIG-IPなど) • ホスト型(Trend Micro Deep Securityなど) WAF 35 http://dev.classmethod.jp/security/getting-started-waf/
  36. 36. 36 セキュリティ製品を選ぶ前に ポイント
  37. 37. セキュリティ製品を選ぶ前に 何を何から守りたいのかを明確化 2つのポイント 1 2 37
  38. 38. セキュリティ製品を選ぶ前に 2つのポイント 1 2 副作用(運用の手間、誤検知など)の確認 38
  39. 39. 39 まとめ まとめ
  40. 40. まとめ(セキュリティ対策分解図) ユーザ 要件 AWSサービス AWSパートナー 手段 AWS固有 オンプレと同じ オプション必須 固有 AWS 40
  41. 41. まとめ(3行) 分解して考える 必須の対策を行う 要件に応じて追加の対策 クラスメソッドにご相談下さい 41

×